Kuzey Kore Bağlantılı DeceptiveDevelopment: Yazılım Geliştiricilere Yönelik Siber Tehditler
Siber güvenlik şirketi ESET, Kuzey Kore ile bağlantılı olan DeceptiveDevelopment grubunun, bilgi hırsızları ve serbest çalışan geliştiricileri hedef aldığını tespit etti.
DeceptiveDevelopment, iş bulma ve serbest çalışma platformlarında sosyal mühendislik saldırılarının bir türü olan spear-phishing yöntemlerini kullanarak yazılım geliştiricilerine saldırıyor. Bu saldırıların amacı, tarayıcılardan ve parola yöneticilerinden kripto para cüzdanları ile giriş bilgilerini çalmaktır. ESET’in raporuna göre, Türkiye de bu saldırılardan etkilenen ülkeler arasında yer alıyor.
ESET, 2024’ten bu yana Kuzey Kore ile bağlantılı bir dizi kötü niyetli faaliyeti gözlemliyor. Bu faaliyetler kapsamında, yazılım geliştirme alanında faaliyet gösteren kişiler gibi davranan operatörler, kurbanları sahte iş teklifleri ile kandırmaya çalışıyor. Hedeflerine ulaşmak için, bilgi hırsızlığı yapan kötü amaçlı yazılımlar içeren projeler sunarak, onları bu projeleri indirmeye ikna etmeye çalışıyorlar. ESET Research, bu faaliyeti DeceptiveDevelopment kümesi olarak adlandırıyor. Şu anda ESET’in bildiği herhangi bir tehdit aktörüne atfedilmeyen bu Kuzey Kore bağlantılı faaliyetler, serbest çalışan yazılım geliştiricilerini hedef almayı amaçlıyor.
ESET araştırmacısı Matěj Havránek, bu konuda şöyle bir açıklama yaptı: “Sahte iş görüşmesi sürecinin bir parçası olarak, DeceptiveDevelopment operatörleri hedeflerinden mevcut bir projeye yeni bir özellik eklemek gibi bir kodlama testi yapmalarını istiyor. Görev için gerekli dosyalar genellikle GitHub veya benzeri platformlardaki özel depolarda yer alıyor. Ne yazık ki, hevesli iş adayı için bu dosyalar birer truva atına dönüşüyor: Projeyi indirip çalıştırdıklarında, kurbanın bilgisayarı tehlikeye giriyor.” Bu durum, DeceptiveDevelopment grubunun Kuzey Kore’ye bağlı aktörler tarafından kullanılan geniş bir para kazanma stratejisi koleksiyonuna bir ek oluşturduğunu ve geleneksel paradan kripto para birimlerine geçiş eğilimi gösterdiğini ortaya koyuyor.
DeceptiveDevelopment’ın kullandığı taktikler, Kuzey Kore’ye bağlı diğer bazı operasyonlarla benzerlik taşıyor. Bu grup, Windows, Linux ve macOS üzerindeki yazılım geliştiricilerini hedef alarak kripto para birimlerini çalmakta, ayrıca olası bir ikincil amaç olarak siber casusluk gerçekleştirmektedir. Saldırganlar, hedeflerine yaklaşmak için sosyal medya platformlarında sahte işe alım profilleri oluşturmaktadır. Coğrafi konuma göre ayrım yapmayan bu saldırganlar, mümkün olduğunca çok sayıda kurbanı tehlikeye atarak başarılı bir şekilde finans ve bilgi elde etme olasılıklarını artırmayı hedeflemektedirler.
DeceptiveDevelopment, faaliyetlerinin bir parçası olarak iki aşamalı kötü amaçlı yazılım ailesi kullanmaktadır. İlk aşamada, BeaverTail (bilgi hırsızı, indirici) basit bir oturum açma hırsızı olarak çalışarak, kayıtlı oturum açma bilgilerini içeren tarayıcı veri tabanlarını çıkarır. İkinci aşamada ise, casus yazılım ve arka kapı bileşenleri içeren InvisibleFerret (bilgi hırsızı, RAT) kullanılır ve bu yazılım, uzlaşma sonrası faaliyetler için yasal AnyDesk uzaktan yönetim ve izleme yazılımını indirebilir.
Saldırganlar, işe alım görevlisi gibi davranmak için mevcut kişilerin profillerini kopyalarken, yeni sahte kişilikler de oluşturabilmektedir. Daha sonra, potansiyel kurbanlarına iş arama ve serbest çalışma platformlarında doğrudan yaklaşarak ya da bu platformlarda sahte iş ilanları yayımlayarak iletişim kurarlar. Bu profillerin bazıları saldırganlar tarafından oluşturulurken, diğerleri gerçek kişilerin profillerinin saldırganlar tarafından değiştirilmiş ve potansiyel olarak tehlikeye atılmış versiyonlarıdır.
Bu etkileşimlerin gerçekleştiği platformlar arasında genel iş arama sitelerinin yanı sıra, kripto para birimi ve blok zinciri projelerine odaklanan platformlar da bulunmaktadır. Bu nedenle, saldırganların hedeflerine daha uygun bir ortam yaratılmış olmaktadır. LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight ve Crypto Jobs List gibi platformlar, bu tür saldırılar için sıkça kullanılmaktadır.
Mağdurlar, proje dosyalarını ya doğrudan sitedeki dosya aktarımı yoluyla ya da GitHub, GitLab veya Bitbucket gibi bir depoya bağlantı yoluyla alırlar. Dosyaları indirmeleri, özellikler eklemeleri veya hataları düzeltmeleri ve işe alan kişiye geri bildirimde bulunmaları istenir. Ayrıca, test etmek için projeyi oluşturmaları ve yürütmeleri talimatı verilir. Bu, ilk tehlikenin gerçekleştiği noktadır. Saldırganlar, genellikle kötü amaçlı kodlarını gizlemek için akıllıca bir strateji uygular: Kodu, genellikle geliştiriciye verilen görevle ilgisi olmayan arka uç kodu içinde, projenin başka türlü zararsız bir bileşenine yerleştirir ve uzun bir yorumun arkasına tek bir satır olarak eklerler. Böylece, bu kod çoğunlukla ekranın dışına taşınarak gizli kalır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
