Kuzey Koreli Hackerlar Rus Füze Mühendisliği Firmasını Hedef Aldı

Kuzey Kore merkezli iki farklı devlet aktörü, büyük bir Rus füze mühendislik şirketi olan NPO Mashinostroyeniya’ya yönelik siber saldırıyla ilişkilendirildi.

Siber güvenlik firması SentinelOne, “Kuzey Kore ile ilişkilendirilmiş iki farklı iç IT altyapısının kompromatı”nı tespit etti. Bu olaylar, bir e-posta sunucusunun ele geçirilmesi ve OpenCarrot adlı bir Windows arka kapı yazılımının kullanılması durumlarını içeriyor.

Linux tabanlı e-posta sunucusunun ele geçirilmesi ScarCruft’a atfedildi. Öte yandan OpenCarrot, daha önce Lazarus Grubu tarafından kullanıldığı tespit edilen bir araç olarak biliniyor. Saldırılar, Mayıs 2022’nin ortalarında fark edildi. Reutov merkezli NPO Mashinostroyeniya adlı roket tasarım bürosu, Temmuz 2014’te ABD Hazine Bakanlığı tarafından yaptırımlara tabi tutulmuş ve “Rusya’nın doğu Ukrayna’yı istikrarsızlaştırma çabaları ve Kırım’ı işgal etme süreci” ile bağlantılı olarak değerlendirilmiştir.

Hem ScarCruft (aynı zamanda APT37 olarak bilinir) hem de Lazarus Grubu, Kuzey Kore’ye bağlı olsalar da, ScarCruft’un denetleyicisi Güvenlik Devlet Bakanlığı (MSS) tarafından yönetilmektedir. Öte yandan Lazarus Grubu, Üst Düzey İstihbarat Bürosu’nun (RGB) bir parçası olan Lab 110’a aittir ve bu, ülkenin temel dış istihbarat servisidir.

Bu durum, iki farklı Kuzey Kore merkezli tehdit aktivitesi kümesinin aynı hedefe saldırdığı nadir bir durumu yansıtıyor. Bu da, tartışmalı füze programına destek sağlayabilecek “oldukça arzu edilen stratejik casusluk görevi”ni gösteriyor. OpenCarrot, Windows dinamik bağlantı kitaplığı (DLL) olarak uygulanmış ve keşif yapma, dosya sistemleri ve işlemleri manipüle etme, çeşitli iletişim mekanizmalarını yönetme gibi 25’ten fazla komutu desteklemektedir.

Güvenlik araştırmacıları Tom Hegel ve Aleksandar Milenkoski, “Geniş işlev yelpazesi ile OpenCarrot, enfekte edilen makinelerin tamamen ele geçirilmesine ve yerel ağ üzerinde birden fazla enfeksiyonun koordinasyonuna izin veriyor,” dedi. E-posta sunucusunun nasıl ele geçirildiği ve OpenCarrot’un nasıl kullanıldığı tam olarak bilinmemektedir, ancak ScarCruft’un kurbanları oltalayarak ve RokRat gibi arka kapı yazılımlarını kullanarak enfekte etmek için sosyal mühendislik kullandığı bilinmektedir.

Ayrıca, saldırı altyapısının daha yakından incelenmesi, centos-packages[.]com ve redhat-packages[.]com adlı iki alan adının, tehdit aktörlerinin Haziran 2023’teki JumpCloud saldırısında kullandığı isimlere benzerlik taşıdığını ortaya çıkardı.

Araştırmacılar şu şekilde açıklama yaptı : “Az önce bahsedilen bu olay, Kuzey Kore’nin füze geliştirme hedeflerini gizlice ilerletmek için proaktif önlemler aldığına dair çarpıcı bir örnektir; bunu, Rusya Savunma Sanayi Tabanı (DIB) kuruluşlarını doğrudan ele geçirerek kanıtlamışlardır,”

About The Author

Reply