Siber Suçlar , Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Rejim, Casusluk ve Mali Suç Odaklı Siber Operasyonlarını İyileştirmeye Devam Ediyor
Mathew J. Schwartz (euroinfosec) •
10 Ekim 2023
Kuzey Kore’nin devlet destekli bilgisayar korsanları, iktidardaki totaliter rejimin emriyle operasyonlar yürütürken taktik, teknik ve prosedürlerden oluşan cephaneliğini geliştirmeye devam ediyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Google’ın Mandiant tehdit istihbarat grubu, küçük ülkeyi yöneten Pyongyang merkezli rejimin “gücü yansıtmak ve hem siber hem de kinetik yeteneklerini finanse etmek için hem casusluk hem de mali suç işlemek için siber saldırıları” nasıl kullandığını analiz eden yeni bir raporda böyle söylüyor.
Sadece 25 milyonluk bir nüfusa sahip olan rapor, resmi olarak Kore Demokratik Halk Cumhuriyeti olarak adlandırılan bölgenin siber operasyonlar ve siber suç cephelerinde ağırlığının üzerinde bir performans sergilediğini hatırlatıyor. ABD’li yetkililer, son beş yılda Kuzey Kore’nin 3 milyar dolardan fazla para çaldığını söylüyor.
Dini Lider Kim Jong-Un liderliğindeki Kuzey Kore, yurt içinde ve yurt dışında müttefikler, düşmanlar ve sığınmacılar hakkında istihbarat toplayan, bankaları hackleyen ve kripto para birimini çalan, devlet destekli bir dizi bilgisayar korsanlığı ekibine sahip. Birleşmiş Milletler, çalınan fonların ülkenin uzun menzilli füze ve nükleer silah programlarını finanse etmek ve ülke yöneticilerini zenginleştirmek için kullanıldığını söylüyor.
ABD istihbaratı düzenli olarak Kuzey Kore’yi çevrimiçi ortamda en büyük dört ulus-devlet düşmanından biri olarak sıralıyor; Çin ve Rusya önde, onu İran ve Kuzey Kore takip ediyor (bkz.: ABD İstihbaratı Çin’i En Büyük Ulusal Güvenlik Tehdidi Olarak Sıralıyor).
Mandiant, Kuzey Kore’nin siber operasyon varlıklarını nasıl organize ettiğinin, yeni koronavirüs pandemisine tepki olarak değiştiğini ve muhtemelen kısmen Çin ve Güney Kore’den faaliyet gösteren bireylerin karantinalar sırasında kesilmesi nedeniyle daha akıcı hale geldiğini söyledi. O zamandan bu yana, Kuzey Kore operasyonlarının çoğu zaman, Çin gibi ülkeler tarafından yürütülen daha karmaşık operasyonları taklit eden bir yaklaşımla, geçici görev güçleri için bireylerin ve araçların bir araya getirilmesini içerdiği görülüyor.
Kuzey Koreli bilgisayar korsanları, tedarik zinciri saldırılarının yanı sıra Linux ve macOS kötü amaçlı yazılımları da dahil olmak üzere daha yenilikçi yaklaşımlara bağlı kalmayı sürdürüyor.
İkinci cephede araştırmacılar, Trading Technologies tarafından yapılan X_Trader ticaret yazılım paketine karşı böyle bir saldırının izini sürdü; bu saldırı aracılığıyla Kuzey Kore korsanları, çok uluslu kurumsal müşterileri arasında sayılan masaüstü telefon geliştiricisi 3CX tarafından oluşturulan yazılıma bilgi hırsızları yerleştirmek de dahil olmak üzere çok sayıda ek hedefi vurdu. Toyota, Coca-Cola ve Air France (bkz: Kuzey Koreli Hackerlar Tedarik Zinciri Hack’lerini 3CX’e Ulaşmak İçin Zincirledi).
Aktif Hacking Ekipleri
Mandiant, Kuzey Kore’nin siber operasyonlarıyla bağlantılı birden fazla grubu veya operasyonu izliyor. Bazıları öncelikli olarak finansal motivasyona sahipken, diğerleri siber casusluk ve siber operasyonlara odaklanıyor gibi görünüyor. Motivasyonun belirsiz kaldığı durumlarda, Mandiant bunları kategorize edilmemiş olarak UNC olarak kodlıyor.
Aşağıda, Mandiant’ın izlediği, farklı ancak çoğu zaman örtüşen gruplara karşılık gelen bazı önemli etkinlik kümeleri hakkında paylaştığı bilgiler yer almaktadır:
- Andariel: UNC614 olarak da bilinen bu grubun Kuzey Kore’nin Genel Keşif Bürosu tarafından yönetildiği ve rejimin füze ve nükleer silah programlarını ilerletmek için gerekli bilgileri çalmak da dahil olmak üzere öncelikle askeri ve hükümet personelini hedef aldığı görülüyor. Grup, bir dizi özel yapım araç kullanıyor ve hastaneler de dahil olmak üzere mağdurlara şantaj yapmak için Maui adı verilen kendi fidye yazılımlarını kullanmayı da içeren bir siber suç yan hattına sahip.
- TEMP.Hermit: “Lazarus Grubu”na atfedilen saldırıların çoğu, güvenlik araştırmacılarının TEMP olarak adlandırdığı bir “faaliyet kümesinin” izini sürüyor. 2013 yılından bu yana hükümetlerin yanı sıra savunma, telekomünikasyon ve finansal hizmetler sektörlerini hedef alan siber casusluk operasyonları yürüten Hermit, Mandiant’ın raporu şunu söylüyor.
- AppleJeus: UNC1720 olarak da bilinen bu mali odaklı grup, TEMP.Hermit ile araç paylaşıyor gibi görünüyor ancak rejimin faaliyetlerini finanse etmesine yardımcı olmak için büyük ölçüde kripto para hırsızlığına odaklanıyor. Araştırmacılar daha önce, Mandiant tarafından UNC4736 kod adlı bir grupla birlikte bu yılın başında keşfedilen X_Trader tedarik zinciri saldırısının arkasında bu grubun unsurlarının yer aldığını bildirmişti.
- APT37: Kuzey Kore’nin Devlet Güvenlik Bakanlığı’nı (MSS) yöneten bu grup, Kuzey Kore ile etkileşimde bulunan hükümetlerin yanı sıra yurtdışındaki sığınmacıların faaliyetleriyle ilgili istihbarat toplamaya odaklanmış gibi görünüyor. Grup bu sene oldukça aktif.
- APT38: Bu gruba yakın zamanda herhangi bir saldırı atfedilmemiş olsa da, tarihsel olarak grup, Bankalararası Fon Transfer Sistemlerini hedef alarak milyonlarca doların çalınması da dahil olmak üzere finansal hırsızlığa odaklanmıştır.
- APT43: RGB tarafından yönetilen bu grup, özellikle Güney Kore ve ABD hükümet kuruluşlarına, düşünce kuruluşlarına ve akademisyenlere odaklanan “Kuzey Kore rejiminin istihbarat toplama çıkarlarını doğrudan destekleyen üretken bir siber operatördür” (bkz: Kuzey Koreli Hackerlar Güney Kore Donanma Tersanelerini Hedef Aldı).
- Kripto Çekirdek: En az 2018’den beri aktif olan ve UNC1069 olarak da bilinen bu grup, kripto para hırsızlığına odaklanıyor ve daha önce APT38 olarak takip edilen grubun halefi olabilir. Genellikle kripto para borsalarını ve finansal hizmet firmalarını hedef alıyor.
- TüccarHain: UNC4899 olarak da bilinen bu grup, “hedef odaklı kimlik avı mesajları yoluyla blockchain şirketlerini hedefliyor” ve APT38’in halefi olabilir.
- BT çalışanları: Rejim tarafından yurtdışına yerleştirilen veya yurtdışında yaşıyormuş gibi davranan yüksek vasıflı bilişim çalışanları, rejime gelir sağlıyor. Mandiant, “Genel olarak meşru BT çalışmaları yapmalarına rağmen, erişimlerini Kuzey Kore tarafından gerçekleştirilen kötü amaçlı siber saldırılara olanak sağlamak için kötüye kullandılar” dedi. ABD Hazine Bakanlığı’na göre, bu program öncelikle Kore İşçi Partisi’nin Mühimmat Endüstrisi Departmanı tarafından yürütülüyor gibi görünüyor (bkz: Kuzey Koreli BT Çalışanları ABD Maaşlarını Nükleer Silahları Finanse Etmek İçin Kullanıyor).
Yukarıdaki grupların veya operasyonların hepsinin mutlaka bağımsız olması gerekmez. Mandiant, birçoğunun örtüştüğünü, alt kümelerin belki de “geçici görevlendirme”ye dahil olduğunu, bunun da yeni hedeflere veya operasyon türlerine atanmadan önce gerekli istihbaratı topladıklarını söyledi. Bu örtüşmeler, Kuzey Kore’nin siber operasyonlarını takip etme çabalarını karmaşık hale getiriyor.
Mandiant, “Bu birimlerdeki operatörler mevcut odak noktalarını hızla değiştiriyor ve fidye yazılımı, konvansiyonel silahlar hakkında bilgi toplama, nükleer varlık hedefleme, blockchain ve fintech hedefleme çabaları gibi ayrı, ilgisiz çabalar üzerinde çalışmaya başlıyor.” dedi. “Görevlendirmeye yönelik bu esnek yaklaşım, savunucuların kötü niyetli etkinlikleri izlemesini, ilişkilendirmesini ve engellemesini zorlaştırırken, artık işbirlikçi olan bu düşmanın daha büyük bir hız ve uyum yeteneğiyle gizlice hareket etmesine olanak tanıyor.”