Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), şirketleri, Kuzey Koreli bilgisayar korsanlarının Amerikalı savunma müteahhit firmalarının kilit çalışanları üzerinde casusluk yapmak için kullandıkları kötü amaçlı yazılım hakkında uyaran yeni bir rapor yayınladı[1]. ‘BLINDINGCAN’ adını taşıyan truva atı, sızdığı bilgisayarlarda bir arka kapı görevi görüyor. CISA’ya göre, Blindingcan’ı Kuzey Kore devlet destekli “Lazarus Group” yayıyor.
Siber güvenlik şirketi Trend Micro konuyla ilgili ayrıntılı bir raporda yayınladı. Buna göre, hacker grubu önce hedeflerini belirliyor. Yüksek düzeyli çalışanların belirlenmesi sonrasında, sosyal ve profesyonel ağlarda bu kişiler hakkında kapsamlı araştırmalar yapıyor. Ardından bu kişilere iş ilanları ve teklifleri yapan bir “işe alma görevlisi” yaklaşımı gösteriyorlar. Bu sırada çalışanın bilgisayarına sızıyorlar.
Saldırganların, İK departmanlarındaki yöneticileri, CEO’ları ve önde gelen yetkilileri, ayrıca uluslararası şirketlerin temsilcilerini taklit ettiği kaydediliyor.
CISA raporu, saldırganların Blindingcan kötü amaçlı yazılımını, birden çok ülkeden güvenliği ihlal edilmiş altyapı aracılığıyla uzaktan kontrol ettiklerini ve onlara şunları yaptığını söylüyor:
- Disk türü ve diskteki boş alan dahil olmak üzere tüm takılı diskler hakkında bilgi sağlamak
- Yeni süreçler ve işler başlatmak, sürdürmek, sona erdirmek
- Dosya aramak, okumak, yazmak, taşımak ve yürütmek
- Dosya veya dizin zaman damgalarını almak ve değiştirmek
- Bir işlem veya dosya için mevcut dizini değiştirmek
- Kötü amaçlı yazılım ve kötü amaçlı yazılımla ilişkili yapıları virüslü sistemden silmek
Siber güvenlik şirketleri Trend Micro şöyle yazdı :
“Saldırganlar, virüs bulaşması üzerine, muhtemelen bir miktar para çalmaya çalışmak için şirketin faaliyetleri ve mali işleriyle ilgili istihbarat topluyor. Casusluk ve para hırsızlığının çifte senaryosu, Kuzey Kore’ye özgüdür. Ülkeleri için hem bilgi hem de para çalıyorlar. “
Rapora göre, Kuzey Koreli saldırganlar hedefleriyle yalnızca e-posta yoluyla iletişim kurmakla kalmayıp, çoğunlukla Skype üzerinden yüz yüze çevrimiçi görüşmeler de gerçekleştirdiler.
[1] Malware Analysis Report (AR20-232A) / MAR-10295134-1.v1 – North Korean Remote Access Trojan: BLINDINGCAN