Siber güvenlik alanında dünya lideri olan ESET, Kuzey Kore ile irtibatlı Lazarus kümesi çatısı altında takip ettiği Operation DreamJob kampanyasının yeni bir örneğini gözlemledi. Kampanyada, savunma endüstrisinde faaliyet gösteren birkaç Avrupa şirketi amaç alındı. Bu şirketlerin kimileri insansız hava aracı (İHA/Drone) kesiminde ağır olarak faaliyet gösterdiğinden operasyonun Kuzey Kore’nin drone programını genişletme uğraşlarıyla kontaklı olabileceği; saldırganların esas gayesinin, özel bilgiler ve üretim know-how’ının çalınması olduğu düşünülüyor.
ESET araştırmacılarının bulgularına nazaran gerçek hayatta gerçekleşen akınlar, Orta ve Güneydoğu Avrupa’da savunma kesiminde faaliyet gösteren üç şirketi art geriye maksat aldı. Birinci erişim neredeyse kesin olarak toplumsal mühendislik yoluyla sağlandı. Maksatlara yerleştirilen ana yük, saldırganlara ele geçirilen makine üzerinde tam denetim sağlayan bir uzaktan erişim truva atı (RAT) olan ScoringMathTea idi. Saldırganların en önemli amacının, özel bilgiler ve üretim know-how’ının dışarıya sızdırılması olduğu düşünülüyor.
Operation DreamJob’da, toplumsal mühendisliğin ana teması, kârlı fakat düzmece bir iş teklifi ve buna eşlik eden bir makûs gayeli yazılım. Kurban, ekseriyetle iş tarifi içeren bir yem evrak ve bunu açmak için trojanize edilmiş bir PDF okuyucu alır. ESET Research, bu faaliyeti Operasyon DreamJob ile ilgili kampanyaları ve Avrupa’da bulunan amaç bölümlerin evvelki Operasyon DreamJob örneklerindeki amaçlarla (havacılık, savunma, mühendislik) uyumlu olması nedeniyle Lazarus’a atfediyor.
Hedef alınan üç kuruluş, farklı cinste askeri teçhizat (veya bunların parçaları) üretiyor ve bunların birden fazla, Avrupa ülkelerinin askeri yardımı sonucunda şu anda Ukrayna’da kullanılıyor. Operation DreamJob’un gözlemlenen faaliyetleri sırasında, Kuzey Koreli askerler Moskova’nın Kursk bölgesinde Ukrayna’nın saldırısını püskürtmesine yardım etmek için Rusya’ya konuşlandırılmıştı. Bu nedenle, Operation DreamJob’un şu anda Rusya-Ukrayna savaşında kullanılan birtakım batı imali silah sistemleri hakkında hassas bilgiler toplamakla ilgilendiği mümkündür. Daha genel olarak, bu kuruluşlar Kuzey Kore’nin de yurt içinde ürettiği ve kendi tasarım ve süreçlerini mükemmelleştirmeyi umduğu tipten materyallerin üretiminde yer almaktadır. İHA ile ilgili bilgi birikimine olan ilgi dikkat cazip, çünkü bu, Pyongyang’ın yerli drone üretim kapasitelerine büyük yatırım yaptığına işaret eden son medya haberlerini yansıtıyor. Kuzey Kore, yerli İHA kapasitelerini geliştirmek için büyük ölçüde bilakis mühendislik ve fikri mülkiyet hırsızlığına güvenmiştir.
Son Lazarus akınlarını keşfeden ve tahlil eden ESET araştırmacısı Peter Kálnai ve Alexis Rapin şu açıklamayı yaptılar: “Operasyon DreamJob’un, en azından kısmen, İHA’larla ilgili özel bilgileri ve üretim know-how’ını çalmak hedefiyle gerçekleştirildiğini düşünüyoruz. Dropper’lardan birinde gözlemlenen drone sözü, bu hipotezi değerli ölçüde desteklemektedir. Gaye alınan kuruluşlardan birinin, şu anda Ukrayna’da kullanılan ve Kuzey Kore’nin cephe çizgisinde karşılaşmış olabileceği en az iki İHA modelinin üretiminde yer aldığına dair ispatlar bulduk. Bu kuruluş, Pyongyang’ın faal olarak geliştirmekte olduğu bir uçak çeşidi olan gelişmiş tek motorlu insansız hava araçlarının tedarik zincirinde de yer almaktadır.“
Genel olarak, Lazarus saldırganları epeyce faaldir ve art kapılarını birden fazla maksada karşı kullanırlar. Bu sık kullanım, bu araçları ortaya çıkarır ve tespit edilmesini sağlar. Buna karşı tedbir olarak, kümenin araçlarının yürütme zincirinde bir dizi dropper, yükleyici ve kolay indirici yer alır. Saldırganlar, makûs emelli yükleme rutinlerini GitHub’da bulunan açık kaynaklı projelere dâhil etmeye karar verdiler.
Ana yük olan ScoringMathTea, yaklaşık 40 komutu destekleyen karmaşık bir RAT’tır. Birinci ortaya çıkışı, Ekim 2022’de Portekiz ve Almanya’dan VirusTotal’a gönderilen müracaatlarla izlenebilir; burada dropper, Airbus temalı bir iş teklifi üzere görünerek kurbanları tuzağa düşürmüştür. Uygulanan fonksiyonellik, Lazarus’un ekseriyetle gerektirdiği işlevselliklerle birebirdir: Evrak ve süreçlerin manipülasyonu, yapılandırmanın değiştirilmesi, kurbanın sistem bilgilerinin toplanması, TCP kontağının açılması ve lokal komutların yahut C&C sunucusundan indirilen yeni yüklerin yürütülmesi. ESET telemetrisine nazaran, ScoringMathTea, Ocak 2023’te bir Hint teknoloji şirketine, Mart 2023’te bir Polonya savunma şirketine, Ekim 2023’te bir İngiliz endüstriyel otomasyon şirketine ve Eylül 2025’te bir İtalyan havacılık şirketine yönelik akınlarda görülmüştür. Operation DreamJob kampanyalarının amiral gemisi yüklerinden biri olduğu görülmektedir.
Grubun en değerli gelişimi, DLL proxy’leri için tasarlanmış yeni kütüphanelerin tanıtılması ve daha uygun kaçınma için trojanize edilecek yeni açık kaynaklı projelerin seçilmesidir. Kálnai, “Yaklaşık üç yıldır Lazarus, tercih ettiği ana yükü olan ScoringMathTea’yi kullanarak ve açık kaynaklı uygulamaları trojanize etmek için emsal teknikler uygulayarak dengeli bir çalışma usulünü sürdürmüştür. Bu öngörülebilir lakin tesirli strateji, kümenin kimliğini gizlemek ve atıf sürecini belirsizleştirmek için yetersiz olsa da güvenlik tespitinden kaçmak için kâfi polimorfizm sağlar” diye aktardı.
HIDDEN COBRA olarak da bilinen Lazarus kümesi en az 2009 yılından beri etkin olan ve Kuzey Kore ile kontaklı bir APT kümesidir. Yüksek profilli olaylardan sorumludur. Lazarus kampanyalarının çeşitliliği, sayısı ve uygulamadaki tuhaflığı bu kümesi tanımlamaktadır. Ayrıyeten siber kabahat faaliyetlerinin üç temel ögesini da yerine getirmektedir: Siber casusluk, siber sabotaj ve mali çıkar peşinde koşma.
Operasyon DreamJob, temel olarak toplumsal mühendisliğe dayanan Lazarus kampanyalarının kod ismidir ve bilhassa itibarlı yahut yüksek profilli durumlar için uydurma iş teklifleri kullanır (“hayalindeki iş” tuzağı). Amaçlar yüklü olarak havacılık ve savunma dallarındadır, akabinde mühendislik ve teknoloji şirketleri ile medya ve cümbüş dalı gelir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
