Ünlü WannaCry saldırısı da dahil olmak üzere üretken fidye yazılımı saldırılarıyla tanınan Kuzey Kore, bu alanda yıllardır faaliyet gösteriyor. Ancak son zamanlarda faaliyetleri, özellikle de finansal kuruluşları ve tedarik zincirini hedef alan saldırılar artıyor.
Temmuz ayında Estonyalı kripto para ödeme sağlayıcısı CoinsPaid, saldırıda 37 milyon dolar çalan Kuzey Koreli hack grubu Lazarus’un kurbanı oldu.
Aynı ay içinde Lazarus, ödeme işlemcisi AlphaPo’ya yapılan bir saldırıyla da ilişkilendirildi ve bu saldırı, 60 milyon dolarlık kripto paranın çalınmasıyla sonuçlandı.
Tüm zamanların en büyük ve en kötü siber saldırılarından birinin sorumlusu olan WannaCry, K. Kore’nin yanı sıra, 2014’te Sony Pictures’a yapılan ihlalin de sorumlusuydu. Peki ülkenin amaçları neler, kimi hedef alıyor ve Kuzey Kore, Rusya ve Çin gibi diğer ulus devlet rakiplerine karşı nasıl bir konumda?
K.Kore, büyüyen yetenekleriyle hızla gelişen bir saldırgan. Kuzey Koreli saldırganlar, ekonomik yaptırımların etkisini azaltmak ve ülkenin nükleer hedeflerini finanse etmek için finansal kurumları ihlal ederek nakit para kazanıyor. Cyjax’ın CISO’su Ian Thornton-Trump, aslında ülkenin “birinci sınıf” bir casusluk düşmanı ve kripto para birimini ve finansal hizmetleri hedef alan bir saldırgan haline geldiğini söylüyor.
K. Kore’nin pek çok düşmanı var; Thornton-Trump, ülkenin Güney Kore, Japonya ve ABD gibi ülkelerle “kavgacı bir ilişki” sürdürdüğünü söylüyor.
Devlet destekli grupların “son derece aktif” olduğunu ve “sıklıkla başarılı saldırılar gerçekleştirdiğini” söylüyor. “Bu yetenekli tehdit aktörleri hükümet tarafından ticari veya askeri bilgileri çalmakla suçlandı.”
Kuzey Kore birçok bakımdan dünyanın geri kalanından kopuk durumda. İngiliz ordusunda eski albay olan Philip Ingram MBE, Kuzey Kore’ye giden tek iki internet bağlantısının Rusya ve Çin tarafından sağlandığını ve bu durumun iki düşman ülkeye trafiği görüntüleme ve siber saldırılar gerçekleştirmek için Kuzey Kore’yi bir vekil olarak kullanma olanağı sunduğunu söylüyor.
Ingram, Kuzey Kore’nin Çin gibi “üst düzey” bir siber tehdit ülkesi olarak görülmeyebileceğini ancak “ikinci sınıfın en üstünde” ve “çok inandırıcı bir tehdit” olduğunu söylüyor. “Siber faaliyetleri Kuzey Kore ordusu aracılığıyla koordine ediliyor ve Lazarus gibi siber suç gruplarının gözetiminden sorumlu.”
Bulgular, saldırganın potansiyel hedeflerle ilişkiler kurmak ve güven oluşturmak için X ve Mastodon gibi sosyal medya platformlarında sahte hesaplar açtığını tespit eden Google Tehdit Analiz Grubu‘ndan geldi. Güvenlik araştırmacıları Clement Lecigne ve Maddie Stone,…
Ingram, Kuzey Kore’nin finans sektörünün yanı sıra hükümetleri ve savunma ve nükleer dahil olmak üzere endüstrileri de casusluk amacıyla hedef aldığını söylüyor. Ancak Ingram, Kuzey Kore’nin bölgede “Çin ve Rusya’nın çok gerisinde” olduğunu kabul ediyor.
Kuzey Kore siber tehdidini hafifletmek
Kuzey Kore’den gelen tehdit önemli, özellikle de ülkenin hedef aldığı bir sektörde faaliyet gösteriyorsanız. Haszard, bunu dikkate alarak ilk adımın, kuruluşunuzun yaygın olarak hedeflenen bir sektörde olup olmadığını değerlendirerek Kuzey Kore’nin tehdit modelinizde olup olmadığını değerlendirmek olduğunu söylüyor.
Risk altındaki işletmeler, çalışan eğitimlerini Kuzey Kore’nin gerçekleştirdiği tehditlerden korunmaya dayandırmalı. “Kuzey Kore siber saldırılarının büyük çoğunluğu sosyal mühendislik ve kimlik avı ile başlıyor. ” diye ekliyor.
Bunu akılda tutarak, kuruluşların çalışanlarına Kuzey Koreli düşmanlar tarafından gönderilebilecek kimlik avı e-postalarının türleri konusunda eğitim vermesi gerektiğini söylüyor. “Onlara, düzenli, rastgele kimlik avı egzersizleri yapmak da dahil olmak üzere, onları nasıl rapor edeceklerini öğretin.”
Güvenlik uzmanları, Kuzey Koreli bilgisayar korsanlarının, yaptıkları bir hata nedeniyle kurumsal yazılım şirketi JumpCloud’a son zamanlarda yapılan bir izinsiz girişin arkasında olduğuna büyük güven duyduklarını söylüyorlar. JumpCloud’un etkilenen müşterilerinden birine…
Karmaşık olması gerekmiyor. Marre, işletmelerin sıfırdan başlayıp sıkı ve spesifik bir program izlemesine gerek olmadığını söylüyor. Ancak hükümetlerin Kuzey Kore’nin siber faaliyetlerini detaylandıran en son tehdit istihbaratı konusunda güncel kalmanın önemli olduğunu söylüyor. “Bu, onların taktiklerini, tekniklerini ve prosedürlerini anlamayı da içermelidir.”
İyi tanımlanmış ve uygulanmış bir olay müdahale planına sahip olmanın, işletmelerin potansiyel bir saldırı karşısında “hızlı ve verimli” tepki verebilmesini de sağlayacağını söylüyor.
Marre, aynı zamanda genel siber güvenlik temellerinin de geçerli olması gerektiğini ekliyor. Bu, tüm sistemlerin, yazılımların ve uygulamaların en son güvenlik yamalarıyla güncellendiğinden emin olmayı içeriyor.” Tüm cihazlarda çok faktörlü kimlik doğrulamayı (MFA) uygulayın ve bilgisayar korsanlarının ağınızda yatay olarak hareket edememesini sağlamak için sıfır güven modellerini ve ağ bölümlendirmesini dağıtın.”
Thornton-Trump, saldırılar artmaya devam ederken, Kuzey Kore’nin kuruluşların “tehdit modellerine dahil etmesi” gereken bir tehdit yeteneğini temsil ettiğini söylüyor. “Kuzey Kore tehdidiyle karşı karşıya kalındığında üstün siber hijyen, güvenlik açığı yönetimi, tedarik zinciri izleme, güvenli yazılım geliştirme ve güçlü bir tehdit istihbarat programının tümü gereklidir.”
