Siber güvenlik alanında dünya lideri olan ESET, Kuzey Kore ile ilişkili Lazarus kümesi çatısı altında takip ettiği Operation DreamJob kampanyasının yeni bir örneğini gözlemledi. Kampanyada, savunma endüstrisinde faaliyet gösteren birkaç Avrupa şirketi gaye alındı. Bu şirketlerin kimileri insansız hava aracı (İHA/Drone) dalında ağır olarak faaliyet gösterdiğinden operasyonun Kuzey Kore’nin drone programını genişletme uğraşlarıyla irtibatlı olabileceği; saldırganların esas maksadının, özel bilgiler ve üretim know-how’ının çalınması olduğu düşünülüyor.
ESET araştırmacılarının bulgularına nazaran gerçek hayatta gerçekleşen akınlar, Orta ve Güneydoğu Avrupa’da savunma dalında faaliyet gösteren üç şirketi art geriye maksat aldı. Birinci erişim neredeyse kesin olarak toplumsal mühendislik yoluyla sağlandı. Maksatlara yerleştirilen ana yük, saldırganlara ele geçirilen makine üzerinde tam denetim sağlayan bir uzaktan erişim truva atı (RAT) olan ScoringMathTea idi. Saldırganların esas gayesinin, özel bilgiler ve üretim know-how’ının dışarıya sızdırılması olduğu düşünülüyor.
Operation DreamJob’da, toplumsal mühendisliğin ana teması, kârlı lakin düzmece bir iş teklifi ve buna eşlik eden bir makus emelli yazılım. Kurban, ekseriyetle iş tarifi içeren bir yem evrak ve bunu açmak için trojanize edilmiş bir PDF okuyucu alır. ESET Research, bu faaliyeti Operasyon DreamJob ile ilgili kampanyaları ve Avrupa’da bulunan maksat kesimlerin evvelki Operasyon DreamJob örneklerindeki maksatlarla (havacılık, savunma, mühendislik) uyumlu olması nedeniyle Lazarus’a atfediyor.
Hedef alınan üç kuruluş, farklı cinste askeri teçhizat (veya bunların parçaları) üretiyor ve bunların birden fazla, Avrupa ülkelerinin askeri yardımı sonucunda şu anda Ukrayna’da kullanılıyor. Operation DreamJob’un gözlemlenen faaliyetleri sırasında, Kuzey Koreli askerler Moskova’nın Kursk bölgesinde Ukrayna’nın saldırısını püskürtmesine yardım etmek için Rusya’ya konuşlandırılmıştı. Bu nedenle, Operation DreamJob’un şu anda Rusya-Ukrayna savaşında kullanılan birtakım batı üretimi silah sistemleri hakkında hassas bilgiler toplamakla ilgilendiği mümkündür. Daha genel olarak, bu kuruluşlar Kuzey Kore’nin de yurt içinde ürettiği ve kendi tasarım ve süreçlerini mükemmelleştirmeyi umduğu tipten gereçlerin üretiminde yer almaktadır. İHA ile ilgili bilgi birikimine olan ilgi dikkat cazibeli, çünkü bu, Pyongyang’ın yerli drone üretim kapasitelerine büyük yatırım yaptığına işaret eden son medya haberlerini yansıtıyor. Kuzey Kore, yerli İHA kapasitelerini geliştirmek için büyük ölçüde bilakis mühendislik ve fikri mülkiyet hırsızlığına güvenmiştir.
Son Lazarus akınlarını keşfeden ve tahlil eden ESET araştırmacısı Peter Kálnai ve Alexis Rapin şu açıklamayı yaptılar: “Operasyon DreamJob’un, en azından kısmen, İHA’larla ilgili özel bilgileri ve üretim know-how’ını çalmak hedefiyle gerçekleştirildiğini düşünüyoruz. Dropper’lardan birinde gözlemlenen drone sözü, bu hipotezi değerli ölçüde desteklemektedir. Maksat alınan kuruluşlardan birinin, şu anda Ukrayna’da kullanılan ve Kuzey Kore’nin cephe sınırında karşılaşmış olabileceği en az iki İHA modelinin üretiminde yer aldığına dair ispatlar bulduk. Bu kuruluş, Pyongyang’ın etkin olarak geliştirmekte olduğu bir uçak çeşidi olan gelişmiş tek motorlu insansız hava araçlarının tedarik zincirinde de yer almaktadır.“
Genel olarak, Lazarus saldırganları epey faaldir ve art kapılarını birden fazla amaca karşı kullanırlar. Bu sık kullanım, bu araçları ortaya çıkarır ve tespit edilmesini sağlar. Buna karşı tedbir olarak, kümenin araçlarının yürütme zincirinde bir dizi dropper, yükleyici ve kolay indirici yer alır. Saldırganlar, berbat maksatlı yükleme rutinlerini GitHub’da bulunan açık kaynaklı projelere dâhil etmeye karar verdiler.
Ana yük olan ScoringMathTea, yaklaşık 40 komutu destekleyen karmaşık bir RAT’tır. Birinci ortaya çıkışı, Ekim 2022’de Portekiz ve Almanya’dan VirusTotal’a gönderilen müracaatlarla izlenebilir; burada dropper, Airbus temalı bir iş teklifi üzere görünerek kurbanları tuzağa düşürmüştür. Uygulanan fonksiyonellik, Lazarus’un çoklukla gerektirdiği işlevselliklerle birebirdir: Belge ve süreçlerin manipülasyonu, yapılandırmanın değiştirilmesi, kurbanın sistem bilgilerinin toplanması, TCP ilişkisinin açılması ve mahallî komutların yahut C&C sunucusundan indirilen yeni yüklerin yürütülmesi. ESET telemetrisine nazaran, ScoringMathTea, Ocak 2023’te bir Hint teknoloji şirketine, Mart 2023’te bir Polonya savunma şirketine, Ekim 2023’te bir İngiliz endüstriyel otomasyon şirketine ve Eylül 2025’te bir İtalyan havacılık şirketine yönelik ataklarda görülmüştür. Operation DreamJob kampanyalarının amiral gemisi yüklerinden biri olduğu görülmektedir.
Grubun en değerli gelişimi, DLL proxy’leri için tasarlanmış yeni kütüphanelerin tanıtılması ve daha âlâ kaçınma için trojanize edilecek yeni açık kaynaklı projelerin seçilmesidir. Kálnai, “Yaklaşık üç yıldır Lazarus, tercih ettiği ana yükü olan ScoringMathTea’yi kullanarak ve açık kaynaklı uygulamaları trojanize etmek için benzeri metotlar uygulayarak dengeli bir çalışma şeklini sürdürmüştür. Bu öngörülebilir lakin tesirli strateji, kümenin kimliğini gizlemek ve atıf sürecini belirsizleştirmek için yetersiz olsa da güvenlik tespitinden kaçmak için kâfi polimorfizm sağlar” diye aktardı.
HIDDEN COBRA olarak da bilinen Lazarus kümesi en az 2009 yılından beri etkin olan ve Kuzey Kore ile kontaklı bir APT kümesidir. Yüksek profilli olaylardan sorumludur. Lazarus kampanyalarının çeşitliliği, sayısı ve uygulamadaki tuhaflığı bu kümesi tanımlamaktadır. Ayrıyeten siber kabahat faaliyetlerinin üç temel ögesini da yerine getirmektedir: Siber casusluk, siber sabotaj ve mali kar peşinde koşma.
Operasyon DreamJob, temel olarak toplumsal mühendisliğe dayanan Lazarus kampanyalarının kod ismidir ve bilhassa itibarlı yahut yüksek profilli konumlar için uydurma iş teklifleri kullanır (“hayalindeki iş” tuzağı). Maksatlar yüklü olarak havacılık ve savunma dallarındadır, akabinde mühendislik ve teknoloji şirketleri ile medya ve cümbüş kesimi gelir.
Kaynak: (BYZHA) Beyaz Haber Ajansı