Kuzey Koreli Bilgisayar Korsanları Yabancı Uzmanları Casusluk Yapmak İçin Eşsiz Taktik Kullanıyor

Seul:

ABD merkezli bir dış ilişkiler analisti olan Daniel DePetris, Ekim ayında 38 North düşünce kuruluşu direktöründen bir makale siparişi veren bir e-posta aldığında, işler her zamanki gibi görünüyordu.

değildi.

Olaya karışanlara ve üç siber güvenlik araştırmacısına göre, gönderen aslında bilgi arayan şüpheli bir Kuzey Kore casusuydu.

Bilgisayar korsanlarının tipik olarak yaptığı gibi, bilgisayarına virüs bulaştırmak ve hassas verileri çalmak yerine, gönderen, 38 Kuzey yöneticisi Jenny Town gibi davranarak Kuzey Kore güvenlik sorunları hakkındaki düşüncelerini ortaya çıkarmaya çalışıyor gibi görünüyordu.

DePetris, Reuters’e Town’a atıfta bulunarak, “Kişiyle takip soruları için iletişime geçtiğimde ve aslında herhangi bir talepte bulunulmadığını ve bu kişinin de bir hedef olduğunu öğrendiğimde bunun yasal olmadığını anladım.” “Böylece bunun yaygın bir kampanya olduğunu çok çabuk anladım.”

Siber güvenlik uzmanlarına göre e-posta, şüpheli bir Kuzey Koreli bilgisayar korsanlığı grubu tarafından yürütülen yeni ve daha önce bildirilmemiş bir kampanyanın parçası, hedef alınan beş kişi ve Reuters tarafından incelenen e-postalar.

Araştırmacıların diğer isimlerin yanı sıra Thallium veya Kimsuky olarak adlandırdığı bilgisayar korsanlığı grubu, uzun süredir hedefleri şifreleri vermeleri veya kötü amaçlı yazılım yükleyen ekleri veya bağlantıları tıklamaları için kandıran “hedefli kimlik avı” e-postaları kullandı. Ancak şimdi, aynı zamanda araştırmacılardan veya diğer uzmanlardan görüş bildirmelerini veya rapor yazmalarını istemek gibi görünüyor.

Reuters tarafından incelenen e-postalara göre, gündeme gelen diğer konular arasında Çin’in yeni bir nükleer deneme durumunda tepkisi; ve Kuzey Kore “saldırganlığına” “daha sessiz” bir yaklaşımın garanti edilip edilmeyeceği.

Microsoft Tehdit İstihbarat Merkezi’nden (MSTIC) James Elliott, yeni taktiğin ilk olarak Ocak ayında ortaya çıktığını sözlerine ekleyerek, “Saldırganlar bu çok ama çok basit yöntemle bir ton başarı elde ediyor” dedi. “Saldırganlar süreci tamamen değiştirdi.”

MSTIC, bir Talyum saldırganı hesabına bilgi sağlayan “çok sayıda” Kuzey Kore uzmanı tespit ettiğini söyledi.

Siber güvenlik araştırmacıları, kampanyada hedef alınan uzmanların ve analistlerin uluslararası kamuoyunu ve yabancı hükümetlerin Kuzey Kore’ye yönelik politikasını şekillendirmede etkili olduğunu söyledi.

ABD hükümeti siber güvenlik kurumlarının 2020 tarihli bir raporu, Talyum’un 2012’den beri faaliyet gösterdiğini ve “büyük olasılıkla Kuzey Kore rejimi tarafından küresel bir istihbarat toplama göreviyle görevlendirildiğini” söyledi.

Microsoft’a göre Thallium, tarihsel olarak hükümet çalışanlarını, düşünce kuruluşlarını, akademisyenleri ve insan hakları kuruluşlarını hedef aldı.

Elliot, “Saldırganlar bilgiyi doğrudan atın ağzından alıyorlar ve orada oturup yorum yapmak zorunda değiller çünkü bilgiyi doğrudan uzmandan alıyorlar” dedi.

YENİ TAKTİKLER

Kuzey Koreli bilgisayar korsanları, milyonlarca doları netleştiren, liderine hakaret ettiği düşünülen bir film üzerinden Sony Pictures’ı hedef alan ve ilaç ve savunma şirketlerinden, yabancı hükümetlerden ve diğerlerinden veri çalan saldırılarıyla tanınırlar.

Kuzey Kore’nin Londra’daki büyükelçiliği yorum talebine yanıt vermedi, ancak siber suçlara karıştığını reddetti.

BAE Systems Applied Intelligence baş tehdit istihbaratı analisti Saher Naumaan, diğer saldırılarda Thallium ve diğer bilgisayar korsanlarının kötü amaçlı yazılım göndermeden önce bir hedefle güven geliştirmek için haftalar veya aylar harcadıklarını söyledi.

Ancak Microsoft’a göre, grup artık bazı durumlarda kurbanlar yanıt verdikten sonra bile kötü amaçlı dosyalar veya bağlantılar göndermeden uzmanlarla da iletişim kuruyor.

Elliot, bu taktiğin, birinin hesabını ele geçirip e-postaları arasında dolaşmaktan daha hızlı olabileceğini, bir mesajı kötü amaçlı unsurlar içeren bir mesajı tarayıp işaretleyen geleneksel teknik güvenlik programlarını atladığını ve casusların uzmanların düşüncelerine doğrudan erişmesine izin verdiğini söyledi.

“Savunmacılar olarak bizim için, bu e-postaları durdurmak gerçekten çok zor,” dedi ve çoğu durumda alıcının bunu anlamasına bağlı olduğunu da sözlerine ekledi.

Town, ondan geldiği iddia edilen bazı mesajların, “.org” ile biten resmi hesabı yerine “.live” ile biten bir e-posta adresi kullandığını, ancak tam imza satırını kopyaladığını söyledi.

Bir vakada, şüpheli saldırganın kendisini bir yanıta dahil ettiği gerçeküstü bir e-posta alışverişine karıştığını söyledi.

Defence Priorities üyesi ve birkaç gazetede köşe yazarı olan DePetris, aldığı e-postaların sanki bir araştırmacı bir makale sunumu veya bir taslak hakkında yorum istiyormuş gibi yazıldığını söyledi.

“Soruşturmanın meşru gibi görünmesini sağlamak için yazışmalara eklenmiş düşünce kuruluşu logolarıyla oldukça sofistikeydiler” dedi.

DePetris, 38 North’tan sahte e-postayı aldıktan yaklaşık üç hafta sonra, ayrı bir bilgisayar korsanının onun kimliğine bürünerek diğer insanlara taslağı incelemeleri için e-posta gönderdiğini söyledi.

DePetris’in Reuters ile paylaştığı bu e-posta, Kuzey Kore’nin nükleer programıyla ilgili bir taslağı incelemek için 300 dolar teklif ediyor ve diğer olası incelemeciler için tavsiyeler istiyor. Elliot, bilgisayar korsanlarının araştırmaları veya yanıtları için kimseye ödeme yapmadığını ve asla ödemeye niyetli olmayacaklarını söyledi.

BİLGİ TOPLAMAK

Kimliğe bürünme, dünyanın dört bir yanındaki casuslar için yaygın bir yöntemdir, ancak Kuzey Kore’nin izolasyonu yaptırımlar ve salgın altında derinleştiğinden, Batılı istihbarat teşkilatları, Pyongyang’ın özellikle siber kampanyalara bağımlı hale geldiğine inanıyor, Reuters’e konuşan Seul’deki bir güvenlik kaynağı, kimliğinin gizli tutulması koşuluyla konuşuyor. İstihbarat konularını tartışın.

Mart 2022 tarihli bir raporda, Kuzey Kore’nin BM yaptırımlarını ihlal etmesini araştıran bir uzmanlar paneli, Talyum’un çabalarını, ülkenin yaptırımlardan kaçınması konusunda “bilgilendirmeyi ve yardımcı olmayı amaçlayan casusluk teşkil eden” faaliyetler arasında listeledi.

Town, bazı durumlarda saldırganların belgeler sipariş ettiğini ve analistlerin ne olduğunu anlamadan önce tam raporlar veya el yazması incelemeleri sağladığını söyledi.

DePetris, bilgisayar korsanlarının kendisine Japonya’nın Kuzey Kore’nin askeri faaliyetlerine tepkisi de dahil olmak üzere halihazırda üzerinde çalıştığı konuları sorduğunu söyledi.

Japon Kyodo News muhabiri olduğu iddia edilen başka bir e-posta, 38 Kuzeyli bir çalışana Ukrayna’daki savaşın Kuzey Kore’nin düşüncesini nasıl etkilediğini sordu ve ABD, Çin ve Rusya politikaları hakkında sorular yöneltti.

DePetris, “Kuzey Korelilerin, ABD’nin Kuzey’deki politikasını ve nereye gidebileceğini daha iyi anlamak için düşünce kuruluşlarından samimi görüşler almaya çalıştıkları ancak tahmin edilebilir,” dedi.

(Başlık dışında, bu haber NDTV personeli tarafından düzenlenmemiştir ve sendikasyon beslemesinden yayınlanmıştır.)