Blockchain & Cryptocurrency , Cryptocurrency Dolandırıcılığı , Siber Savaş / Ulus-Devlet Saldırıları
Mandiant, APT43 Madencilik Yoluyla Kripto Para Aklıyor
Rashmi Ramesh (rashmiramesh_) •
28 Mart 2023
Tehdit istihbaratı firması Mandiant, Kuzey Koreli tehdit aktörlerinin, Pyongyang’ın kendi kendine yeterli olma yetkisi altında bilgisayar korsanlığı operasyonlarını finanse etmek için kripto para çaldığını söylüyor.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
Firma, Salı günü yayınlanan araştırmada, APT43 olarak adlandırdığı bir grubun, kiralık kripto para madenciliği hizmetleri aracılığıyla çalınan dijital varlıkları akladığını tespit ettiğini söyledi. Kuzey Koreli gruplar Kimsuky veya Thallium’a atfedilen faaliyetlerle örtüşen grup, öncelikle bir siber casusluk operasyonu.
Mandiant baş analisti Michael Barnhart, “Onlar, Kim Jong Un’un bir füze fırlattıktan sonra ‘Dünya bunun hakkında ne düşündü?’ diye sormak için gittiği adamlardır” dedi. Google’a ait şirket, APT43’ün diğer Pyongyang aktörleriyle örtüşmesine rağmen ayrı bir grup olduğunu söylüyor, Mandiant’ın söylediği ortak noktalar Kuzey Koreli bilgisayar korsanlığı grupları arasında “ad hoc işbirlikleri veya diğer sınırlı kaynak paylaşımının sonucu” olarak ortaya çıkıyor.
Mandiant baş analisti Joe Dobson, “Artık tamamen yeni bir ekosistem gibi” dedi. Bilgisayar korsanlarının halka açık blok zincirleri gibi teknolojilere bağımlılıkları, finansal faaliyetlerin izlenmesine ve farklı tehdit aktörleri arasında ayrım yapılmasına yardımcı olur.
Nakit sıkıntısı çeken Kuzey Kore, geciken mali durumunu artırmak için ünlü kripto para hırsızlığını kullandı ve parayı kitle imha silahları geliştirmeye yönlendirdi. Blockchain analiz şirketi Chainalysis, eyalet bilgisayar korsanlarının yalnızca 2022’de yaklaşık 1,7 milyar dolar değerinde dijital varlık çaldığını hesapladı (bkz: Kuzey Kore Cryptocurrency Hacking için Afiş Yılı).
Mandiant, APT43’ün kripto para birimi korsanlığındaki yan çizgisinin, bilgisayar korsanlığı yoluyla sunucu kiralama gibi altyapı için ödeme yapması söylendiğini gösteriyor – bu gelişme muhtemelen Kuzey Kore bilgisayar korsanlığı grupları için geniş çapta geçerli.
Barnhart, Information Security Media Group’a verdiği demeçte, Kim rejimi muhtemelen 2020’den önce bilgisayar korsanlığı gruplarının kendi yollarının bedelini ödeyeceğini bekliyordu, ancak yeni koronavirüs pandemisi muhtemelen tehdit aktörlerini kendi kendini finanse etmeleri için ek baskı altına aldı.
Grup, blok zinciri geçmişi olmayan yeni kripto para birimi oluşturmak için bulut madenciliği hizmetlerine ödeme yaparak çalınan kripto para birimini aklamaktadır. Barnhart, Kuzey Kore’nin resmi adı olan Kore Demokratik Halk Cumhuriyeti’nin kısaltmasını kullanarak, “Kuzey Kore, küçük bir ücret karşılığında, istediklerini yapmak için izlenmeyen, temiz para birimiyle uzaklaşıyor” dedi.
Dobson, madencilik için ödeme yapmanın çalınan parayı aklamanın “alışılmadık ve inanılmaz derecede zekice bir yolu” olduğunu söyledi. “Bir hırsızın bir bankadan gümüş külçeler çaldığını ve sonra bu çalınan gümüşle altın aldığını hayal edin. Yani kolluk kuvvetleri çalınan gümüşleri ararken, banka soyguncusu külçe altınlarla ortalıkta dolaşıyor” dedi.
APT43 tarafından çalınan dolar miktarları çok büyük değil çünkü milyonlarca dolara ihtiyacı yok: Dobson, grubun odak noktasının rejim için gelir elde etmek değil, sadece operasyonlarını yürütmek olduğunu söyledi.
“10.000$’a devasa miktarda trafik için endişelenmek zorunda kalmayan bir tehdit aktörü olarak ne kadar sunucu altyapısı kiralayabileceğinizi bir düşünün. Bu oldukça önemli miktarda sunucu ve bilgisayar korsanları kesinlikle bunun çok üzerinde hırsızlık yapıyor” dedi.
Mandiant, tehdit grubunun donanım ve altyapı satın almak için muhtemelen daha önceki operasyonlar sırasında çalınan Bitcoin ile finanse edilen PayPal ve American Express kartlarını kullandığını söylüyor. Hedeflere kötü amaçlı yazılım barındırmak ve dağıtmak ve kimlik bilgilerini toplamak için güvenliği ihlal edilmiş ve kendine ait bir altyapı kullandı.
Mandiant, APT43’ün kendisinin, özellikle devlet kurumlarını ve Kore yarımadasının jeopolitik meselelerine odaklanan düşünce kuruluşlarını hedef alan “agresif sosyal mühendislik taktiklerine sahip orta düzeyde gelişmiş teknik yetenekler” olduğunu söylüyor.
Sahte etki alanları ve e-posta adresleri kullanarak hedef odaklı kimlik avı kampanyaları yürütür. Operatörleri, istihbarat toplamak, sahte içeriği düzenli olarak güncellemek ve belirli hedef kitleye göre uyarlamak için kurbanlarla yakınlık kurmak için muhabir ve düşünce kuruluşu analisti kılığına giriyor.
Barnhart, grubun tekniğini “düşük karmaşıklık, yüksek hacim” olarak adlandırdı.
Ayrıca hedef odaklı kimlik avı için ek hedefler belirlemek üzere güvenliği ihlal edilmiş kişilerin kişi listelerini kullanır. Bu çalınan kimlik bilgilerini çevrimiçi kişiler oluşturmak ve siber casusluk operasyonları için altyapı kurmak için kullanır; ve ticari hizmetler ve üretimi de içeren sektörlerde kişisel olarak tanımlayıcı bilgiler ve müşteri verileriyle finansal verileri doğrudan tehlikeye atmak.
2021’in büyük bölümünde, Kuzey Kore pandemi müdahale çabalarını desteklemesi muhtemel sağlıkla ilgili sektörlere ve Kuzey Koreli bilgisayar korsanlığı gruplarının Pyongyang önceliklerine yanıt olarak önceliklerini nasıl değiştirdiğine dair kanıtlara odaklandı.