2 gün evvel ünlü WannaCry fidye yazılımı salgınının 3. yıldönümüydü. WannaCry için Kuzey Koreli hackerlar suçlanıyor. ABD hükümeti dün, devlet destekli Kuzey Koreli bilgisayar korsanları tarafından üretildiği kaydedilen ve Copperhedge, Taintscribe, PebbleDash ismi verilen üç yeni kötü amaçlı yazılım türü hakkında açıklama yayınladı [1].
Amerikan Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Amerikan Adalet Bakanlığı (DoD) ve Federal Soruşturma Bürosu (FBI) tarafından yayımlanan ortak açıklamaya göre, bu 3 kötücül yazılım hedef sistemlerden uzaktan erişimle hassas bilgilerin dışarıya sızmasını sağlayabilir.
Lazarus’un Gizli Kobra Harekatı
Üç yeni kötü amaçlı yazılım türü, güvenlik kuruluşları tarafından bir dizi kötü amaçlı siber sistemin bir parçası olarak tanımlanan BistroMath, SlickShoes, HopLight ve Electricfish dahil 20’den fazla kötü amaçlı yazılım listesine eklendi. Kuzey Kore hackerları “Lazarus” ismi ile biliniyor ve FBI’a göre “Gizli Kobra” olarak adlandırılan bir faaliyet yürütüyorlar.
Üç yeni varyanttan ilki olan Copperhedge, rasgele komutlar çalıştırabilen, sistem keşfi gerçekleştirebilen ve verileri genişleten tam özellikli bir Uzaktan Erişim Aracı (RAT) olarak tanımlanıyor. Gelişmiş tehdit aktörleri tarafından kripto para birimi borsalarını ve ilgili varlıkları hedeflemek için kullanılıyor. Copperhedge’in altı farklı versiyonu tanımlanmış.
TaintedScribe , bir komut ve kontrol (C2) sunucusundan kötü amaçlı yükleri indirmek, dosyaları yüklemek ve yürütmek ve hatta işlemler oluşturmak ve sonlandırmak için kendisini Microsoft’un Anlatıcı ekran okuyucu yardımcı programı olarak maskeleyen bir arka kapı implantı olarak işlev görüyor.
PebbleDash ise aynen TaintedScribe gibi “dosyaları indirme, yükleme, silme ve yürütme; Windows CLI erişimini etkinleştirme; işlemler oluşturma ve sonlandırma; hedef sistem numaralandırması gerçekleştirme” özelliklerine sahip başka bir truva atı olarak tanımlanıyor.
Lazarus’un Gizli Kobra Harekatı
Lazarus Grubu , çevrimiçi borsalardan 571 milyon dolardan fazla kripto para biriminin çalınmasından sorumlu tutuluyor. Geçtiğimiz mart ayında, ABD Adalet Bakanlığı (DoJ), ön ödemeli Apple iTunes hediye kartlarını kullanarak çalınan 100 milyon doların üzerinde kripto parayı akladığı iddia edilen ve Kuzey Kore tehdit aktörleri adına çalıştığı kaydedilen iki Çinliyi suçladı.
Nisan ayında, ABD hükümeti, Kuzey Kore devlet destekli bilgisayar korsanlarının küresel bankacılık ve finans kurumlarına yönelik ‘önemli siber tehdit’ yarattığına dair bir tavsiye metni yayınladı. İlaveten de geçmiş veya devam eden operasyonlar hakkında bilgi verecekler için de 5 milyon dolara kadar parasal ödül açıkladı [2].
[1] North Korean Malicious Cyber Activity
[2] Guidance on the North Korean Cyber Threat
