Kuzey Koreli Hackerlar ABD Teknoloji Çalışanı Gibi Davranarak 88 Milyon Dolar Çaldı

Flashpoint, Kuzey Koreli hackerların ABD'de uzaktan BT işlerini güvence altına almak için sahte kimlikler kullanarak 88 milyon dolar zimmete geçirdiğini ortaya çıkarıyor. Sahte kimlikleri ve teknolojiyi dolandırıcılık yapmak için nasıl kullandıklarını öğrenin.

Kuzey Koreli hackerlar, ABD şirketlerinde ve kâr amacı gütmeyen kuruluşlarda uzaktan BT işleri almak için çalıntı kimlikler kullandı ve altı yıl boyunca en az 88 milyon dolar kazandı. ABD Adalet Bakanlığı, 12 Aralık 2024'te on dört Kuzey Kore vatandaşını dahil oldukları için suçladı . Güvenlik firması Flashpoint, hackerların kendi enfekte bilgisayarlarından gelen verileri analiz ederek bu plandaki taktiklerini ve özel ayrıntıları ortaya çıkarmak için benzersiz bir soruşturma yürüttü.

Flashpoint'in soruşturması, iddianamede adı geçen sahte şirketlerin, inandırıcı özgeçmişler oluşturmak ve sahte referanslar sağlamak için kullanıldığını ortaya koydu. Araştırmacılar, özellikle Pakistan'ın Lahor kentinde bulunan ve bu sahte varlıklarla ilişkili e-posta adreslerine ait giriş bilgilerini tutan enfekte olmuş bilgisayarları takip etti. Potansiyel olarak sahte bir ABD kimliği olan "JS" ile bağlantılı olan "jsilver617" kullanıcı adı, 2023'te çok sayıda teknoloji işine başvurmak için kullanılan bu makinelerden birinde bulundu.

Kritik bir kanıt, enfekte olmuş bir bilgisayarın tarayıcı geçmişinde bulunan ve bilgisayar korsanlarının kökenlerine dair ipuçları veren, İngilizce ve Korece arasında Google Çeviri'nin kapsamlı kullanımıydı. Tercüme edilen mesajlar, sahte iş referansları oluşturma yöntemlerini ifşa etti, hatta sahte şirketlerdeki kişiler için uydurulmuş iletişim bilgileri bile içeriyordu. "Cubix"ten bir İK yöneticisi gibi davranan bir tercüme edilmiş mesaj, sahte istihdam doğrulama bilgileri sağladı.

Diğer iletişimler, operasyon içinde hiyerarşik bir yapıya işaret etti ve çevrimiçi toplantılar sırasında web kameraları kullanmaktan kaçınma stratejileri gibi "meslek zanaatı"nı tartıştı. Uzaktan çalışan birinin zayıf performansına duyulan hayal kırıklığı, "Bu, başarısız olduğunuzun kanıtıdır" ifadesinin yer aldığı çevrilmiş bir mesajda da açıkça görüldü.

Soruşturma ayrıca uzaktan çalışma kurulumları için muhtemelen dizüstü bilgisayarlar ve telefonlar olmak üzere elektronik cihazların gönderilmesiyle ilgili tartışmaları da ortaya çıkardı. Bu, Hackread.com'un ABD merkezli işbirlikçilerin Kuzey Koreli işçiler tarafından uzaktan erişim için cihazlar aldığı ve önde gelen Kuzey Koreli grup Nickel Tapestry'nin ana fail olarak tanımlandığı Laptop Çiftlikleri hakkındaki son raporuyla örtüşüyor.

Bu durumda, çevrilen bir mesaj Nijerya'ya dizüstü bilgisayar teslimatı hakkında bilgi veriyordu. Tarayıcı geçmişi, muhtemelen Dubai'den kaynaklanan bir gönderi de dahil olmak üzere uluslararası kurye hizmetleri için takip numaralarını ortaya çıkardı.

Çeviri Flashpoint tarafından sağlanmıştır:

 We need to make the Abdul's voices heard for a week. After that we can turn off the camera. They are very sensitive to voices. They might not ask Abdul to turn on the video if they don't think there is a difference in thg voices.&op=translate

---

and you know that was same some that we have already summitted your profile, at that time they told that your rate is high and gave offer to another person , but that offer is backout and now they have backfill of it. please let me know if we can submit your profile at $65/hr on C2C/1099. this time prime vendor is different, but client is same.&op=translate

---

I didn't complain when you didn't get the assignment for two months. But this is a different matter. It's proof that you're a failure and if you're like this, you won't be able to handle this job well.&op=translate

Soruşturma ayrıca enfekte olmuş makinelerde AnyDesk uzak masaüstü yazılımının kullanıldığını ortaya çıkardı ve Kuzey Koreli ajanların ABD şirket sistemlerine uzaktan eriştiğini öne sürdü. Bu ayrıntı, hassas şirket ağlarına doğrudan erişim sağladıklarını vurguluyor.

Flashpoint'in Hackread.com ile paylaştığı soruşturmada , "Keşfedildiği günden bu yana, Fortune 500 şirketleri, teknoloji ve kripto para endüstrileri, gizli Kuzey Kore ajanlarının fonları, fikri mülkiyeti ve bilgileri zimmete geçirdiğini bildiriyor." ifadeleri yer aldı.

Flashpoint'in bu operasyona dair içeriden bakışı, ele geçirilen kimlik bilgilerini ve bilgi hırsızı kayıtlarını analiz ederek, Kuzey Kore'nin ABD kuruluşlarını hedef alan karmaşık ve karlı siber dolandırıcılığı hakkında ayrıntılı bir anlayış sağlıyor.