Kuzey Kore ileri kalıcı tehdit (APT) grupları, COVID-19 salgınının başlangıcından bu yana benzeri görülmemiş bir şekilde uyum sağladı, uyum ve karmaşıklık açısından gelişti ve bireysel tehdit gruplarının faaliyetlerini çeşitlendirmesine ve genişletmesine olanak tanıdı. araştırmacıların takip etmesi daha zor.
Tarihsel olarak tehdit araştırmacıları, Kuzey Kore’nin tehdit faaliyetlerini Lazarus Group ve Kimsuky’nin de aralarında bulunduğu bireysel gruplar tarafından yürütüldüğünü takip etti. Bununla birlikte, çabaları giderek daha fazla koordine eden ve hem araçları hem de bilgileri paylaşan bireysel APT’ler arasındaki çizgiler bulanıklaşmaya başlıyor. Mandiant’taki araştırmacılar 10 Ekim’de yayınlanan bir raporda bunun sonucunda kimin hangi tehdit faaliyetinden sorumlu olduğunu ayırt etmenin zorlaştığını ortaya çıkardı.
Tehdit araştırmacıları, eylemi faile göre tanımlamak için çeşitli konuları çözmeye çabalarken, Kuzey Koreli aktörler saldırılarını çeşitlendirmek için çevik bir şekilde hareket ediyor, araçları ve kodları paylaşıyor ve farklı platformlar (Linux ve MacO’lar dahil) için özel olarak tasarlanmış kötü amaçlı yazılımlar oluşturmak üzere uyum sağlamaya ve değiştirmeye devam ediyorlar. araştırmacılar bunları buldu.
Araştırmacılar, grupların çeşitli tedarik zinciri vektörlerini kullanarak birden fazla APT tarafından birden fazla ağa birden fazla izinsiz girişi kapsayan agresif ve daha geniş saldırılara doğru evrilmesi nedeniyle tedarik zincirinin Kuzey Kore APT’leri nedeniyle artan bir risk altında olabileceğini belirtti.
Araştırmacılar, “Görevlendirmeye yönelik bu esnek yaklaşım, savunucuların kötü niyetli etkinlikleri izlemesini, ilişkilendirmesini ve engellemesini zorlaştırırken, aynı zamanda işbirlikçi olan bu düşmanın daha büyük bir hız ve uyum yeteneğiyle gizlice hareket etmesine olanak tanıyor” dedi.
Bununla birlikte, Mandiant analistleri raporda, bireysel grupların “fidye yazılımı, konvansiyonel silahlar hakkında bilgi toplama, nükleer varlık hedefleme, blockchain ve fintech hedefleme çabaları gibi ayrı, ilgisiz çabalar” üzerinde çalışmaya devam ettiğini belirtti. Bu, her birinin sonuçta hizmet ettiği Kuzey Kore’nin Yüce Lideri Kim Jong Un’un rejimini finanse etmek için kripto para birimini çalma çabalarını da içeriyor. Bu çaba APT’ler genelinde geniş bir hedef olsa da, son yıllarda yalnızca bu faaliyeti hedefleyen çeşitli alt gruplar ortaya çıkmıştır.
Daha Organize Devlet Destekli Bir Yapı
COVID-19, Kuzey Kore tehdit gruplarının çalışma biçiminde önemli bir değişikliğe işaret etti; bu dönemde doğrudan sınırların kapatılmasıyla ortaya çıkan benzeri görülmemiş düzeyde bir koordinasyon ve bilgi paylaşımı gerçekleşti. Mandiant’ın baş analisti Michael Barnhart, bu durumun genellikle ülke dışında bulunan gizli ve suskun operatörleri zor durumda bıraktığını ve onları diğer gruplarla iletişim kurmaya zorlayarak bugüne kadar devam eden işbirliğini teşvik ettiğini söylüyor.
Barnhart, “Bu işbirliğinin kasıtlı mı yoksa zorunluluktan mı kaynaklandığı belirsizliğini korusa da, bu tür faaliyetlerde bir azalmaya dair bir işaret yok” diyor. “Aslında bu tür işbirliklerine yönelik artan bir eğilimin olduğuna dair kanıtlar var.”
Mandiant araştırmacıları, savunucuların şu anda neyle karşı karşıya olduklarını anlamalarına yardımcı olmak için mevcut Kuzey Kore APT ortamının kapsamlı bir yapısını derledi. Genel olarak, tüm tehdit grupları Kim Jong Un’a yöneliyor ve tüm faaliyetler ya rejime fon ya da istihbarat sağlamak ya da her ikisini birden sağlamak için yapılıyor.
Doğrudan dini liderden ayrılanlar, Genel Keşif Bürosunu (RGB) denetleyen Kore Halk Ordusu Genelkurmay Dairesi ve daha çok ScarCruft veya Reaper olarak bilinen APT37’nin doğrudan bağlı olduğu Devlet Güvenlik Bakanı’dır.
Mandiant’ın APT43 olarak takip ettiği Kimsuky; APT38 (daha çok Kuzey Kore’nin en üretken tehdit gruplarından biri olan Lazarus olarak bilinir); Lazarus’un faaliyetleri kapsamında da takip edilen ve siber casusluğa adanmış Temp.HERMIT; ve genellikle Maui adı verilen özel fidye yazılımlarını kullanan fidye yazılımı faaliyetleriyle bağlantılı olan Andariel.
İşleri daha da karmaşık hale getirmek için, bu grupların her birinin, belirli görevleri yerine getirmek üzere kendi altında faaliyet gösteren alt grupları vardır. Araştırmacılar, örneğin Apple.Jeus olarak takip edilen bir grubun Temp.HERMIT şemsiyesi altında faaliyet gösterdiğini ve “rejimin önceliklerini finanse etmek için dijital varlıkları çalmak amacıyla” özel olarak kripto para birimi endüstrisini hedeflemekle görevlendirildiğini yazdı.
Kore İşçi Partisi Merkez Komitesi’nin (Birleşik Cephe Departmanı ve BT Çalışanları) yönetimi altında faaliyet gösteren ve her biri rejim adına siber operasyonlar yürütmek üzere yurt içinde ve yurt dışında çalışan çeşitli gruplar da suları daha da bulandırıyor.
Kuzey Kore’nin Tehdit Gelişimi İşbirlikçi Yanıt Gerektiriyor
Kuzey Kore adına faaliyet gösteren bu farklı ve çeşitli grupların gelişen doğası nedeniyle, Mandiant’ın bulgularından çıkan sonuç, savunmacılara, Kuzey Kore’nin yabani otlarına çok fazla dalmak yerine, belirli bir faaliyetin spesifik doğasına odaklanarak daha iyi hizmet verileceğidir. Barnhart, Kuzey Kore destekli hangi grubun bunu gerçekleştirdiğini bulmaya çalıştığını söylüyor.
“Bu belirli tehdit aktörleri son derece kolay uyum sağlayabilen ve çeviktir; çoğu zaman savunucuların, eylemleri klavyenin arkasındaki belirli kişilere atfetmeye çalışırken önemli miktarda zaman harcamasına neden olur” diyor.
Bu süreç “basit olmaktan uzak” olduğundan, daha verimli bir yaklaşım “sonradan göreve öncelik vermek” olacaktır. [attributing the attacks] Barnhart, “Kuzey Kore’ye, belirli endişelerin giderilmesi gerekli hale gelene kadar belirli birimlerle aşırı derecede meşgul olmak yerine,” dedi.
Gelecekteki tehdit istihbaratı toplama çabaları, savunucuların Kuzey Kore APT’leri tarafından “bu ısrarcı tehdit aktörüne karşı daha etkili, kolektif bir tepki” oluşturmak için gösterilen işbirlikçi ruha sahip olmalarına dayanacak.
Barnhart, “Tavsiyemiz, hem hükümetlerin hem de özel sektörün ortak bir cephe sunarak işbirlikçi çabalarını sürdürmeleridir” diyor. “Bu yaklaşım, tehdit aktörüne dayatılan maliyeti en üst düzeye çıkarmaya hizmet ediyor.”