SEUL: ABD dışişleri analisti Daniel DePetris, Ekim ayında 38 North adlı düşünce kuruluşunun direktöründen bir makale siparişi veren bir e-posta aldığında, işler her zamanki gibi görünüyordu.
değildi.
Olaya karışanlara ve üç siber güvenlik araştırmacısına göre, gönderen aslında bilgi arayan şüpheli bir Kuzey Kore casusuydu.
Bilgisayar korsanlarının tipik olarak yaptığı gibi, bilgisayarına virüs bulaştırmak ve hassas verileri çalmak yerine, gönderen, aklını başkalarında tutmaya çalışıyor gibiydi. Kuzey Kore güvenliği 38 North yönetmeni Jenny Town kılığına girerek sorun çıkardı.
DePetris, Town’a atıfta bulunarak Reuters’e “Kişiyle takip soruları için iletişime geçtiğimde bunun yasal olmadığını anladım ve aslında hiçbir talepte bulunulmadığını ve bu kişinin de hedef olduğunu gördüm.” “Böylece bunun yaygın bir kampanya olduğunu çok çabuk anladım.”
Siber güvenlik uzmanlarına göre e-posta, şüpheli bir Kuzey Koreli bilgisayar korsanlığı grubu tarafından yürütülen yeni ve daha önce bildirilmemiş bir kampanyanın parçası, hedef alınan beş kişi ve Reuters tarafından incelenen e-postalar.
Araştırmacıların adını verdiği bilgisayar korsanlığı grubu Talyum veya Kimsuky. Ancak, şimdi araştırmacıların veya diğer uzmanların sadece fikirlerini sorduğu veya rapor yazdığı görülüyor.
Reuters tarafından incelenen e-postalara göre, Çin’in başka bir nükleer test olması durumunda verdiği yanıt arasında; ve Kuzey Kore “saldırganlığına” “daha sessiz” bir yaklaşımın garanti edilip edilmeyeceği.
Saldırganlar bu çok çok basit yöntemle muazzam bir başarı elde ediyor” dedi. James Elliott Yeni taktiğin ilk olarak Ocak ayında ortaya çıktığını ekleyen Microsoft Tehdit İstihbarat Merkezi’nden (MSTIC). “Saldırganlar süreci tamamen değiştirdi.”
MSTIC, bir Thallium saldırgan hesabına bilgi sağlayan “birkaç” Kuzey Koreli uzmanı tespit ettiğini söyledi.
Siber güvenlik araştırmacıları, kampanyanın hedef aldığı uzmanların ve analistlerin uluslararası kamuoyunu ve yabancı hükümetlerin Kuzey Kore’ye yönelik politikalarını şekillendirmede etkili olduğunu söyledi.
ABD hükümetinin siber güvenlik kurumlarının 2020 tarihli bir raporu, Thallium’un 2012’den beri faaliyet gösterdiğini ve “büyük olasılıkla Kuzey Kore rejimi tarafından küresel bir istihbarat toplama göreviyle görevlendirildiğini” söyledi.
Microsoft’a göre Thallium, tarihsel olarak hükümet çalışanlarını, düşünce kuruluşlarını, akademisyenleri ve insan hakları gruplarını hedef aldı.
Elliot, “Saldırganlar bilgiyi doğrudan atın ağzından alıyorlar ve orada oturup yorum yapmak zorunda değiller çünkü bilgiyi doğrudan uzmandan alıyorlar,” dedi.
YENİ TAKTİKLER
Kuzey Koreli bilgisayar korsanları, lidere saldırgan olarak görülen bir film üzerinden Sony Pictures’ı hedef alan ve ilaç ve savunma şirketlerinden, yabancı hükümetlerden ve diğerlerinden veri çalan milyonlarca dolarlık saldırılarıyla tanınırlar.
Londra’daki Kuzey Kore büyükelçiliği yorum talebine yanıt vermedi, ancak siber suçlara karıştığını reddetti.
Diğer saldırılarda, Thallium ve diğer bilgisayar korsanları, kötü amaçlı yazılım göndermeden önce bir hedefle güven geliştirmek için haftalarca veya aylar harcadı. Saher NaumaanBAE Systems Applied Intelligence’da baş tehdit istihbarat analisti.
Ancak Microsoft’a göre grup artık bazı durumlarda, kurbanlar yanıt verdikten sonra bile kötü amaçlı dosyalar veya bağlantılar göndermeden uzmanlarla konuşuyor.
Elliot, bu taktiğin, birinin hesabına girip e-postalarını araştırmaktan daha hızlı olabileceğini, bir mesajı kötü amaçlı unsurlarla tarayıp işaretleyen geleneksel teknik güvenlik programlarını atladığını ve casusların uzmanların düşüncelerine doğrudan erişmesini sağladığını söyledi.
“Savunucu olarak bu e-postaları durdurmak bizim için çok ama çok zor” dedi ve çoğu durumda asıl meselenin alıcının öğrenebilmesi olduğunu da sözlerine ekledi.
Town, ondan geldiği iddia edilen bazı mesajların “.org” ile biten resmi hesabı yerine “.live” ile biten bir e-posta adresi kullandığını ancak tüm imzasını kopyaladığını söyledi.
Bir keresinde, şüpheli saldırganın kendisini bir yanıta dahil ettiği gerçeküstü bir e-posta alışverişine karıştığını söyledi.
Defence Priorities’de çalışan ve birkaç gazetede köşe yazarı olan DePetris, aldığı e-postaların, sanki bir araştırmacı bir makale sunumu veya bir taslak hakkında yorum istiyormuş gibi yazıldığını söyledi.
“Araştırmanın meşru olduğunu göstermek için yazışmalara düşünce kuruluşu logoları ekleyerek oldukça sofistikeydiler” dedi.
DePetris, 38 North’tan sahte e-postayı aldıktan yaklaşık üç hafta sonra, başka bir bilgisayar korsanının onun kimliğine büründüğünü ve diğer insanlara taslağı incelemeleri için e-posta gönderdiğini söyledi.
DePetris’in Reuters ile paylaştığı bu e-posta, Kuzey Kore’nin nükleer programıyla ilgili bir el yazmasını incelemek için 300 dolar teklif ediyor ve diğer potansiyel incelemeciler için öneriler istiyor. Elliot, bilgisayar korsanlarının hiç kimseye araştırmaları veya yanıtları için ödeme yapmadıklarını ve ödemeyi asla amaçlamadıklarını söyledi.
BİLGİ ALMAK
Kimliğe bürünme dünya çapında casuslar için yaygın bir yöntem, ancak Kuzey Kore’nin yaptırımlar ve salgın nedeniyle izolasyonunun derinleşmesiyle, Batılı istihbarat teşkilatları, Pyongyang’ın özellikle siber kampanyalara bağımlı hale geldiğine inanıyor. İstihbarat konularını tartışın.
Mart 2022 tarihli bir raporda, Kuzey Kore’nin BM yaptırımlarından kaçmasını araştıran bir uzman heyeti, Talyum’un çabalarını, ülkenin yaptırımlarından kaçınmada “bilgilendirmek ve yardımcı olmak için tasarlanmış casusluk teşkil eden” faaliyetlerden biri olarak listeledi.
Town, bazı durumlarda saldırganların belgeleri hazırladığını ve analistlerin ne olduğunu anlamadan önce tam raporlar veya el yazması incelemeleri sağladığını söyledi.
DePetris, bilgisayar korsanlarının kendisine Japonya’nın Kuzey Kore’nin askeri faaliyetlerine tepkisi de dahil olmak üzere halihazırda üzerinde çalıştığı konuları sorduğunu söyledi.
Japonya’daki Kyodo News’den bir muhabire gönderildiği iddia edilen başka bir e-posta, 38 Kuzeyli bir çalışana, Ukrayna’daki savaşın Kuzey Kore’nin düşüncesinde nasıl bir rol oynadığını sordu ve Amerikan, Çin ve Rusya politikası hakkında sorular sordu.
DePetris, “Kuzey Korelilerin, ABD’nin Kuzey’e yönelik politikasını ve nereye gittiğini daha iyi anlamak için düşünce kuruluşlarından samimi görüşler almaya çalıştıkları ancak tahmin edilebilir” dedi.
değildi.
Olaya karışanlara ve üç siber güvenlik araştırmacısına göre, gönderen aslında bilgi arayan şüpheli bir Kuzey Kore casusuydu.
Bilgisayar korsanlarının tipik olarak yaptığı gibi, bilgisayarına virüs bulaştırmak ve hassas verileri çalmak yerine, gönderen, aklını başkalarında tutmaya çalışıyor gibiydi. Kuzey Kore güvenliği 38 North yönetmeni Jenny Town kılığına girerek sorun çıkardı.
DePetris, Town’a atıfta bulunarak Reuters’e “Kişiyle takip soruları için iletişime geçtiğimde bunun yasal olmadığını anladım ve aslında hiçbir talepte bulunulmadığını ve bu kişinin de hedef olduğunu gördüm.” “Böylece bunun yaygın bir kampanya olduğunu çok çabuk anladım.”
Siber güvenlik uzmanlarına göre e-posta, şüpheli bir Kuzey Koreli bilgisayar korsanlığı grubu tarafından yürütülen yeni ve daha önce bildirilmemiş bir kampanyanın parçası, hedef alınan beş kişi ve Reuters tarafından incelenen e-postalar.
Araştırmacıların adını verdiği bilgisayar korsanlığı grubu Talyum veya Kimsuky. Ancak, şimdi araştırmacıların veya diğer uzmanların sadece fikirlerini sorduğu veya rapor yazdığı görülüyor.
Reuters tarafından incelenen e-postalara göre, Çin’in başka bir nükleer test olması durumunda verdiği yanıt arasında; ve Kuzey Kore “saldırganlığına” “daha sessiz” bir yaklaşımın garanti edilip edilmeyeceği.
Saldırganlar bu çok çok basit yöntemle muazzam bir başarı elde ediyor” dedi. James Elliott Yeni taktiğin ilk olarak Ocak ayında ortaya çıktığını ekleyen Microsoft Tehdit İstihbarat Merkezi’nden (MSTIC). “Saldırganlar süreci tamamen değiştirdi.”
MSTIC, bir Thallium saldırgan hesabına bilgi sağlayan “birkaç” Kuzey Koreli uzmanı tespit ettiğini söyledi.
Siber güvenlik araştırmacıları, kampanyanın hedef aldığı uzmanların ve analistlerin uluslararası kamuoyunu ve yabancı hükümetlerin Kuzey Kore’ye yönelik politikalarını şekillendirmede etkili olduğunu söyledi.
ABD hükümetinin siber güvenlik kurumlarının 2020 tarihli bir raporu, Thallium’un 2012’den beri faaliyet gösterdiğini ve “büyük olasılıkla Kuzey Kore rejimi tarafından küresel bir istihbarat toplama göreviyle görevlendirildiğini” söyledi.
Microsoft’a göre Thallium, tarihsel olarak hükümet çalışanlarını, düşünce kuruluşlarını, akademisyenleri ve insan hakları gruplarını hedef aldı.
Elliot, “Saldırganlar bilgiyi doğrudan atın ağzından alıyorlar ve orada oturup yorum yapmak zorunda değiller çünkü bilgiyi doğrudan uzmandan alıyorlar,” dedi.
YENİ TAKTİKLER
Kuzey Koreli bilgisayar korsanları, lidere saldırgan olarak görülen bir film üzerinden Sony Pictures’ı hedef alan ve ilaç ve savunma şirketlerinden, yabancı hükümetlerden ve diğerlerinden veri çalan milyonlarca dolarlık saldırılarıyla tanınırlar.
Londra’daki Kuzey Kore büyükelçiliği yorum talebine yanıt vermedi, ancak siber suçlara karıştığını reddetti.
Diğer saldırılarda, Thallium ve diğer bilgisayar korsanları, kötü amaçlı yazılım göndermeden önce bir hedefle güven geliştirmek için haftalarca veya aylar harcadı. Saher NaumaanBAE Systems Applied Intelligence’da baş tehdit istihbarat analisti.
Ancak Microsoft’a göre grup artık bazı durumlarda, kurbanlar yanıt verdikten sonra bile kötü amaçlı dosyalar veya bağlantılar göndermeden uzmanlarla konuşuyor.
Elliot, bu taktiğin, birinin hesabına girip e-postalarını araştırmaktan daha hızlı olabileceğini, bir mesajı kötü amaçlı unsurlarla tarayıp işaretleyen geleneksel teknik güvenlik programlarını atladığını ve casusların uzmanların düşüncelerine doğrudan erişmesini sağladığını söyledi.
“Savunucu olarak bu e-postaları durdurmak bizim için çok ama çok zor” dedi ve çoğu durumda asıl meselenin alıcının öğrenebilmesi olduğunu da sözlerine ekledi.
Town, ondan geldiği iddia edilen bazı mesajların “.org” ile biten resmi hesabı yerine “.live” ile biten bir e-posta adresi kullandığını ancak tüm imzasını kopyaladığını söyledi.
Bir keresinde, şüpheli saldırganın kendisini bir yanıta dahil ettiği gerçeküstü bir e-posta alışverişine karıştığını söyledi.
Defence Priorities’de çalışan ve birkaç gazetede köşe yazarı olan DePetris, aldığı e-postaların, sanki bir araştırmacı bir makale sunumu veya bir taslak hakkında yorum istiyormuş gibi yazıldığını söyledi.
“Araştırmanın meşru olduğunu göstermek için yazışmalara düşünce kuruluşu logoları ekleyerek oldukça sofistikeydiler” dedi.
DePetris, 38 North’tan sahte e-postayı aldıktan yaklaşık üç hafta sonra, başka bir bilgisayar korsanının onun kimliğine büründüğünü ve diğer insanlara taslağı incelemeleri için e-posta gönderdiğini söyledi.
DePetris’in Reuters ile paylaştığı bu e-posta, Kuzey Kore’nin nükleer programıyla ilgili bir el yazmasını incelemek için 300 dolar teklif ediyor ve diğer potansiyel incelemeciler için öneriler istiyor. Elliot, bilgisayar korsanlarının hiç kimseye araştırmaları veya yanıtları için ödeme yapmadıklarını ve ödemeyi asla amaçlamadıklarını söyledi.
BİLGİ ALMAK
Kimliğe bürünme dünya çapında casuslar için yaygın bir yöntem, ancak Kuzey Kore’nin yaptırımlar ve salgın nedeniyle izolasyonunun derinleşmesiyle, Batılı istihbarat teşkilatları, Pyongyang’ın özellikle siber kampanyalara bağımlı hale geldiğine inanıyor. İstihbarat konularını tartışın.
Mart 2022 tarihli bir raporda, Kuzey Kore’nin BM yaptırımlarından kaçmasını araştıran bir uzman heyeti, Talyum’un çabalarını, ülkenin yaptırımlarından kaçınmada “bilgilendirmek ve yardımcı olmak için tasarlanmış casusluk teşkil eden” faaliyetlerden biri olarak listeledi.
Town, bazı durumlarda saldırganların belgeleri hazırladığını ve analistlerin ne olduğunu anlamadan önce tam raporlar veya el yazması incelemeleri sağladığını söyledi.
DePetris, bilgisayar korsanlarının kendisine Japonya’nın Kuzey Kore’nin askeri faaliyetlerine tepkisi de dahil olmak üzere halihazırda üzerinde çalıştığı konuları sorduğunu söyledi.
Japonya’daki Kyodo News’den bir muhabire gönderildiği iddia edilen başka bir e-posta, 38 Kuzeyli bir çalışana, Ukrayna’daki savaşın Kuzey Kore’nin düşüncesinde nasıl bir rol oynadığını sordu ve Amerikan, Çin ve Rusya politikası hakkında sorular sordu.
DePetris, “Kuzey Korelilerin, ABD’nin Kuzey’e yönelik politikasını ve nereye gittiğini daha iyi anlamak için düşünce kuruluşlarından samimi görüşler almaya çalıştıkları ancak tahmin edilebilir” dedi.