Kaspersky tarafından gerçekleştirilen yeni bir araştırmaya göre, Kuzey Kore bağlantılı hackerlar, kötü amaçlı yazılım araçlarını geliştirmek suretiyle son iki yılda hedef listelerini genişlettiler. Kaspersky’ye göre saldırganlar, önemli kaynaklarını hackleme becerilerini geliştirmeye adamış durumdalar. Bu durumdan olumsuz etkilenen ülkelere arasında Türkiye de bulunuyor.
Hackerlar bu iş için özellikle, Kaspersky’nin MATA olarak adlandırdığı ve Windows, Linux ve MacOS işletim sistemini hedef almada kullanılan, çok kademeli zararlı yazılım framework’ü yapılandırmış durumda. Framework, 15’ten fazla kötü amaçlı yazılım bileşenini yerleştirebiliyor ve araştırmaya göre saldırganların bir hedef ağın gizliliğini ihlal ettikten sonra yana doğru hareket etmesine izin verdiğine dair izler bulunuyor.
Kaspersky, saldırganların MATA’yı şimdiye kadar bir yazılım geliştirme firmasına, bir e-ticaret şirketine ve bir internet servis sağlayıcısına karşı kullandığını söyledi. Araştırmacılar, etkilenen ülkelerin listesinde Polonya, Almanya, Türkiye, Japonya ve Hindistan’ın bulunduğunu açıkladı.
İnternetsiz Kuzey Kore siber saldırılar ile nasıl döviz elde ediyor?
Kolay Erişim
Saldırıların arkasında Lazarus var
Framework’ün dosya adları ve yapılandırmasının analizinden yola çıkan Kaspersky, söz konusu planın ABD hükümetinin Kuzey Kore hükümeti ile ilişkilendirdiği bir hack grubu olan Lazarus Grubu ile bağlantılı olduğunu düşünüyor. Kaspersky’nin kıdemli güvenlik araştırmacısı Seongsu Park’a göre MATA kullanımı adı geçen hacker grubunun yeteneklerini nasıl geliştirebileceğine dair birkaç fikir vermekte.
Park, bu saldırıların Lazarus’un zararlı yazılım araçlarını geliştirmek ve hedeflenen kuruluşlara erişimini genişletmek için önemli kaynaklar ayırmaya istekli olduğunu gösterdiğini ifade etti. Saldırganlar bunu hem para hem de veri avlamak için yapıyor. Park yaptığı açıklamada şunları da ifade etti: “Ayrıca, Linux ve macOS işletim sistemleri için kötü amaçlı yazılım yazmak, saldırganın çok daha fazla sayıda cihazın çalıştığı Windows platformu için fazlasıyla aracı olduğunu hissettiriyor”
Yaptırımlara cevap niteliği taşıyor
Kuzey Koreli hackerlar, daha önce de Sony ve WannaCry da dahil olmak üzere ses getiren birtakım saldırılar düzenlemişti, ancak MATA kullanımındaki seviye, saldırganların bu kez çok daha odaklı bir yaklaşım sergilediğini ortaya koyuyor. Framework’ün birtakım bileşenleri daha önce başka araştırmacılar tarafından da incelenmişti ancak Kaspersky’nin tespit ettiği şekilde basitleştirilmiş yapıyı ortaya koyamamışlardı. NetLab, geçen yıl MATA framework’ünün Linux ve Windows bölümleri hakkında bir blog yayınlarken, Jamf’in temel güvenlik araştırmacısı Patrick Wardle Mayıs ayında benzer şekilde bir macOS bileşenini ele almıştı.
İnternetsiz Kuzey Kore siber saldırılar ile nasıl döviz elde ediyor?
Kaspersky’ye göre MATA operasyonu, Kim Jong-un’un Kuzey Kore rejimine karşı sert uluslararası yaptırımların etkisini ve bu yüzden kendi kendine yeten bir ekonomi inşa etme ihtiyacını vurguladığı Yeni Yıl konuşmasından birkaç ay sonra Nisan 2018 itibariyle başladı.
Saldırı sebebi para mı, yoksa veri hırsızlığı mı?
Hackerların framework’ü tam olarak ne için kullandıkları henüz net değil, ancak Kaspersky’ye göre, saldırganların motivasyon kaynaklarının veri veya para toplamakla ilgili olduğuna dair bazı ipuçları var.
Örneğin, hackerlar MATA operasyonlarından birinde, MATA kötü amaçlı yazılımını bir işletmeye yerleştirdi ve ardından müşteri listelerini ve veri tabanlarını çalmaya çalıştı. Başka bir örnekte, hackerlar MATA kullanmak suretiyle hedefe fidye yazılım yerleştirdiler, ki bu saldırganların motivasyonunun maddi olduğunu ortaya koyuyordu. Fidye yazılımı, bilgisayar korsanlarının hedeflerinde hizmet aksamasına yol açma isteğine de işaret ediyor olması da mümkün.
Siber Bülten abone listesine kaydolmak için formu doldurunuz