İş teklifi geçersiz casusluk gerçek

Siber güvenlik alanında dünya lideri olan ESET, Kuzey Kore ile kontaklı Lazarus kümesi çatısı altında takip ettiği Operation DreamJob kampanyasının yeni bir örneğini gözlemledi. Kampanyada, savunma endüstrisinde faaliyet gösteren birkaç Avrupa şirketi gaye alındı. Bu şirketlerin kimileri insansız hava aracı (İHA/Drone) bölümünde ağır olarak faaliyet gösterdiğinden operasyonun Kuzey Kore’nin drone programını genişletme eforlarıyla irtibatlı olabileceği; saldırganların en önemli amacının, özel bilgiler ve üretim know-how’ının çalınması olduğu düşünülüyor.

ESET araştırmacılarının bulgularına nazaran gerçek hayatta gerçekleşen taarruzlar, Orta ve Güneydoğu Avrupa’da savunma bölümünde faaliyet gösteren üç şirketi art geriye gaye aldı. Birinci erişim neredeyse kesin olarak toplumsal mühendislik yoluyla sağlandı. Gayelere yerleştirilen ana yük, saldırganlara ele geçirilen makine üzerinde tam denetim sağlayan bir uzaktan erişim truva atı (RAT) olan ScoringMathTea idi. Saldırganların en önemli amacının, özel bilgiler ve üretim know-how’ının dışarıya sızdırılması olduğu düşünülüyor.

Operation DreamJob’da, toplumsal mühendisliğin ana teması, kârlı lakin düzmece bir iş teklifi ve buna eşlik eden bir makûs maksatlı yazılım. Kurban, çoklukla iş tarifi içeren bir yem doküman ve bunu açmak için trojanize edilmiş bir PDF okuyucu alır. ESET Research, bu faaliyeti Operasyon DreamJob ile ilgili kampanyaları ve Avrupa’da bulunan gaye bölümlerin evvelki Operasyon DreamJob örneklerindeki gayelerle (havacılık, savunma, mühendislik) uyumlu olması nedeniyle Lazarus’a atfediyor. 

Hedef alınan üç kuruluş, farklı tıpta askeri teçhizat (veya bunların parçaları) üretiyor ve bunların birden fazla, Avrupa ülkelerinin askeri yardımı sonucunda şu anda Ukrayna’da kullanılıyor. Operation DreamJob’un gözlemlenen faaliyetleri sırasında, Kuzey Koreli askerler Moskova’nın Kursk bölgesinde Ukrayna’nın saldırısını püskürtmesine yardım etmek için Rusya’ya konuşlandırılmıştı. Bu nedenle, Operation DreamJob’un şu anda Rusya-Ukrayna savaşında kullanılan birtakım batı imali silah sistemleri hakkında hassas bilgiler toplamakla ilgilendiği mümkündür. Daha genel olarak, bu kuruluşlar Kuzey Kore’nin de yurt içinde ürettiği ve kendi tasarım ve süreçlerini mükemmelleştirmeyi umduğu cinsten materyallerin üretiminde yer almaktadır. İHA ile ilgili bilgi birikimine olan ilgi dikkat cazibeli, çünkü bu, Pyongyang’ın yerli drone üretim kapasitelerine büyük yatırım yaptığına işaret eden son medya haberlerini yansıtıyor. Kuzey Kore, yerli İHA kapasitelerini geliştirmek için büyük ölçüde bilakis mühendislik ve fikri mülkiyet hırsızlığına güvenmiştir. 

Son Lazarus akınlarını keşfeden ve tahlil eden ESET araştırmacısı Peter Kálnai ve Alexis Rapin şu açıklamayı yaptılar: “Operasyon DreamJob’un, en azından kısmen, İHA’larla ilgili özel bilgileri ve üretim know-how’ını çalmak maksadıyla gerçekleştirildiğini düşünüyoruz. Dropper’lardan birinde gözlemlenen drone tabiri, bu hipotezi değerli ölçüde desteklemektedir. Gaye alınan kuruluşlardan birinin, şu anda Ukrayna’da kullanılan ve Kuzey Kore’nin cephe sınırında karşılaşmış olabileceği en az iki İHA modelinin üretiminde yer aldığına dair ispatlar bulduk. Bu kuruluş, Pyongyang’ın etkin olarak geliştirmekte olduğu bir uçak çeşidi olan gelişmiş tek motorlu insansız hava araçlarının tedarik zincirinde de yer almaktadır.“

Genel olarak, Lazarus saldırganları epey etkindir ve art kapılarını birden fazla gayeye karşı kullanırlar. Bu sık kullanım, bu araçları ortaya çıkarır ve tespit edilmesini sağlar. Buna karşı tedbir olarak, kümenin araçlarının yürütme zincirinde bir dizi dropper, yükleyici ve kolay indirici yer alır. Saldırganlar, makûs gayeli yükleme rutinlerini GitHub’da bulunan açık kaynaklı projelere dâhil etmeye karar verdiler.

Ana yük olan ScoringMathTea, yaklaşık 40 komutu destekleyen karmaşık bir RAT’tır. Birinci ortaya çıkışı, Ekim 2022’de Portekiz ve Almanya’dan VirusTotal’a gönderilen müracaatlarla izlenebilir; burada dropper, Airbus temalı bir iş teklifi üzere görünerek kurbanları tuzağa düşürmüştür. Uygulanan fonksiyonellik, Lazarus’un çoklukla gerektirdiği işlevselliklerle birebirdir: Belge ve süreçlerin manipülasyonu, yapılandırmanın değiştirilmesi, kurbanın sistem bilgilerinin toplanması, TCP temasının açılması ve lokal komutların yahut C&C sunucusundan indirilen yeni yüklerin yürütülmesi. ESET telemetrisine nazaran, ScoringMathTea, Ocak 2023’te bir Hint teknoloji şirketine, Mart 2023’te bir Polonya savunma şirketine, Ekim 2023’te bir İngiliz endüstriyel otomasyon şirketine ve Eylül 2025’te bir İtalyan havacılık şirketine yönelik taarruzlarda görülmüştür. Operation DreamJob kampanyalarının amiral gemisi yüklerinden biri olduğu görülmektedir.

Grubun en kıymetli gelişimi, DLL proxy’leri için tasarlanmış yeni kütüphanelerin tanıtılması ve daha düzgün kaçınma için trojanize edilecek yeni açık kaynaklı projelerin seçilmesidir. Kálnai, “Yaklaşık üç yıldır Lazarus, tercih ettiği ana yükü olan ScoringMathTea’yi kullanarak ve açık kaynaklı uygulamaları trojanize etmek için benzeri usuller uygulayarak dengeli bir çalışma şeklini sürdürmüştür. Bu öngörülebilir lakin tesirli strateji, kümenin kimliğini gizlemek ve atıf sürecini belirsizleştirmek için yetersiz olsa da güvenlik tespitinden kaçmak için kâfi polimorfizm sağlar” diye aktardı.

HIDDEN COBRA olarak da bilinen Lazarus kümesi en az 2009 yılından beri faal olan ve Kuzey Kore ile kontaklı bir APT kümesidir. Yüksek profilli olaylardan sorumludur. Lazarus kampanyalarının çeşitliliği, sayısı ve uygulamadaki tuhaflığı bu kümesi tanımlamaktadır. Ayrıyeten siber kabahat faaliyetlerinin üç temel ögesini da yerine getirmektedir: Siber casusluk, siber sabotaj ve mali kar peşinde koşma.

Operasyon DreamJob, temel olarak toplumsal mühendisliğe dayanan Lazarus kampanyalarının kod ismidir ve bilhassa itibarlı yahut yüksek profilli durumlar için geçersiz iş teklifleri kullanır (“hayalindeki iş” tuzağı). Amaçlar yüklü olarak havacılık ve savunma bölümlerindedir, akabinde mühendislik ve teknoloji şirketleri ile medya ve cümbüş dalı gelir.

Kaynak: (BYZHA) Beyaz Haber Ajansı