Türkiye, LinkedIn ve WhatsApp'ı kullanan Lazarus'un hedefinde!
Gelişmiş kalıcı tehdit grubu Lazarus, LinkedIn ve WhatsApp'ı kötüye kullanarak dünya çapındaki havacılık ve savunma yüklenicilerine saldırıyor. Grubun hedefinde ise Fransa, İtalya, İspanya, Almanya, Çek Cumhuriyeti, Hollanda, Polonya, Ukrayna, Katar ve Brezilya'nın yanı sıra Türkiye de var.
Siber güvenlik kuruluşu ESET Araştırma Birimi, Lazarus APT (Gelişmiş Kalıcı Tehdit ) grubu ve bu grubun 2021'in sonları ile Mart 2022 arasında dünyanın dört bir yanındaki savunma yüklenicilerine yönelik saldırıları hakkında yeni bilgiler paylaştı.
Tespitlere göre grubun hedefleri arasında Fransa, İtalya, İspanya, Almanya, Çek Cumhuriyeti, Hollanda, Polonya, Ukrayna, Katar ve Brezilya’nın yanısıra Türkiye de bulunuyor. Sahte işe alım kampanyaları için LinkedIn ve WhatsApp gibi hizmetleri kullanan Lazarus ABD hükümetine göre Kuzey Kore rejimiyle bağlantılı.
ESET Tehdit Araştırması Direktörü Jean-Ian Boutin, Lazarus grubu tarafından 2021'in sonlarından Mart 2022'ye kadar dünyanın dört bir yanındaki savunma yüklenicilerine karşı yürütülen çeşitli yeni kampanyaları inceledi. ESET telemetrisine göre Lazarus, Avrupa ve Latin Amerika'daki şirketleri hedef alıyor.
TÜRKİYE'DEKİ ŞİRKETLER DE HEDEF ALINDI
Lazarus operasyonunun birincil amacı siber casusluk olmasına rağmen, grubun aynı zamanda sonucu başarısızlıkla biten para sızdırma operasyonu da yürüttüğü belirtiliyor.
Jean-Ian Boutin, "Lazarus tehdit grubu, çekirdek belleğine yazmak için savunmasız bir Dell sürücüsünden yararlanabilen bir kullanıcı modu bileşeni de dahil olmak üzere ilginç bir araç seti dağıtarak ustalığını gösterdi. Bu gelişmiş teknik, güvenlik çözümlerinin izlenmesini atlamak amacıyla kullanıldı" değerlendirmesini yaptı.
Araştırmacılar, 2020 gibi erken bir tarihte, Lazarus'un bir alt grubu tarafından Avrupalı havacılık ve savunma yüklenicilerine karşı yürütülen ve In(ter)ception operasyonu olarak adlandırılan bir kampanyayı belgelemişlerdi.
Bu kampanya sırasında kullanılan zararlılar farklı olsa da amaç yine aynıydı: Sosyal medyayı, özellikle LinkedIn'i, saldırgan ile çalışanlar arasında güven oluşturmak için kullandılar ve zararlı bileşeni gizli bir şekilde göndererek çalışanların açmalarını sağladılar. O dönemde Brezilya, Çek Cumhuriyeti, Katar, Türkiye ve Ukrayna'daki şirketler hedef alınmıştı.
WHATSAPP'I DA KULLANIYORLAR
Araştırmacılar, eylemin çoğunlukla Avrupalı şirketlere saldırmaya yönelik olduğuna inanıyorlardı, ancak savunma yüklenicilerine karşı benzer kampanyalar yürüten bir dizi Lazarus alt grubunu izleyerek, kampanyanın çok daha geniş bir alana yayıldığı ortaya çıkarıldı.
Çeşitli kampanyalarda kullanılan kötü amaçlı yazılımlar farklı olsa da ilk çalışma şekli her zaman aynı kaldı. Buna göre sahte bir işe alım uzmanı, LinkedIn aracılığıyla bir çalışanla iletişime geçiyor ve sonunda kötü amaçlı bileşenler gönderiyor.
Geçmişte olduğu gibi aynı yöntem ile devam ettiklerini vurgulayan araştırmacılar, bununla birlikte sahte işe alım kampanyalarına meşruiyet katmak için meşru işe alım kampanyası öğelerinin kullanıldığını da belgeledi. Ek olarak, saldırganlar kötü amaçlı kampanyalarında WhatsApp veya Slack gibi hizmetleri de kullandılar.
2021'de ABD Adalet Bakanlığı, üç IT programcısını Kuzey Kore ordusu için çalışmakla ve siber saldırı düzenlemekle suçlamıştı. ABD hükümetine göre, infosec topluluğunda Lazarus Grubu olarak bilinen tehdit aktörü, Kuzey Kore askeri hacker birimine aitler.