Güvenlik araştırmacıları 2 Şubat’ta Kuzey Koreli Lazarus Grubu tarafından tıbbi araştırma ve enerji kuruluşlarını casusluk amacıyla hedef alan bir siber saldırı kampanyası tespit ettiklerini bildirdi.
Bu ilişkilendirme, fidye yazılımı saldırısı olduğundan şüphelendiği bir müşteriye yönelik bir olayı incelerken kampanyayı keşfeden WithSecure’un tehdit istihbaratı analistleri tarafından yapıldı. Daha fazla araştırma – ve Lazarus ekibi tarafından yapılan önemli bir operasyonel güvenlik (OpSec) hatası – bunun aslında Kuzey Kore tarafından yönetilen daha geniş bir devlet destekli istihbarat toplama kampanyasının parçası olduğuna dair kanıtları ortaya çıkarmalarına yardımcı oldu.
WithSecure’un kıdemli tehdit istihbaratı araştırmacısı Sami Ruohonen, “Başlangıçta bunun bir BianLian fidye yazılımı saldırısı olduğundan şüpheleniliyordu” diyor. “Topladığımız kanıtlar hızla farklı bir yöne işaret etti. Ve daha fazlasını topladıkça, saldırının Kuzey Kore hükümetiyle bağlantılı bir grup tarafından gerçekleştirildiğinden daha fazla emin olduk ve sonunda bunun Lazarus Grubu olduğu konusunda kendinden emin bir şekilde sonuca vardık.”
Fidye Yazılımdan Siber Casusluğa
Onları bu faaliyete yönelten olay, Ağustos ayının sonunda yama uygulanmamış bir Zimbra posta sunucusundaki bilinen güvenlik açıklarından yararlanılarak elde edilen bir ilk uzlaşma ve ayrıcalık artışıyla başladı. Bir hafta içinde, tehdit aktörleri o sunucudaki posta kutularından birçok gigabayt veriyi sızdırdı. Ekim ayına kadar, saldırgan ağ boyunca yanal olarak hareket ediyordu ve yol boyunca karada yaşama (LotL) teknikleri kullanıyordu. Kasım ayına kadar, tehlikeye atılan varlıklar Cobalt Strike komuta ve kontrol (C2) altyapısına işaret etmeye başladı ve bu süre zarfında saldırganlar ağdan neredeyse 100 GB veri sızdırdı.
Araştırma ekibi, kötü adamlar tarafından kullanılan bir arka kapıdaki hata mesajı nedeniyle olayı “Ananas Yok” olarak adlandırdı.
Araştırmacılar, etkinliğin kötü amaçlı yazılıma, TTP’lere ve veri hırsızlığı sırasında bir temel eylem içeren birkaç bulguya dayalı Lazarus grup etkinliğiyle örtüştüğüne büyük ölçüde güvendiklerini söylüyorlar. Kısa bir süre için Kuzey Kore’ye ait bir IP adresine bağlanan, saldırgan tarafından kontrol edilen bir Web kabuğu keşfettiler. Ülkede bu türden binden az adres var ve araştırmacılar ilk başta bunun bir hata olup olmadığını merak edip olmadığını doğrulamadan önce.
WithSecure’un tehdit istihbaratı başkanı Tim West, “Bu OpSec başarısızlığına rağmen, aktör iyi bir ticaret becerisi sergiledi ve yine de dikkatle seçilmiş uç noktalarda üzerinde düşünülmüş eylemler gerçekleştirmeyi başardı” diyor.
Araştırmacılar olayı araştırmaya devam ettikçe, tehdit aktörleri tarafından kontrol edilen C2 sunucularından birine yapılan bağlantılara dayalı olarak saldırının ek kurbanlarını da tespit edebildiler; Diğer kurbanlar arasında bir sağlık araştırma şirketi; enerji, araştırma, savunma ve sağlık sektörlerinde kullanılan teknoloji üreticisi; ve önde gelen bir araştırma üniversitesinde kimya mühendisliği bölümü.
Araştırmacılar tarafından gözlemlenen altyapı, geçtiğimiz Mayıs ayından bu yana oluşturuldu ve gözlemlenen ihlallerin çoğu 2022’nin üçüncü çeyreğinde gerçekleşti. Analistler, kampanyanın mağduriyetine dayanarak, tehdit aktörünün kasıtlı olarak tıbbi tedarik zincirini hedef aldığına inanıyor. araştırma ve enerji sektörleri.
Lazarus Asla Uzun Süre Kalmaz
Lazarus, Kuzey Kore Dış İstihbarat ve Keşif Bürosu tarafından yönetildiği düşünülen uzun süredir devam eden bir tehdit grubudur. Tehdit araştırmacıları, grubun faaliyetlerini 2009 yılına kadar sabitlediler ve o zamandan bu yana geçen yıllar boyunca ondan kaynaklanan tutarlı saldırılar ve arada yalnızca kısa dönemler yer aldı.
Sebepler hem finansal – rejim için önemli bir gelir kaynağı – hem de casuslukla ilgili. 2022’de, Lazarus’tan Apple’ın M1 çipinin hedef alınmasını ve sahte iş ilanı dolandırıcılığını içeren gelişmiş saldırılara dair çok sayıda rapor ortaya çıktı. Geçen Nisan ayında benzer bir saldırı, kimya sektörü ve BT’deki hedeflere kötü amaçlı dosyalar gönderdi ve aynı zamanda son derece çekici rüya işleri için iş teklifleri kılığına girdi.
Bu arada, geçen hafta FBI, Lazarus Group tehdit aktörlerinin, Horizon Bridge adlı blockchain firması Harmony’nin zincirler arası iletişim sisteminden geçen Haziran ayında 100 milyon dolarlık sanal para biriminin çalınmasından sorumlu olduğunu doğruladı. FBI müfettişleri, grubun Ocak ayının başlarında Horizon Bridge soygununda çalınan 60 milyon dolar değerindeki Ethereum’u aklamak için Railgun gizlilik protokolünü kullandığını bildirdi. Yetkililer, “bu fonların bir kısmını” dondurabildiklerini söylüyorlar.