Küresel olarak, Kuzey Kore’nin Kimsuky gelişmiş kalıcı tehdit grubu (aka APT43) ve onun ayırt edici özellikleri etrafında ilgi arttı. Yine de, incelemeye rağmen grup yavaşlama belirtisi göstermiyor.
Kimsuky, ana amacı genellikle (ancak yalnızca değil) politika ve nükleer silah araştırmaları alanlarında casusluk yapmak olan, hükümetle bağlantılı bir tehdit aktörüdür. Hedefleri hükümet, enerji, ilaç ve finans sektörlerini ve bunun da ötesinde, çoğunlukla Kuzey Kore’nin baş düşman olarak gördüğü Güney Kore, Japonya ve Amerika Birleşik Devletleri’ni kapsıyor.
Kimsuky kesinlikle yeni bir ekip değil — CISA, grubun faaliyetlerini 2012 yılına kadar takip etti. Siber güvenlik firması Mandiant’ın bir raporu ve Alman’dan ortak bir uyarıya yol açan Chrome uzantı tabanlı bir kampanya sayesinde ilgi geçen ay zirveye ulaştı. ve Koreli yetkililer. 20 Nisan’da yayınlanan bir blogda VirusTotal, aşağıdaki grafikte gösterildiği gibi, Kimsuky ile ilişkili kötü amaçlı yazılım aramalarında ani bir artışın altını çizdi.
Birçok APT, araştırmacıların ve kolluk kuvvetlerinin artan incelemeleri altında çökmüştür. Ancak işaretler, Kimsuky’nin etkilenmediğini gösteriyor.
Mandiant’ta tipik APT’lerin baş analisti olan Michael Barnhart, “Genellikle içgörüleri yayınladığımızda, ‘Oh, vay, ifşa olduk. Yer altına inme zamanı’ diyorlar” diyor.
Ancak Kimsuky’nin durumunda, “kimsenin umurunda değil. Bu şeyde sıfır yavaşlama gördük.”
Kimsuky’ye Neler Oluyor?
Kimsuky, iki alt gruba doğrudan bölünme dahil olmak üzere birçok yineleme ve evrim geçirdi. Üyeleri hedef odaklı kimlik avında en deneyimli kişilerdir ve peşinde oldukları hassas bilgilere daha yakın olmak için kimlik avı e-postalarında – genellikle haftalarca – hedeflenen kuruluşların üyelerinin kimliğine bürünürler.
Bununla birlikte, yıllar boyunca dağıttıkları kötü amaçlı yazılım çok daha az tahmin edilebilir. Kötü amaçlı tarayıcı uzantıları, uzaktan erişim Truva atları, modüler casus yazılımlar ve daha fazlasıyla eşit yetenek sergilediler; bazıları ticari, bazıları değil.
Blog gönderisinde VirusTotal, APT’nin .docx makroları aracılığıyla kötü amaçlı yazılım dağıtma eğilimini vurguladı. Ancak birkaç durumda grup, Windows ve Microsoft Office’te 7,8 yüksek önem dereceli rastgele kod yürütme güvenlik açığı olan CVE-2017-0199’u kullandı.
Son zamanlarda Kimsuky’ye olan ilginin artmasıyla VirusTotal, yüklenen örneklerin çoğunun Güney Kore ve Amerika Birleşik Devletleri’nden geldiğini ortaya çıkardı. Bu, grubun geçmişi ve amaçlarıyla uyumludur. Bununla birlikte, İtalya ve İsrail gibi Kuzey Kore siyasetiyle hemen ilişkilendirilemeyecek ülkelerde de kolları var.
Örneğin, aramalar söz konusu olduğunda – numunelerle ilgilenen bireyler – ikinci en çok hacim Türkiye’den geliyor. Blog gönderisine göre, “Bu, Türkiye’nin Kuzey Kore siber saldırılarının kurbanı veya kanalı olduğunu düşündürebilir.”
Kimsuky’ye Karşı Nasıl Savunma Yapılır?
Kimsuky, ülkeler ve sektörler genelindeki kuruluşları hedef aldığından, onlar hakkında endişelenmesi gereken kuruluşların sayısı, çoğu ulus devlet APT’sinden daha fazladır.
Barnhart, “Öyleyse, her yerde vaaz ettiğimiz şey, sayıların gücüdür. Dünyadaki tüm bu kuruluşlarla, birbirimizle konuşmamız önemlidir. İşbirliği yapmamız önemlidir. Hiç kimse faaliyet göstermemeli” diyor. bir silo.”
Ve Kimsuky, bireyleri daha büyük saldırılar için kanal olarak kullandığı için herkesin tetikte olması gerektiğini vurguluyor. “Hepimizin şu temele sahip olması önemlidir: bağlantılara tıklamayın ve çok faktörlü kimlik doğrulamanızı kullanın.”
Spear kimlik avına karşı basit önlemlerle, Kuzey Koreli bilgisayar korsanları bile engellenebilir. Barnhart, “Gördüğümüz kadarıyla, siber hijyeninizi takip etmek için gerçekten zaman ayırırsanız işe yarıyor,” diyor.