Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç, Hükümet
Devlet Destekli Hack Grubu Andariel Aktif ve Karmaşık Kampanyalarla Bağlantılı
Chris Riotta (@chrisriotta) •
25 Temmuz 2024
Mandiant’ın Perşembe günü yayınladığı bir rapora göre, hükümet kurumlarına ve kritik altyapılara yönelik büyük çaplı siber saldırılar düzenlemesiyle bilinen bir Kuzey Koreli bilgisayar korsanlığı grubu, sağlık, enerji ve finans sektörlerini hedef alacak şekilde operasyonlarını genişletiyor.
Ayrıca bakınız: Web Semineri | Sosyal Mühendislik ve Kimlik Avıyla Mücadele İçin Yapabileceğiniz Her Şey
Muhtemelen Kore Demokratik Halk Cumhuriyeti Keşif Genel Bürosu tarafından yönetilen bir bilgisayar korsanlığı grubu olan Andariel, daha önce hükümetlere, orduya ve kritik altyapılara yönelik saldırılar nedeniyle ABD Hazine Bakanlığı tarafından yaptırımlarla karşı karşıya kalmıştı.
Gelişmiş kalıcı tehdit grubunun siber operasyonları – diğer Kuzey Koreli hack gruplarınınki gibi – son yıllarda giderek daha karmaşık hale geldi. Uzmanlar özellikle Andariel’in etkiyi en üst düzeye çıkarırken tespitten kaçınmak için daha gelişmiş araçları ve teknikleri benimsemeye devam ettiğini görüyor (bkz: Araştırmacılar: Kuzey Koreli Bilgisayar Korsanları Hız ve Esneklik Kazanıyor).
Google’ın bir parçası olan Mandiant, Andariel’in hükümet kurumlarından savunma ve araştırma ve geliştirme istihbaratı edinme çabalarını izlemek için FBI dahil olmak üzere “birden fazla ABD hükümet kurumuyla aktif olarak koordineli bir çaba içinde olduğunu” söylüyor. Perşembe günü yayınlanan bir Mandiant raporu, tehdit istihbarat firmasının grubu APT45 olarak izlemeye başlayacağını ve Pyongyang’a bağlı bilgisayar korsanlarının diğer hedefli casusluk kampanyalarının yanı sıra hükümet nükleer tesisleri, araştırma enstitüleri ve savunma sistemleri hakkında istihbarat aradığı konusunda uyardı.
“Kim Jong Un daha iyi füzeler talep ettiğinde, onun için planları çalan adamlar bunlardır,” dedi Mandiant’ın baş analisti Michael Barnhart. Kuzey Koreli hackerlar “hastaneler de dahil olmak üzere hedeflerine ulaşmak için herhangi bir varlığı hedef almaya istekli ve yeterince çevik olduklarını gösterdiler.”
Mandiant, Andariel’in fidye yazılımlarının geliştirilmesi ve dağıtımında da yer aldığını “orta derecede güvenle” değerlendiriyor ve grubu en az 2009’dan beri faaliyet gösteren “orta derecede gelişmiş bir siber operatör” olarak tanımlıyor. O zamandan beri grubun saldırıları, yalnızca Andariel’i değil, aynı zamanda Onyx Sleet, Stonefly ve Silent Chollima’yı da içeren çeşitli kod adları kullanılarak izlendi ve bazen DPRK’nın Lazarus hacker grubuyla ilişkilendirildi.
Kuzey Kore, kâr amaçlı bilgisayar korsanlığını destekleyen, çalınan parayı kitle imha silahlarının geliştirilmesinde ve Pyongyang’a nakit akışı sağlamakta kullanan nadir devletlerden biridir.
Siber güvenlik firması, Andariel’in 2019’da Hindistan’daki bir tesis de dahil olmak üzere nükleer araştırma tesislerini ve enerji santrallerini doğrudan hedef aldığını buldu. 2021’de Kuzey Kore’de şüpheli bir COVID-19 salgını sonrasında sağlık ve ilaç sektörlerine genişledi.
Raporda, “Grubun gözlemlenen ilk faaliyetleri, hükümet kurumlarına ve savunma sanayilerine karşı casusluk kampanyalarından oluşuyordu” denildi. “APT45, finansal dikeyi hedeflemek de dahil olmak üzere, mali olarak motive edilmiş operasyonlara yönelik yetki alanını genişletti.”
Barnhart, Kuzey Kore’nin askeri ilerlemelerinin çoğunu grubun “dünya çapındaki hükümetlere ve savunma örgütlerine karşı başarılı casusluk çabalarına” bağladı. Mandiant daha önce Andariel gibi Kuzey Kore devlet destekli grupların “şu anki odaklarını hızla değiştirip fidye yazılımları gibi ayrı, ilgisiz çabalar üzerinde çalışmaya başlayabilecekleri” konusunda uyarmıştı.
Mandiant’ın raporu, Güney Kore Ulusal İstihbarat Servisi’nin Kuzey Kore’nin karmaşık saldırılar düzenlemek ve hedefleri belirlemek için üretken yapay zeka teknolojilerini kullandığına dair Ocak ayındaki uyarısının ardından geldi (bkz: Kuzey Koreli Hackerlar Gelişmiş Siber Saldırılarda Yapay Zeka Kullanıyor).