Yakın tarihli bir siber güvenlik ihlalinde, Kuzey Kore destekli bilgisayar korsanları önde gelen bir ABD kurumsal yazılım şirketi olan JumpCloud’un sistemlerine sızarak kripto para birimi müşterilerini hedef aldı. Kötü şöhretli Lazarus bilgisayar korsanlığı grubunun Labyrinth Chollima adlı bir alt grubuna atfedilen ihlal, devlet destekli siber saldırıların oluşturduğu kalıcı tehdidin altını çiziyor. Bu makale, ihlalin ayrıntılarını, Kuzey Kore’nin bilgisayar korsanlığı faaliyetlerinin arkasındaki motivasyonları ve kripto para birimi endüstrisi üzerindeki etkilerini araştırıyor.
JumpCloudİşletmeler için kimlik doğrulama, yetkilendirme ve kullanıcı/cihaz yönetimi çözümleri sunan bir dizin platformu olan , Haziran ayında bir ihlal yaşadığını doğruladı. Şirket, izinsiz girişi tespit etti ve tehdidi azaltmak, ağını güvence altına almak, müşterilerle iletişim kurmak ve kolluk kuvvetlerini devreye sokmak için derhal olay müdahale planını başlattı. JumpCloud, saldırının arkasındaki ülkeyi açıkça tanımlamasa da, Crowdstrike ve SentinelOne’dan siber güvenlik araştırmacıları, bunu Kuzey Kore destekli bilgisayar korsanlarına bağladı.
JumpCloud ihlalinden sorumlu olduğuna inanılan bilgisayar korsanlığı grubu Lazarus, kripto para birimi sektörünü hedefleme konusunda uzun bir geçmişe sahiptir. Bu devlet destekli grup, 2009’dan beri siber güvenlik şirketleri tarafından aktif olarak izleniyor ve Kuzey Kore’nin yaptırım uygulanan nükleer silah programıyla olan ilişkisiyle tanınıyor. Lazarus daha önce Ronin Network ve Harmony’s Horizon Bridge gibi önde gelen kripto varlıklarını hedef almıştı.
Hem Crowdstrike hem de SentinelOne araştırmacıları bağımsız olarak JumpCloud ihlalini Lazarus’a bağladı. Crowdstrike İstihbarat Kıdemli Başkan Yardımcısı Adam Meyers, saldırıdan sorumlu grubun Kuzey Kore ile bağlantılı en üretken düşmanlardan biri olduğunu belirtti. Benzer şekilde, SentinelOne’dan bir araştırmacı olan Tom Hegel, JumpCloud tarafından paylaşılan uzlaşma göstergelerinin (IOC’ler), genellikle Kuzey Kore olarak bilinen Kore Demokratik Halk Cumhuriyeti’ne (KDHC) atfedilen bir dizi etkinlikle bağlantılı olduğunu doğruladı.
JumpCloud ihlaline ek olarak, Kuzey Koreli bilgisayar korsanları, GitHub müşterilerini hedef alan yakın tarihli bir sosyal mühendislik kampanyasının da arkasında olabilir.. Yazılım geliştirme işbirliği için popüler bir platform olan GitHub, kampanyanın blockchain, kripto para birimi ve çevrimiçi kumar sektörleriyle ilişkili teknoloji firmalarının çalışanlarının kişisel hesaplarını hedeflediğini ortaya çıkardı. Saldırı, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından genellikle TraderTraitor olarak izlenen, Kuzey Kore hedeflerini desteklemek için faaliyet gösteren bir gruba atfedildi.
Kuzey Kore, yaptırım uygulanan nükleer silah programını finanse etmek için kripto çalma operasyonlarını kullanma geçmişine sahiptir. Ülkenin yasadışı BT çalışanları ordusu, rejimin kitle imha silahları programlarını desteklemek için fon sağlayarak dünya çapında hileli bir şekilde iş buluyor. Bu faaliyetlere karşı koymak için ABD hükümeti, Kuzey Kore’nin yasadışı BT işgücüne yaptırımlar uyguladı ve Kuzey Koreli bilgisayar korsanlarını bozabilecek bilgiler için ödüller sunuyor.
JumpCloud ihlali, küçük ve belirli bir müşteri grubunu etkilediŞirketin yazılımının 180.000’den fazla kuruluş tarafından kullanıldığı ve 5.000’den fazla ödeme yapan müşteriye sahip olduğu göz önüne alındığında. İhlalin bu müşteriler üzerindeki etkisinin kesin ayrıntıları açıklanmamış olsa da, JumpCloud olaya hızla yanıt verdietkilenen müşterilerin API anahtarlarının sıfırlanması ve ağlarının ve çevrelerinin güvenliğini sağlamak için gerekli önlemlerin alınması.
Kripto para birimi ile ilgili varlıklara yönelik hedefli saldırılar, sektördeki güvenlik açıklarını vurgulamaktadır. Kripto para birimleri popülerlik ve değer kazanmaya devam ettikçe, finansal kazanç veya yasa dışı faaliyetler için fon arayan devlet destekli bilgisayar korsanlığı grupları için çekici hedefler haline geliyorlar. Sektör uyanık kalmalı ve dijital varlıkları korumak ve kullanıcıların hassas bilgilerini korumak için sağlam güvenlik önlemleri uygulamalıdır.
JumpCloud ihlali, büyüklükleri veya sektörleri ne olursa olsun tüm kuruluşlar siber güvenliğe öncelik vermelidir. Lazarus gibi devlet destekli bilgisayar korsanlığı grupları, gelişmiş yeteneklere sahiptir ve saldırı tekniklerini sürekli olarak geliştirir. Kuruluşların çalışan eğitimi, tehdit istihbaratı, güvenlik açığı değerlendirmeleri ve olay müdahale planları dahil olmak üzere kapsamlı siber güvenlik önlemlerine yatırım yapması çok önemlidir.
Özetle, JumpCloud’u hedef alan Kuzey Kore destekli bilgisayar korsanlığı olayı ve ardından kripto para birimleriyle ilgili varlıklara yönelik saldırılar, devlet destekli siber suçluların oluşturduğu tehdidin devam ettiğini gösteriyor. Kuzey Kore ile ilişkili tanınmış bir bilgisayar korsanlığı grubu olan Lazarus, ülkenin nükleer silah programını finanse etmek için kripto para birimi sektörünü hedef alma geçmişine sahiptir. Kripto para birimi endüstrisi uyanık kalmalı ve bu tür saldırıların riskini azaltmak için sağlam güvenlik önlemleri almalıdır. Ayrıca, tüm kuruluşlar varlıklarını ve hassas bilgilerini devlet destekli bilgisayar korsanlığı gruplarından korumak için siber güvenliğe öncelik vermelidir.
İlk bildirilen Reuters
Sıkça Sorulan Sorular
S. JumpCloud’u içeren son siber güvenlik ihlali nedir?
Yakın tarihli bir siber güvenlik ihlalinde, Kuzey Kore destekli bilgisayar korsanları, önde gelen bir ABD kurumsal yazılım şirketi olan JumpCloud’u hedef aldı. JumpCloud, kuruluşlar için kimlik doğrulama, yetkilendirme ve kullanıcı/cihaz yönetimi çözümleri sağlar. İhlal, JumpCloud’un sistemlerine sızmayı içeriyordu ve Lazarus bilgisayar korsanlığı grubunun Labyrinth Chollima olarak bilinen bir alt grubuna atfedildi.
S. Lazarus nedir ve kripto para birimiyle ilgili saldırılarla ilgili geçmişi nedir?
Lazarus, 2009’dan beri siber güvenlik şirketleri tarafından aktif olarak izlenen, Kuzey Kore ile ilişkili bir bilgisayar korsanlığı grubudur. Grup, Kuzey Kore’nin yaptırım uygulanan nükleer silah programıyla olan ilişkisiyle ünlüdür. Lazarus, yasadışı faaliyetleri finanse etmek için kripto para birimi sektörünü hedef alma geçmişine sahiptir ve Ronin Network ve Harmony’s Horizon Bridge gibi kripto varlıklarına yönelik önceki saldırılarla bağlantılıdır.
S. Araştırmacılar, JumpCloud ihlalini Kuzey Kore destekli bilgisayar korsanlarıyla nasıl ilişkilendirdi?
Crowdstrike ve SentinelOne’dan araştırmacılar, bağımsız olarak JumpCloud ihlalini Kuzey Kore destekli bir bilgisayar korsanlığı grubu olan Lazarus’a bağladı. Crowdstrike’tan Adam Meyers, saldırıdan sorumlu grubun Kuzey Kore ile bağlantılı en üretken düşmanlardan biri olduğunu belirtti. SentinelOne’dan Tom Hegel, JumpCloud tarafından paylaşılan uzlaşma göstergelerinin (IOC’ler) Kuzey Kore’ye atfedilen bir dizi faaliyetle bağlantılı olduğunu doğruladı.
S. Kuzey Kore’nin kripto para birimi sektöründeki bilgisayar korsanlığı faaliyetlerinin arkasındaki motivasyon nedir?
Kuzey Kore, yaptırım uygulanan nükleer silah programını finanse etmek için kripto para çalma operasyonlarını kullandı. Ülkenin yasadışı BT çalışanları, rejimin kitle imha silahları programlarını desteklemek için fon yaratmak amacıyla dünya çapında hileli bir şekilde iş buluyor. Kripto para birimi endüstrisinin artan popülaritesi ve değeri, onu finansal kazanç veya yasa dışı faaliyetler için fon arayan devlet destekli bilgisayar korsanlığı grupları için çekici bir hedef haline getiriyor.
S. JumpCloud ihlali müşterilerini nasıl etkiledi?
İhlalin JumpCloud müşterileri üzerindeki etkisinin belirli ayrıntıları açıklanmazken şirket, etkilenen müşterilerin API anahtarlarını sıfırlayarak ve ağlarını ve çevrelerini korumak için gerekli önlemleri uygulayarak hızlı bir şekilde yanıt verdi. JumpCloud’un yazılımının 180.000’den fazla kuruluş tarafından kullanıldığı ve 5.000’den fazla ödeme yapan müşterisi olduğu düşünüldüğünde, ihlalin küçük ve belirli bir müşteri grubunu etkilediği bildirildi.
S. Kripto para birimi endüstrisi bu tür saldırılara karşı korunmak için ne yapabilir?
Kripto para birimi endüstrisi uyanık kalmalı ve dijital varlıkları korumak ve kullanıcıların hassas bilgilerini korumak için sağlam güvenlik önlemleri uygulamalıdır. Bu, çalışan eğitimi, tehdit istihbaratı, güvenlik açığı değerlendirmeleri ve olay müdahale planları gibi kapsamlı siber güvenlik önlemlerine yatırım yapmayı içerir.
S. Kuruluşlar kendilerini Lazarus gibi devlet destekli bilgisayar korsanlığı gruplarından nasıl koruyabilir?
Büyüklüğü veya sektörü ne olursa olsun tüm kuruluşlar, varlıklarını ve hassas bilgilerini devlet destekli bilgisayar korsanlığı gruplarından korumak için siber güvenliğe öncelik vermelidir. Bu, sağlam güvenlik önlemlerini benimsemeyi, çalışan eğitimine yatırım yapmayı ve en son siber güvenlik tehditleri ve saldırı teknikleri konusunda güncel kalmayı içerir.
S. JumpCloud’daki gibi devlet destekli siber saldırıların daha geniş sonuçları nelerdir?
Devlet destekli siber saldırılar, dünya çapında çeşitli endüstriler ve kuruluşlar için kalıcı bir tehdit oluşturmaktadır. JumpCloud olayı, kuruluşların bu tür saldırılara karşı korunmak için proaktif önlemler alma ihtiyacını vurgulamaktadır. Ayrıca, devlet destekli siber tehditlerle mücadelede özel sektör ile hükümetler arasındaki işbirliğinin öneminin altını çiziyor.
Öne Çıkan Resim Kredisi: Unsplash
Kaynak : https://readwrite.com/north-korean-hackers-are-targeting-your-cryptocurrency/