Güvenlik uzmanları, Kuzey Koreli bilgisayar korsanlarının, yaptıkları bir hata nedeniyle kurumsal yazılım şirketi JumpCloud’a son zamanlarda yapılan bir izinsiz girişin arkasında olduğuna büyük güven duyduklarını söylüyorlar.
JumpCloud’un etkilenen müşterilerinden birine yardım eden Mandiant, ihlali Kuzey Kore’nin Genel Keşif Bürosu veya kripto para şirketlerini hedef alan ve yöneticiler ile güvenlik ekiplerinin şifrelerini çalan bir bilgisayar korsanlığı birimi olan RGB için çalışan bilgisayar korsanlarına bağladı. Kuzey Kore, yaptırım uygulanan nükleer silah programını finanse etmek için uzun süredir kripto para hırsızlıklarını kullandıklarını belirtiyor.
Bir blog gönderisinde Mandiant, UNC4899 olarak adlandırdığı bilgisayar korsanlığı biriminin yanlışlıkla gerçek dünyadaki IP adreslerini ifşa ettiğini söyledi. Kuzey Koreli bilgisayar korsanları, IP adreslerini maskelemek için genellikle ticari VPN hizmetlerini kullanıyor, ancak “birçok durumda” VPN’ler çalışamadı veya bilgisayar korsanları, kurbanın ağına erişirken bunları kullanmadı ve Pyongyang’dan erişimlerini açığa çıkardı.
Mandiant, kanıtlarının bunun “bir OPSEC hatası” olduğunu desteklediğini, operasyonel güvenliğe atıfta bulunduğunu söyledi. Araştırmacılar, daha önce Kuzey Kore’ye atfedilen bilgisayar korsanları tarafından kullanılan bu izinsiz girişte de kullanılan ek alt yapıyı ortaya çıkardıklarını söylediler.
“Kuzey Kore-nexus tehdit aktörleri, kripto para birimini çalmak için siber saldırı yeteneklerini geliştirmeye devam ediyor. Mandiant’ın CTO’su Charles Carmakal, “Geçtiğimiz yıl boyunca, birden fazla tedarik zinciri saldırısı gerçekleştirdiklerini, meşru yazılımları zehirlediklerini ve özel kötü amaçlı yazılım geliştirip MacOS sistemlerine yerleştirdiklerini gördük” dedi. “Nihayetinde şirketlerle kripto paraları tehlikeye atmak istiyorlar ve oraya ulaşmak için yaratıcı yollar buldular. Ama aynı zamanda bazı izinsiz girişleri onlara atfetmemize yardımcı olan hatalar da yapıyorlar.”
SentinelOne ve CrowdStrike, Kuzey Kore’nin JumpCloud saldırısının arkasında olduğunu da doğruluyor
JumpCloud, geçen hafta yaptığı kısa bir gönderide, beşten az kurumsal müşterisinin ve ondan az cihazının Kuzey Kore bilgisayar korsanlığı kampanyası tarafından hedef alındığını söyledi. JumpCloud, Haziran ayında bir izinsiz girişi bildirdikten sonra müşteri API anahtarlarını sıfırladı. JumpCloud’un GoFundMe, ClassPass ve Foursquare dahil 200.000’den fazla kurumsal müşterisi vardır.