Kuzey Kore Destekli APT Grubu Hırsızlığa Devam Ediyor

Geçtiğimiz günlerde güvenlik firması FireEye, APT38 isimli, finansal kurumlara saldırılar düzenleyen ve dünyanın en büyük siber soygunlarını gerçekleştiren, Kuzey Kore destekli bir grup ile ilgili bir rapor yayınladı. Yayınlanan rapora göre APT38 olarak isimlendirilen bu grubun, mali kurumlardan $1.1 milyar dolar çalma girişiminde bulunduğu tahmin ediliyor.

Hızlı şekilde erişim elde etmek ve para çalmak yerine, APT38’in bir casusluk operasyonu gibi çalıştığı, sızdıkları finans kurumlarında dikkatlice keşif yaparak, maddi çıkarlarını istihbarat hedefleri ile dengede tutarak çalıştıkları görülüyor.

En az 11 ülkedeki 16’dan fazla organizasyona operasyon yürüttüğü düşünülen APT38’in, oldukça geniş ve çabuk türeyebilen, mali kurumlardan para çalmak ve hedef ağı kullanılamaz hale getirmek için çeşitli zararlı yazılım ailelerine ait zararlı yazılımları, arka kapıları ve veri madenciliği uygulamalarını kullandığı söyleniyor.

Saldırganlar, daha önce de olduğu gibi döviz transferleri için kullanılan ve bankaların birbirleriyle haberleşmesini sağlayan SWIFT sistemini hedef almış durumda.

32 sayfalık raporda hedef alınan ülkeler arasında Türkiye’nin de olduğu görülüyor.

 

APT38 grubunun bu girişiminin diğer Kuzey Kore kaynaklı siber faaliyetlerden farklı olduğu gözlemlenmiş. Grubun finansal desteğe, benzersiz araçlara ve taktiklere sahip olduğuna inanılıyor. Ayrıca grup, “Lazarus” ve TEMP.Hermit adıyla bilinen gruplarla örtüşen karakteristik özelliklere sahip.

 

APT38 ortalama olarak bir sistemde 155 gün fark edilmeden zararlı etkinliklerini sürdürebiliyor. Başka bir olayda ise bu sürenin iki yıla kadar çıktığı olmuş.

Yaşanan çoğu saldırıda saldırganlar sistemde uzun süre fark edilmeden kalmak için şu yaşam döngüsünü izliyorlar:

  1. Hedef organizasyonda çalışan personel ve SWIFT sistemini kullanan üçüncü taraf iş ortaklarından hedef ağda gerçekleşen SWIFT işlemlerinin nasıl işlediğine yönelik bilgi edinmek için araştırma yürütülür.
  1. Apache Struts2 uygulamasının güncelleme yapılmamış sürümündeki, sistemde kod çalıştırılmasını sağlayan güvenlik açığı istismar edilir.
  1. Dağıtılan zararlı yazılımla kimlik bilgileri toplanır, hedef ağ topolojisi modellenir ve hedefin ortamı taranarak kullandığı araçlar hakkında bilgi edinilir.
  1. Ağ keşfi yapılarak SWIFT sistemi için kullanılan diğer sunucular tespit edilir ve nasıl yapılandırıldığı anlamaya çalışılır. Zararlı etkinliklerin tespitini önlemek amacıyla belleğe arka kapı yerleştirilir. Bu şekilde zararlı aktivitelerin tespiti önlenecek ve sürekli olarak bilgisayar belleğinde çalışmaya devam etmesini sağlayarak, saldırganın hedefe olan erişimini koruyacaktır.
  1. Dağıtılan ve çalıştırılan zararlı yazılım, SWIFT hareketlerinin arasına hileli bir işlem ekler ve hareket geçmişinin üzerinde değişiklik yapar. Bu aşamada kara para aklamayı kolaylaştırmak için farklı ülkelerdeki bankalara çoklu transferler yapılır.
  1. Adli bilişim analizlerini aksatmak ve izlerini yok etmek için zararlı yazılım ve olay günlükleri silinir.

 

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*