Bir girişimci yatırımcı, büyük bir şirketten bir işe alımcı ve yeni uzaktan çalışan bir IT çalışanı, görünüşte pek bir ortak yön taşımıyor gibi gözükse de, Kuzey Kore rejimi için casusluk yapan sahte çalışanlar oldukları ortaya çıktı. Bu bilgi, güvenlik araştırmacılarının huzurunda paylaşıldı.
Cuma günü Washington DC’de düzenlenen Cyberwarcon adlı siber tehditler konferansında, güvenlik araştırmacıları Kuzey Kore’nin siber saldırılarına dair güncel değerlendirmelerini sundu. Araştırmacılar, Kuzey Koreli hackerların, çok uluslu şirketlerde iş başvurusu yaparak devletine para kazandırma ve askeri programlarını destekleyecek kurumsal sırları çalma girişimlerini sürdürülebilir bir şekilde devam ettirdiğini vurguladılar. Son on yıl içinde bu sahtekarlar, uluslararası yaptırımlardan kaçınarak, kripto para hileleriyle **milyarlarca dolar** çaldılar.
Hackerların Yöntemleri
Microsoft güvenlik araştırmacısı James Elliott, Cyberwarcon konuşmasında Kuzey Koreli IT çalışanlarının “yüzlerce” organizasyona infiltrasyon gerçekleştirdiğini, sahte kimlikler oluşturarak başarılara imza attıklarını belirtti. Bu sahtekarlar, Kuzey Koreli çalışanların gelirlerini ve iş bilgisayarlarını yönetmelerine yardımcı olmak için ABD merkezli kolaylaştırıcılara güveniyorlar.
Kripto Para Hırsızlığı ve Hack Grupları
Kuzey Kore’nin siber yeteneklerini araştıran uzmanlar, ülkenin hacker gruplarının sayısının arttığını ve her birinin kripto para hırsızlığı amacıyla farklı taktikler kullandığını gözlemliyor. Kuzey Kore’nin siber saldırıları için risk riski az çünkü zaten uluslararası yaptırımlarla karşı karşıya.
Microsoft’un “Ruby Sleet” adını verdiği bir hacker grubu, uzay ve savunma sanayilerini hedef alarak endüstriyel sırlarını çalmaya çalıştı. Ayrıca, “Sapphire Sleet” adlı başka bir grup, recruiter ve girişimci gibi davranarak bireylerden ve şirketlerden kripto para çalmaya yönelik kampanyalar düzenledi. Hedeflerine ulaşmak için etkileşimler ve sanal toplantılar düzenleyen bu hackerlar, toplantılara dair dolandırıcılık senaryoları geliştirdiler.
Kuzey Koreli Uzmanların Çalışma Yöntemleri
Siber savaşta Kuzey Koreli hackerların en zorlu kampanyalarından birisi, büyük şirketlere uzaktan çalışan olarak girmeye çalışmalarıdır. Microsoft, Kuzey Koreli IT çalışanlarını “üçlü tehdit” olarak tanımlıyor; çünkü bu kişiler dolandırıcılık yaparak iş bulabiliyor, Kuzey Kore hükümetine finans sağlıyor ve şirket sırlarını çalmanın yanı sıra şirketleri tehdit ederek zorbalık yapabiliyor.
Kuzey Koreli bir işçiyi kazara işe alan yüzlerce şirkete rağmen, sadece birkaç firma kamuoyuna bu durumu açıkladı. Güvenlik şirketi KnowBe4, daha önce Kuzey Koreli bir çalışanın kendilerini kandırdığını duyurdu, fakat şirket, dolandırıldıklarını fark ettikten sonra çalışanın uzaktan erişimini engelledi ve hiçbir veri kaybı olmadığını ifade etti.
Kandırma Yöntemleri ve Sahte Kimlikler
Kuzey Koreli IT çalışanları, online platformlarda itibari bir profiller oluşturuyorlar; LinkedIn ve GitHub gibi hesaplar oluşturarak profesyonel bir kimlik yaratıyorlar. Yüz değiştirme ve ses değiştirme teknolojisi gibi AI tabanlı uygulamalar kullanarak sahte kimlikler oluşturabiliyorlar.
İşe alındıktan sonra, şirketler yeni çalışanın bilgisayarını ABD‘deki bir adrese gönderiyorlar; ancak bu adresin, olayları manipüle eden bir kolaylaştırıcıya ait olduğu fark edilmiyor. Bu kişiler, şirket tarafından verilen dizüstü bilgisayarları kuruyor ve uzaktan erişim yazılımlarını yükleyerek Kuzey Koreli casusların gerçek konumlarını gizlemelerini sağlıyor.
Olayların Ortaya Çıkışı ve İlerleyen Süreç
Microsoft, Kuzey Koreli IT işçilerine dair detayların paylaşıldığı bir veri setine tesadüfen ulaştığını açıkladı. Bu dosyada, sahte kimlikler, sahte özgeçmişler ve bu operasyonlardan elde edilen gelirler hakkında bilgiler mevcut. Araştırmacılar, sahte kimliklerin doğruluğunu artırmak amacıyla hesap bilgilerini hızlıca doğrulayarak güvenilirlik kazandırmaya çalışıyorlar.
Ancak, Hackerların bazen aydınlatıcı hataları da oluyor. Örneğin, bir Kuzey Koreli işçi, kendisini Japon olarak tanıtırken dilbilgisi hataları yapabiliyor ve bu durum kimliğini açığa çıkarabiliyor. Süreç içerisinde, ABD hükümeti Kuzey Kore bağlantılı kuruluşlara yaptırımlar uyguladı ve FBI, kötü niyetli aktörlerin sahte kimlikler kullanarak operasyon yaptığını duyurdu.
şirketlerin sahte çalışanları tespit etme konusundaki çabalarını artırmaları gerektiği vurgulandı. Elliott, “Onlar gitmeyecek, uzun bir süre burada kalacaklar.” dedi.
