Küresel çapta siber saldırıların arkasında olduğu düşünülen Kuzey Kore’de vaktini bilgisayar başında harcayanların sayısı oldukça az. Bunu yapabilen şanslı insan sayısı az da olsa var. Fakat onlar da son birkaç yıldır çok çeşitli hackleme tekniklerine sahip bilgisayar korsanlarının hedefi haline gelmiş durumda. Oldukça tecrübeli olduğu düşünülen saldırganların Güney Kore bağlantılı olduğu düşünülüyor.
Google’ın tehdit analiz grubundan siber güvenlik araştırmacıları geçtiğimiz perşembe günü, adı bilinmeyen bir grup siber saldırganın Kuzey Korelileri ve Kuzey Kore üzerine çalışan profesyonelleri hedef almak için 2019 yılında en az beş “sıfırıncı gün güvenlik açığını ya da yazılımdaki saldırıya müsait gizli kusurları istismar ettiğini açığa çıkardı. Saldırıların Internet Explorer, Chrome ve Windows’taki güvenlik açıklarından faydalandığı ve bunu yaparken zararlı ek taşıyan ya da zararlı sitelere yönlendiren sahte e-postaları kullandığı belirtiliyor.
Siber saldırganların aynı zamanda ‘Watering Hole’ adı verilen saldırı yöntemini de kullandıkları iddia ediliyor. Bu saldırı yönteminde kullanıcılar hacklenmiş belli web sitelerini ziyaret ettiklerinde bilgisayarlarına zararlı yazılımlar yükleniyor. Hackerlar bunu güvenlik açığı bulunan sitelere bu açıktan faydalanarak zararlı kodlar yerleştirmek suretiyle yapıyorlar. Böylece bu siteyi ziyaret eden bilgisayarlar güvenliği sağlanmamış ise, bu zararlı kodlardan etkileniyor.
Kuzey Kore’li hackerlar ‘Bankshot’ ile Türk bankalarını hedef aldı
DarkHotel, Güney Kore hükümeti için mi çalışıyor?
Google, saldırılardan kimin sorumlu olduğuna ilişkin yorum yapmaktan çekinirken, Rus güvenlik şirketi Kaspersky WIRED’a yaptığı açıklamada Google tarafından elde edilen bulguları DarkHotel adlı geçmişte Kuzey Korelileri hacklediği bilinen ve Güney Kore hükümeti için çalıştığından şüphelenilen bir grupla ilişkilendirdi.
Güney Korelilerin Kuzeyli hısımlarına yönelik casusluk faaliyetleri beklenmeyen bir durum değil. Ancak ülkenin bir yıl içinde tek bir casusluk faaliyetinde 5 adet ‘sıfır gün açığı saldırısı kullanma’ kabiliyeti şaşırtıcı bir deneyime ve kaynaklara sahip olduğuna işaret ediyor. Google’dan araştırmacı Toni Gidwani konuyla ilgili blog yazsısında nispeten kısa bir zaman diliminde aynı tarafın bu kadar çok sıfırıncı gün açığından faydalanmasının nadir bir durum olduğunu kaydetti.
Kaspersky zararlı yazılımı tanıyor
Google’ın sıfırıncı gün açıkları ile Kuzey Korelilere saldırı arasında bağlantı kurmasının ardından Kaspersky biri Windows biri Internet Explorer olmak üzere güvenlik açıklarından ikisini özellikle DarkHotel ile ilişkilendirdiği güvenlik açıklarıyla eşleştirdi. Güvenlik firması daha önce DarkHotel adıyla bilinen kötü amaçlı yazılımın, müşterilerinin bilgisayarlarına yerleştirilmesi için bu hataların kullanıldığına şahit olmuştu. Kaspersky’nin Küresel Araştırma & Analiz Ekibi başkanı Costin Raiu (kendisi Stuxnet’in ayrıntılarını ortaya çıkartan ekipteydi), Google’ın tüm sıfırıncı gün saldırılarını tek bir siber saldırgan grubu ile ilişkilendirmesinden ötürü bunların DarkHotel ile bağlantılı olduğunu düşündüklerini açıkladı. Raiu, DarkHotel’in casusluk yoluyla Kuzey Kore ve Çinli kurbanları uzun süredir hacklediğinin bilindiğine dikkat çekerek ekledi: “İlgilendikleri şey belgeler, e-postalar ve özel bilgileri elde etmek”
DarkHotel hackerlarının 2007 yılından beri aktif olduğu düşünülüyor ancak Kaspersky grubun adını ilk kez 2014 yılında belirli otel müşterilerine yönelik bir saldırı gerçekleştirmek için otelin kablosuz ağlarının gizliliğini ihlal ettiğini ortaya çıkardıklarında anmıştı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
