FBI’dan Amerikan firmalarına gönderilen bir uyarı notunda Kuzey koreli hackerların ülkedeki finansal kurumlara saldırı düzenlemeye devam ettiğini duyurdu. ABD hükümetinin bazı siber operasyonların arkasında Kuzey Kore olduğunu dünyaya ilan eden hamlelerinin hacking operasyonlarını durdurmaya yetmediğinin vurgulandığı notta, saldırıların isnat Kuzey Kore’ye isnat edilmesinin (attribution) komünist rejime etkisinin olmadığı belirtildi.
Eylül ayında, ABD Adalet Bakanlığı Kuzey Koreli ajan Park Jin Hyok hakkında hazırladığı iddianamede, 2014 yılında Sony Pictures şirketine yapılan siber saldırı ve 2017 yılındaki WannaCry fidye saldırısında payı olduğu gerekçesiyle suçlamıştı. Adalet bakanlığı daha önce de İranlı ve Rus hackerlar hakkında farklı siber saldırılardan dolayı suçlayan iddianameler hazırlamıştı.
Siber saldırıların kimin tarafından düzenlendiğinin ortaya çıkartılması anlamında kullanılan isnat (attribution) teknik olarak çok zor olduğundan, siber alanda saldırganların bir avantajı olarak değerlendiriliyordu. Fakat ABD’nin Kuzey Kore’yi suçladığı iddianamesindeki teknik bilgilerin bir çok uzmanı şaşırtacak şekilde kesin sonuçlar ortaya çıkarması siber dünyada ‘isnat probleminin’ aşılabileceğinin göstergesi olarak kabul ediliyor.
Amerikalı yetkililer, 34 yaşındaki Kuzey Koreli Park Jin Hyok’un Lazarus Grup tarafından yürütülen siber bir saldırıya karıştığı iddiasıyla suçladı. Ünlü hacker grubu ile Koreli arasındaki ilişki, Federal Araştırma Bürosu (FBI) ajanının yeminli beyanı ile ortaya çıktı.
Park Jin Hyok hem bilgisayar sahtekârlığı ve suiistimal suçlarını işlemek hem de elektronik sahtekârlık suçu işlemek için Lazarus Grubu’yla gizli anlaşma yapmakla suçlanıyor. FBI söz konusu kişiyi Siber Arananlar Listesi’ne eklerken ABD Hazine Bakanlığı, Park ve çalıştığı Kuzey Kore şirketine yaptırım uygulayacağını ilan etti.
8 Haziran’da hazırlanan suç duyurusu, geçtiğimiz perşembe günü kamuoyu ile paylaşıldı. Bu suç duyurusunda, Lazarus Grubu’nun hem başarılı hem de başarısız olduğu siber operasyonlar yer alırken özellikle sekiz saldırıya dikkat çekildi: 2014’teki Sony Entertainment hacklemesi, 2016’daki Bangladeş Merkez Bankası’na yönelik siber soygun, 2017’deki Wannacry fidye yazılım saldırısı, 2016 ve 2017’deki ABD savunma yüklenicilerinin sistemine sızma girişimi.
Hükümetler ve siber güvenlik sektörü üyeleri daha önce bu saldırıların büyük kısmı ile Kuzey Kore ve Lazarus Grup arasında paylaşılmış kod ve altyapıya dayalı olarak bağlantı kurmuştu. Bununla birlikte perşembe günü kamuoyuyla paylaşılan suç duyurusunda, araştırmacıları Park’ı saldırılarda yer almakla suçlamaya yöneltecek açık bir harekât güvenliği açığı ortaya koydu.
Kuzey Koreli programcı Park, Lazarus’un Sony saldırılarının hemen öncesine denk gelen 2014 yılına kadar Çin merkezli Korea Expo Ortak Teşebbüsü olarak da bilinen Chosun Expo’da çalışıyordu. Kuzey Kore hükümeti yanlısı şirketin ülkenin askeri istihbaratı ile bağlantılı olup, komünist yönetimin siber faaliyetlerini desteklediği iddia ediliyor.
Araştırmacılara göre Park, Çin’in Kuzey Kore sınırında bulunan Liaoning- Dalian’daki KEJV ofislerinde çalışıyordu. Ajanlar tarafından ortaya çıkarılan bir özgeçmiş, Park’ın geliştirici olarak işe alındığını ve Lazarus’un birçok aracını yaratmak için kullanılan kodlama dilleri (Visual C++) konusunda programlama becerisine sahip olduğunu ortaya koyuyor.
Lazarus tarafından operasyonlarını yürütmek için kullanılan kişilerden biri de Kim Hyon Woo. Araştırmacılar bu isimle Park’ın online faaliyetleri arasında dosyalara ortak erişim, ortak isimler ve ortak IP adresleri dahil birçok bağlantı buldular.
Ajanlar, Park tarafından kullanılan e-posta adreslerinden biri olan ttykim1018@gmail.com ile Kim Hyon Woo’nun kullandığı tty1984@gmail.com adreslerinin ikisinin de tty harflerini içerdiğini ortaya koydu.
Fakat bu tek bağlantı değil. Bir e-posta adresi diğerlerinin adres defterlerine eklenmiş ve Kim Hyon Woo adresinin, Park’ın adresi ile bağlantılı uzak dosya saklama hesabında kayıtlı arşiv dosyalarına erişim hakkına sahip tek adres olması dikkat çekici.
Park’ın adresi ayrıca Kim Hyon Woo tarafından yaratılan ödeme hesabı ve profil bilgisi paylaşan bir video hesabı kaydı için kullanılmış.
Lazarus’un tty198410 hesabı,mrkimjin123@gmail.com adlı Gmail hesabını kaydetmek için kullanılmış. Söz konusu adresin hem Kim hem de Jin’in isimlerini içermesi dikkate değer bir ayrıntı olarak düşünülüyor.
Park’ın KEJV ve kişisel hesapları ile Lazarus’un Kim Hyon Woo kişisi tarafından kaydedilmiş operasyonel hesapları arasında bağlantı olduğunu gösteren bir diğer önemli kanıt da, hesaplara erişim için kullanılan Kuzey Kore ve başka bir yer merkezli ortak IP adreslerinin varlığı.
Araştırmacılar ayrıca ABD’nin yakın zamanda Hidden Cobra’ya dayandırdığı Brambul zararlı yazılımının, gizliliği ihlal edilmiş cihazlardan çalınan bilgileri depolamak için çeşitli toplayıcı e-posta hesaplarını kullandığını ortaya çıkardı. Aynı Kuzey Koreli IP adresi Brambul toplayıcı hesapları ve KEJV bağlantılı e-posta hesaplarına erişim için kullanılmış.
Suç duyurusu ayrıca Park’ın Lazarus saldırılarına yönelik gerçekleştirilen FBI araştırmasının tek öznesi ve analiz edilmiş hesaplara erişimi olan tek kişi olmadığını açığa çıkardı.
TRUMP KUZEY KORE’YE TEŞEKKÜR ETMİŞTİ
Öte yandan suç duyurusunun ABD Başkanı Donald Trump’ın Kuzey Kore liderinin kendisine sarsılmaz inancını dile getirmesinin ardından Twitter’da minnettarlığını belirtmesinden kısa bir süre sonra gelmesi dikkat çekti. Park’a yönelik suç kaydı oldukça dikkat çekti. Bir FBI ajanının konuyla ilgili notu çarpıcı: “Kuzey Kore’nin operasyonlarının boyutu ve zararı eşi görülmemiş bir halde.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
