Kuzey Kore hükümeti tarafından desteklenen bir ulus devlet tehdit aktörü, meşru siber güvenlik araştırmacılarını hedef alan yaklaşık iki yıllık bir kampanyanın yeni bir aşamasını başlattı ve kurbanlarına erişim sağlamak için henüz açıklanmayan bir sıfır günden yararlandı.
Söz konusu sıfır gün, Google’ın Tehdit Analiz Grubu (TAG) tarafından ortaya çıkarıldı. Sorun, ürününü etkilediği ve yama sürecinde olduğu tedarikçiye bildirildi. Operasyonel güvenlik nedeniyle bu konuda çok az şey söylenebilir.
Ancak TAG araştırmacıları Clement Lecigne ve Maddie Stone, toplumu korumak için şimdi çalışmalarının bazı ayrıntılarını açıklayacaklarını söyledi.
“Bu kampanyaya ilişkin analizimiz devam ederken, güvenlik araştırmaları topluluğunu uyarmak için ilk bulgularımızı erken bildirimde bulunuyoruz. Bunun güvenlik araştırmacılarına hükümet destekli saldırganların hedefi olabileceklerini ve güvenlik uygulamaları konusunda dikkatli olmaları gerektiğini hatırlatacağını umuyoruz” diye yazdı Lecigne ve Stone.
“Farkındalığı artırmak için bulgularımızı güvenlik topluluğuyla ve bu faaliyetlerin hedefinde olabilecek şirketler ve bireylerle paylaşmaya kararlıyız. Taktik ve tekniklerin daha iyi anlaşılmasının, tehdit avlama yeteneklerini geliştireceğini ve sektör genelinde daha güçlü kullanıcı korumasına yol açacağını umuyoruz.”
Grubun faaliyetleri ilk olarak Ocak 2021’de öne çıktı, ancak TAG bunu birkaç aydır takip ediyordu. Tehdit aktörü, sözde bir güvenlik araştırmacısı olarak güvenilirlik oluşturmak, bir araştırma blogu oluşturmak ve hedefleriyle etkileşime geçmek ve erişimlerini genişletmek için Twitter’daki (artık X) çorap kuklası profillerini kullanarak önemli miktarda zaman ve çaba harcadı.
Ayrıca bloglarını kamuya açıklanmış yeni tehditleri ve güvenlik açıklarını ayrıntılarıyla anlatan içerikle doldurma zahmetine girdiler ve hatta farkında olmadan hedeflerinden konuk gönderileri talep ettiler.
Grubun en son kampanyası, hedefleriyle sosyal bir ilişki kurmak için X’i kullanıyor; bir durumda, ilgilendikleri konularda bir araştırmacıyla işbirliği yapmaya çalıştıkları aylarca süren bir sohbeti sürdürüyorlar.
Ancak tehdit aktörü artık güvenlik profesyonelleri için gelişen Infosec.Exchange Mastodon örneğinde oluşturulmuş bir hesabı kullanıyor. Bu hesabın şu anda çoğu önde gelen araştırmacılar ve yüksek profilli siber kuruluşların liderleri olan 18.000’den fazla üyesi var.
Sosyal medya aracılığıyla iletişim kurduktan sonra, ilişkiyi daha da geliştirmek için sohbetlerini Signal veya WhatsApp gibi şifreli mesajlaşma uygulamalarına taşıyorlar. Bu yapıldıktan sonra tehdit aktörü, “popüler yazılım paketinde” sıfır günü içeren kötü amaçlı bir dosya gönderir.
Bu sıfır günün kötüye kullanılması, ekran görüntüleri de dahil olmak üzere bilgilerin toplanıp tehdit aktörünün komuta ve kontrol alanına sızmasıyla sonuçlanır. Lecigne ve Stone, istismardaki kabuk kodunun diğer Kuzey Kore istismarlarında kullanılanlara benzer şekilde oluşturulduğunu belirtti.
GetSymbol’dan kurtulun
Ancak yeni kampanya bununla bitmiyor. TAG ekibi, tehdit aktörünün artık tersine mühendislik amacıyla Microsoft, Google, Mozilla ve Citrix sembol sunucularından hata ayıklama sembollerini indirmek için kullanılan GetSymbol adında bağımsız bir Windows aracı geliştirdiğini tespit etti.
Bir araştırmacı için meşru kullanımlara sahip olabilecek GetSymbol yardımcı programının kaynak kodu, 2022’nin sonlarında GitHub’da yayınlandı ve o zamandan beri güncellendi. Ancak aynı zamanda tehdit aktörünün etki alanından isteğe bağlı kod indirme ve yürütme becerisine de sahiptir.
Lecigne ve Stone, “Bu aracı indirdiyseniz veya çalıştırdıysanız, TAG, sisteminizin bilinen bir temiz durumda olduğundan emin olmak için muhtemelen işletim sisteminin yeniden yüklenmesini gerektirecek önlemler almanızı önerir” diye uyardı.
TAG ekibinin bulguları hakkında yorum yapan Qualys tehdit araştırma müdürü Mayuresh Dani, tehdit araştırmacılarını hedef almanın büyüyen bir trend olduğunu ve kötü şöhretli Lazarus Grubu da dahil olmak üzere diğer Kuzey Koreli tehdit aktörlerinin de benzer şeyler yaptığının bilindiğini söyledi.
Dani, güvenlik araştırmacılarının neden bir tehdit aktörünün vazgeçemeyeceği kadar cazip bir hedef sunabileceğini açıkladı. “[They] Güvenlik açığı araştırması, tersine mühendislik ve kötü amaçlı yazılım analizi gibi günlük faaliyetleri gerçekleştirmek için gevşek güvenlik kontrollerine ihtiyaç duyduklarından normalde daha az korunan sistemleri kullanıyorlar” dedi.
“Bu sistemler kurumsal bir ortama bağlı olmasa da, bu makinelerden birinde veya ağ bölümünde bir dayanak noktası, tehdit saldırganlarının diğer kurumsal ortamlara yanal olarak hareket etmesine olanak tanıyacaktır. Bu aynı zamanda normal güvenlik mekanizmalarını aşmalarına ve söz konusu kuruluştaki güvenlik araştırma faaliyetlerini takip etmelerine de olanak tanıyabilir.
“Güvenlik araştırmacılarına tavsiyemiz, herhangi bir aracı günlük görevlerinde kullanmadan önce incelemektir. Bu tür araçların kaynak kodu mevcut olduğunda diğer yazılımlar gibi kontrol edilmelidir. Bu sistemlerde herhangi bir koruma uygulanmıyorsa en azından güvenlik loglaması etkinleştirilmelidir. Bu, kuruluşların bu tür tehditleri tespit etmesine ve bunlara yanıt vermesine olanak sağlayabilir.”