ESET, Kuzey Kore Lazarus Grubunun Operation DreamJob Kampanyasının Yeni Bir Örneğini Gözlemledi
Siber güvenlik alanında dünya lideri olan ESET, Kuzey Kore ile bağlantılı Lazarus grubu çatısı altında takip ettiği Operation DreamJob kampanyasının yeni bir örneğini gözlemledi. Kampanyada, savunma sanayisinde faaliyet gösteren birkaç Avrupa şirketi hedef alındı. Bu şirketlerin bazıları insansız hava aracı (İHA/Drone) sektöründe yoğun olarak faaliyet gösterdiğinden operasyonun Kuzey Kore’nin drone programını genişletme çabalarıyla bağlantılı olabileceği; saldırganların başlıca hedefinin, özel bilgiler ve üretim know-how’ının çalınması olduğu düşünülüyor.
Gerçek Hayatta Gerçekleşen Saldırılar
ESET araştırmacılarının bulgularına göre gerçek hayatta gerçekleşen saldırılar, Orta ve Güneydoğu Avrupa’da savunma sektöründe faaliyet gösteren üç şirketi arka arkaya hedef aldı. İlk erişim neredeyse kesin olarak sosyal mühendislik yoluyla sağlandı. Hedeflere yerleştirilen ana yük, saldırganlara ele geçirilen makine üzerinde tam kontrol sağlayan bir uzaktan erişim truva atı (RAT) olan ScoringMathTea idi. Saldırganların başlıca hedefinin, özel bilgiler ve üretim know-how’ının dışarıya sızdırılması olduğu düşünülüyor.
Operasyon DreamJob ve Sosyal Mühendislik
Operation DreamJob’da, sosyal mühendisliğin ana teması, kârlı ama sahte bir iş teklifi ve buna eşlik eden bir kötü amaçlı yazılım. Kurban, genellikle iş tanımı içeren bir yem belge ve bunu açmak için trojanize edilmiş bir PDF okuyucu alır. ESET Research, bu faaliyeti Operasyon DreamJob ile ilgili kampanyaları ve Avrupa’da bulunan hedef sektörlerin önceki Operasyon DreamJob örneklerindeki hedeflerle (havacılık, savunma, mühendislik) uyumlu olması nedeniyle Lazarus’a atfediyor.
Operation DreamJob ve Hedefler
Hedef alınan üç kuruluş, farklı türde askeri teçhizat (veya bunların parçaları) üretiyor ve bunların çoğu, Avrupa ülkelerinin askeri yardımı sonucunda şu anda Ukrayna’da kullanılıyor. Operation DreamJob’un gözlemlenen faaliyetleri sırasında, Kuzey Koreli askerler Moskova’nın Kursk bölgesinde Ukrayna’nın saldırısını püskürtmesine yardım etmek için Rusya’ya konuşlandırılmıştı. Bu nedenle, Operation DreamJob’un şu anda Rusya-Ukrayna savaşında kullanılan bazı batı yapımı silah sistemleri hakkında hassas bilgiler toplamakla ilgilendiği mümkündür.
ScoringMathTea ve Lazarus Saldırıları
Son Lazarus saldırılarını keşfeden ve analiz eden ESET araştırmacısı Peter Kálnai ve Alexis Rapin, Operation DreamJob’un İHA’larla ilgili özel bilgileri ve üretim know-how’ını çalmak amacıyla gerçekleştirildiğini düşündüklerini belirttiler. Dropper’lardan birinde gözlemlenen drone ifadesi, bu hipotezi önemli ölçüde desteklemektedir. ScoringMathTea, Operation DreamJob kampanyalarının amiral gemisi yüklerinden biri olarak görülmektedir.
Lazarus Grubu ve Siber Saldırılar
HIDDEN COBRA olarak da bilinen Lazarus grubu, en az 2009 yılından beri aktif olan ve Kuzey Kore ile bağlantılı bir APT grubudur. Yüksek profilli olaylardan sorumludur ve siber suç faaliyetlerinin üç temel unsurunu yerine getirmektedir: Siber casusluk, siber sabotaj ve mali kazanç peşinde koşma.
Kaynak: (BYZHA) Beyaz Haber Ajansı
