Kim Jong-Un silah denemelerini hızlandırırken Kuzey Kore siber saldırılarda da atağa geçti.
Kuzey Kore bağlantılı bilgisayar korsanları, çevrim içi hizmetlerin arka planında çalışan ve büyük ölçüde görünmeyen bir yazılımı hedef alarak siber saldırı gerçekleştirdi. Google, saldırının amacının kullanıcı giriş bilgilerini ele geçirerek daha geniş çaplı siber operasyonlar yürütmek olduğunu açıkladı.
Google ve bağımsız siber güvenlik araştırmacılarına göre saldırganlar, uygulamalar ile web servislerini birbirine bağlayan Axios adlı programı hedef aldı. Korsanlar, pazartesi günü yayımlanan bir güncellemeye kendi zararlı yazılımlarını ekleyerek sisteme sızdı. Saldırı, salı günü erken saatlerde ortaya çıkarıldı.
Tom Hegel, Axios’un önemine dikkat çekerek, “Bir web sitesini her yüklediğinizde, banka bakiyenizi kontrol ettiğinizde ya da telefonunuzda bir uygulama açtığınızda, büyük ihtimalle arka planda Axios çalışıyor” dedi.
Daha sonra kaldırılan zararlı yazılımın, bilgisayarlardaki verilere ve özellikle giriş bilgilerine erişim sağlayabileceği, bu bilgilerin de ek veri hırsızlığı veya başka saldırılar için kullanılabileceği belirtildi.
Axios geliştiricilerine ulaşılamazken, söz konusu yazılımın ticari bir ürün olmadığı, açık kaynaklı olduğu ve kullanıcılar tarafından değiştirilebildiği ifade edildi.
Siber güvenlik uzmanları bu ihlali bir “tedarik zinciri saldırısı” olarak tanımladı. Bu tür saldırılarda, yazılımın kendisi üzerinden daha geniş bir kullanıcı kitlesine ulaşılması hedefleniyor. Hegel, “Hiçbir şeye tıklamanıza ya da hata yapmanıza gerek yok. Güvendiğiniz yazılım bunu sizin yerinize yapıyor” ifadelerini kullandı.
Google, saldırının arkasında UNC1069 olarak takip edilen bir grubun bulunduğunu belirtti. Şirketin daha önce yayımladığı bir rapora göre bu grup en az 2018’den bu yana faaliyet gösteriyor ve özellikle kripto para ile finans sektörünü hedef alıyor.
John Hultquist ise Kuzey Koreli hackerların tedarik zinciri saldırılarında derin deneyime sahip olduğunu ve bu yöntemleri çoğunlukla kripto para çalmak için kullandıklarını söyledi.
Saldırganların, macOS, Windows ve Linux işletim sistemlerini hedef alabilecek farklı zararlı yazılım versiyonları geliştirdiği, siber güvenlik firması Elastic Security tarafından yayımlanan analizde yer aldı.
Elastic Security, saldırı yönteminin “milyonlarca ortamı etkileyebilecek bir dağıtım mekanizması” sağladığını belirtirken, zararlı yazılımın kaç kez indirildiğinin henüz netlik kazanmadığı ifade edildi.