Yeni Çinli Tehdit Aktörü Belirlendi

   Kasım 25, 2024  Posted in ThecyberExpress


Microsoft Tehdit İstihbaratı analistleri, Kuzey Koreli ve Çinli tehdit aktörlerine ilişkin yeni bilgiler paylaştı. Siber güvenlik analisti, son CYBERWARCON’da saldırıların yükselişi, tehdit aktörü taktiklerinin gelişimi ve devlet destekli çeşitli gruplar tarafından kullanılan stratejilerle ilgili ayrıntıları paylaştı.

Konferansın öne çıkan önemli noktaları arasında Kuzey Kore’nin siber yeteneklerine ilişkin ayrıntılı bilgiler ve yeni bir Çin tehdit eyleminin tanıtılması yer aldı.tor, Fırtına-2077, operasyonları dünya çapındaki devlet kurumlarını ve kuruluşlarını hedef alıyor.

Kuzey Koreli Hackerlar: On Yıllık Gelişen Taktik

CYBERWARCON’da en çok konuşulan sunumlardan biri, Microsoft analistlerinin Kuzey Koreli tehdit aktörlerinin son on yılda siber yeteneklerini nasıl geliştirdiklerini paylaştığı “DPRK – Tamamen Büyümüş” başlıklı sunumdu.

Kuzey Kore, başta kripto para birimi olmak üzere milyarlarca doları çalmak ve uydu sistemleri ve silah teknolojileri ile ilgili kuruluşları hedef almak için en son teknoloji araçlardan yararlanarak kapsamlı bir bilgisayar ağı istismarı (CNE) yeteneğini başarılı bir şekilde oluşturdu.

Sunumda grubun sıfır gün güvenlik açıklarından yararlanma, kripto para birimi teknolojilerini kullanma ve hatta saldırılarını geliştirmek için blockchain ve yapay zeka kullanma konusundaki uzmanlığı vurgulandı. Kuzey Kore, küresel yaptırımları aşmaya yönelik devam eden çabalarının bir parçası olarak Rusya ve Çin gibi ülkelerde BT çalışanlarını görevlendirdi.

Bu işçiler, Kuzey Kore dışındaki ülkelerden gelen bireyler gibi davranarak görünüşte meşru BT hizmetleri sağlarken, Kuzey Kore’nin silah programlarını finanse etmek için gizlice gelir elde ediyorlar.


Tarayıcınız video etiketini desteklemiyor.

Microsoft analistleri Kuzey Koreli tehdit aktörlerinin üç temel amacını vurguladı:

  1. Ülkenin silah programlarını finanse etmek için para ve kripto para çalmak.
  2. Silah sistemleri ve politika kararlarına ilişkin hassas bilgilerin toplanması.
  3. Kuzey Kore’nin askeri ve siber programlarını doğrudan destekleyen gelir elde etmek için BT çalışmalarını kullanmak.

Storm-2077: Yeni Bir Çinli Tehdit Aktörü

Microsoft, Kuzey Kore siber faaliyetlerini izlemenin yanı sıra, en az Ocak 2024’ten bu yana aktif olan, Çin devleti destekli bir tehdit aktörü olan Storm-2077’ye de derinlemesine bir bakış sağladı.

Microsoft’un kapsamlı istihbarat toplama yoluyla tespit ettiği bu grup, devlet kurumları, sivil toplum kuruluşları (STK’lar) ve savunma, havacılık, telekomünikasyon ve finansal hizmetler gibi sektörler de dahil olmak üzere çok çeşitli sektörleri hedef alan yaygın saldırılar başlattı.

Fırtına-2077 Kimlik avı tekniklerinden yararlanarak ve güvenliği ihlal edilmiş sistemlere erişim sağlayarak istihbarat toplama operasyonlarını yürüten son derece gelişmiş bir aktör. Oturum açma kimlik bilgilerini, finansal bilgileri, fikri mülkiyeti ve gizli iletişimleri içerebilecek e-postalar da dahil olmak üzere hassas verileri çalmak için geçerli kimlik bilgilerini kullanmak ve bulut tabanlı uygulamalardan yararlanmakla ünlüdürler.

Mikroosoft’un Storm-2077 ile ilgili araştırması, grubun özellikle e-posta verilerini sızdırma konusunda usta olduğunu gösterdi. Storm-2077, kimlik bilgilerini çalarak ve eDiscovery araçları gibi bulut uygulamalarına erişim sağlayarak, anında tespit edilmeden büyük miktarda hassas bilgiye erişebilir. Operasyonları, iz bırakmadan istihbarat elde etmek ve verileri gelecekteki saldırılar veya stratejik amaçlar için kullanmalarına olanak sağlamak üzere tasarlandı.

Takip ve İlişkilendirme: Siber Operasyonlardaki Zorluklar

“Geride Hedef Yok” başlıklı konuşmada tartışıldığı gibi, Çin devleti destekli siber operasyonların izlenmesindeki en büyük zorluk, çeşitli Çinli tehdit aktörlerinin kullandığı taktiklerin örtüşmesidir. Bu gruplar tespit edilmekten kaçınmak için yöntemlerini sürekli olarak ayarladıkça, aralarında ayrım yapmak giderek zorlaşıyor. Microsoft’un analistleri, örtüşen saldırı modellerinden yararlanarak ve bu operasyonları Çin devletine atfetmelerine olanak tanıyan benzersiz işaretleri belirleyerek Storm-2077’nin faaliyetlerini nasıl bir araya getirdiklerini açıkladı.

Microsoft, grubun faaliyetlerini titizlikle takip ederek, hedeflenen kuruluş türlerinde ve kullanılan araçlarda bir eğilim belirledi. Storm-2077 öncelikle istihbarat toplamaya odaklanıyor ve birden fazla sektörde mümkün olduğunca hassas bilgi toplamayı hedefliyor. Bu düzeydeki karmaşıklık ve ısrar, onları hem ulusal güvenlik hem de küresel endüstriler için önemli bir tehdit haline getiriyor.

Sapphire Sleet: Kuzey Kore’nin Kripto Paralara Saldırısı

Microsoft, Kuzey Koreli BT çalışanları ve devlet destekli siber aktörlerle ilgili tartışmasına ek olarak, büyük ölçekli kripto para hırsızlığından sorumlu olan Kuzey Koreli bir siber birim olan Sapphire Sleet olarak bilinen grup hakkında da sunum yaptı. Operaen az 20’den beri20, Safir Sleet haÇeşitli şirketlerden milyonlarca dolarlık kripto para birimi çalındı. Yöntemleri, kurbanları kötü amaçlı yazılım indirmeye yönlendirmek için risk sermayedarları veya işe alım uzmanları gibi görünmek gibi sosyal mühendislik tekniklerini içerir.

Özellikle yaygın bir taktikte, Safir Karla karışık yağmur Potansiyel yatırımları tartışma kisvesi altında çevrimiçi toplantılar başlatıyor. Kurban bağlanmaya çalıştığında donmuş bir ekranla veya bir hata mesajıyla karşılaşıyor ve teknik desteğe başvurmasını istiyor. Bu kişi kötü amaçlı yazılım indirme işlemini başlatarak kurbanın cihazını ele geçirir ve saldırganın kripto para birimini ve diğer hassas verileri çalmasına olanak tanır.

Ayrıca grubun LinkedIn gibi platformları işe alım uzmanı gibi görünmek için kullandığı, iş fırsatları kisvesi altında potansiyel hedeflere ulaştığı da gözlemlendi. Daha sonra kurbanları, kötü amaçlı yazılım bulaşmasına yol açan hileli beceri değerlendirmelerini tamamlamaları için kandırıyorlar.

Kuzey Koreli BT Çalışanlarının Siber Operasyonlardaki Rolü

Kuzey Kore’nin siber faaliyetinin giderek daha endişe verici bir unsuru, hükümete gelir sağlamak için küresel olarak faaliyet gösteren rejimin BT çalışanları ağını içeriyor. Genellikle Rusya ve Çin gibi ülkelerde bulunan bu işçiler, Kuzey Kore’nin siber yeteneklerini gizlice geliştirirken şirketler için uzaktan BT görevleri gerçekleştiriyor.

Microsoft, bu çalışanların faaliyetlerini takip ederek sahte profiller ve iş başvuruları oluşturmada onlara yardımcı olan kolaylaştırıcılardan oluşan bir ağı ortaya çıkardı. Bu uygulama, Kuzey Kore’nin yaptırımları atlatmasına ve silah programlarını finanse etmeye devam ederken önemli miktarda gelir elde etmesine olanak tanıyor.

Kuzey Koreli BT çalışanı ağı, Microsoft tarafından “üçlü tehdit” olarak değerlendiriliyor, çünkü bu çalışanlar:

  1. Gelir elde etmek için meşru BT görevlerini gerçekleştirin.
  2. Fikri mülkiyet ve ticari sırlar da dahil olmak üzere hassas bilgileri çalın.
  3. Ödeme yapılmadığı takdirde çalınan verileri serbest bırakmakla tehdit ederek şirketleri şantaj yapma potansiyeline sahip olun.

Bu ağın ölçeği çok büyük; bu işçiler tarafından GitHub, LinkedIn ve Upwork gibi platformlar aracılığıyla iş bulmak için kullanılan yüzlerce sahte profil ve portföy var. Bazı durumlarda Faceswap gibi yapay zeka araçları, Kuzey Koreli BT çalışanlarının ikna edici fotoğraflarını oluşturmak için kullanıldı ve bu da onları takip etme ve tanımlama çabalarını daha da karmaşık hale getirdi.



Source link