Kuzey Koreli hackerlar, sahte iş ilanlarıyla saldırı düzenliyor

Kuzey Koreli hacker grupları, ABD vatandaşlarını hedef alan iş ilanlarıyla sistemleri ele geçirmeyi amaçlıyor.

SİBER GÜVENLİK 06.08.2020, 15:16
Kuzey Koreli hackerlar, sahte iş ilanlarıyla saldırı düzenliyor

Dünya ülkeleri COVID-19 salgınıyla boğuşurken Kuzey Koreli hackerlar, daha iyi fırsatlar arayan ve kuruluşlarda bir yer edinme umuduyla başvurularda bulunan, iş arayan kişileri hacklemek için ABD savunma ve havacılık sektörlerini sahte iş teklifleriyle hedefliyorlar.

Siber güvenlik firması McAfee bugün yayınlanan bir raporda saldırıların geçtiğimiz mart ayının sonlarında başladığını ve mayıs sonuna kadar da sürdüğünü belirtti.

"North Star Harekâtı" kod adı altında izlenen bu saldırılar için McAfee daha önce Hidden Cobra ile ilişkilendirilen altyapı ve TTP'lere (Teknikler, Taktikler ve Prosedürler) bağlantılı olduğunu söylüyor. Hidden Cobra ABD'nin tüm Kuzey Kore bölgesindeki sponsorlu siber saldırı gruplarını tanımlamak için kullandığı bir üst ifade olarak biliniyor.

Saldırılara gelince McAfee, saldırıların muhtemel bir iş teklifi içeren bubi tuzaklı belgeleri açmaya ikna eden spear-phishing terimiyle adlandırılan e-postalardan oluştuklarını açıkladı.

Konuyla alakalı önde gelen bilim insanı ve kıdemli baş mühendis Christiaan Beek birçok hacker  grubunun geçmişte bu gibi e-postaların cazibesinden yararlandığını ve Kuzey Koreli hackeların aynı yöntemi 2017 ve 2019'da ABD savunma sektörüne yönelik gerçekleştirdikleri saldırılarda da kullandıklarını söyledi.

2017'deki saldırılar Kuzey Koreli WannaCry ransomware (fidye yazılımı) üretimiyle de alakalıydı.

2020'de de birden fazla yöntemle saldırılar gerçekleştirildi. Ransomware, phishing (oltalama) ile değil, sosyal medya üzerinden yaklaşılarak hackleme faaliyetleriyle kullanıcılara sızdırıldı.

Ancak bu saldırı girişiminin etkinliği ile ilgili sorular devam ediyor. Koronavirüs salgını sırasında tüm zamanların en düşük seviyesinde işgücü hareketi sağlanırken, Kuzey Koreli hackerlar kurbanların işe gitme isteklerini kullanarak "yeni bir iş" teması ile ne kadar başarılı oldukları veya olabilecekleri belirsiz.

Maalesef McAfee bu tuzakların kullanıldığı e-postalara erişemediğini, yalnızca bubi tuzaklı belgeleri ve malware dosyalardan kullanıcıları kurtarmayı başarabildiklerini belirtti.

Sonuç olarak McAfee hangi ABD savunma veya havacılık şirketlerinin bu saldırıların hedefi olduğunu kesin olarak belirleyemedi. Bu yüzden durumla ilgili bilgi her kuruma gönderildi.

Firma tarafından belirlenen tek şey, sahte iş pozisyonları (Kıdemli Tasarım Mühendisi ve Sistem Mühendisi) ve hackerların hangi ABD savunma programları için "işe alma" mailleri attıkları oldu:

- F-22 Savaş Uçağı Programı

- Savunma, Uzay ve Güvenlik (DSS)

- Güneş enerji paneli uzmanı

- Entegre Havacı Avcı Grubu

- Askeri uçak modernizasyon programları

McAfee Baş Mühendislerinden Raj Samani dün ZDNet'e, ABD siber güvenlik ajanslarına geçmişte yaşanan saldırıları gözden geçirmeleri ve bu gibi saldırı furyalarını keşfettiklerinde, saldırıya karşı koyma prosedürlerinin bir parçası olarak yetkililere bildirmelerini söylediklerini açıkladı.

İstihbarat amaçlı saldırılar düzenleniyor

Bu saldırıların amacı olarak da Kuzey Kore’nin siber casusluk ve istihbarat toplama faaliyetleri gösteriliyor.

Dünya ile iletişi olmadan kendi başına yaşayan ülke, ihtiyaç duyduğu bilgi ve istihbaratı bu yollardan elde etme amacı taşıyor. Savunma sanayii başta olmak üzere birçok konudaki ihtiyacını ABD sistemlerini hackleyerek ele geçirmek isteyen ülke, ithal ve ele geçirme yollarını benimsemiş durumda.

Bununla birlikte Kuzey Kore'nin nükleer programını sürdürmesinin bir başka yolu da hackerlardan sıradan siber suçlara bulaşmaları ve elde ettikleri paranın münzevi krallıklarına geri akmasına izin vermeleri olarak biliniyor. Bu hafta yayınlanan benzer bir haberde güvenlik firması Kaspersky geçtiğimiz salı günü Kuzey Kore hackerlarının, VHD adlı yeni bir ransomware (fidye yazılımı) türüyle bağlantılı olduğunu belirten bir araştırma raporu yayınlamıştı.

Bahsi geçen grup BEC operasyonları, Magecart saldırıları, siber banka soygunları, kripto para korsanlığı ve dolandırıcılığı, ATM'den nakit dolandırıcılıklar ve kripto para madenciliği gibi her türlü siber suçla da bağlantılı olduğu biliniyor.

Küçük yapısı ve dış dünyayla iletişimi olmadığı halde Kuzey Kore’nin güçlü ve gelişmiş özellikleri bulunan bir hacker birimine sahip olduğu düşünülüyor.

19°
parçalı bulutlu