Son günlerde, anonim bir beyaz şapkalı Hacker, bir Kuzey Koreli IT çalışanın cihazına başarılı bir şekilde sızarak, beş kişilik bir teknik ekibin nasıl 30'dan fazla sahte kimlik kullanarak siber faaliyetlerde bulunduğuna dair iç yüzünü ortaya çıkardı. Bu ekip sadece sahte resmi kimlik belgelerine sahip olmakla kalmıyor, aynı zamanda çevrimiçi platform hesapları satın alarak çeşitli geliştirme projelerine sızıyor.
Araştırmacılar, ekibin bulut depolama verilerine, tarayıcı yapılandırma dosyalarına ve cihaz ekran görüntülerine erişim sağladı. Veriler, ekibin iş programlarını koordine etmek, görevleri dağıtmak ve bütçeyi yönetmek için bir teknoloji devinin ofis paketine yüksek derecede bağımlı olduğunu gösteriyor; tüm iletişim İngilizce yapılıyor.
2025 yılına ait bir haftalık rapor dosyası, bu Hacker ekibinin çalışma biçimini ve karşılaştıkları zorlukları ortaya koyuyor. Örneğin, bazı üyeler "iş gereksinimlerini anlayamıyorum, ne yapmam gerektiğini bilmiyorum" diye şikayet etmişler, buna karşılık sunulan çözüm ise "kendini ver, iki kat daha fazla çalış" olmuş.
Ekibin harcama detayları, harcama kalemlerinin sosyal güvenlik numarası (SSN) satın almak, çevrimiçi ticaret platformu hesabı, telefon numarası kiralama, AI hizmetine abone olma, bilgisayar kiralama ve VPN/Proxy hizmetleri satın alma gibi kalemleri içerdiğini göstermektedir.
Sahte kimlikle "Henry Zhang" olarak katılanların zaman çizelgesi ve konuşma metninin yer aldığı detaylı bir elektronik tablo. İşlem akışı, bu Kuzey Koreli IT çalışanlarının önce çevrimiçi platform hesapları satın alıp, bilgisayar ekipmanları kiraladıklarını ve ardından uzaktan kontrol araçlarıyla dış kaynaklı işleri tamamladıklarını gösteriyor.
Araştırma, ekibin para gönderip almak için kullandığı bir cüzdan adresini de buldu. Bu adres, Haziran 2025'te gerçekleşen 680.000 dolarlık bir sözleşme saldırısı ile yakın zincir içi ilişkiye sahip. Olaydan sonra, saldırıya uğrayan projenin CTO'su ve diğer geliştiricilerin sahte belgelerle çalışan Kuzey Koreli BT çalışanları olduğu doğrulandı. Bu adres aracılığıyla, diğer sızdırılan projelerdeki Kuzey Koreli BT personeli de tanımlandı.
Ekip üyelerinin arama kayıtları ve tarayıcı geçmişinde çok sayıda önemli kanıt bulundu. Bu kanıtların Kuzey Kore'den geldiğini nasıl teyit edecekleri sorgulanabilir; yukarıda bahsedilen sahte belgelerin yanı sıra, arama geçmişleri çevrimiçi çeviri hizmetlerini sıkça kullandıklarını ve içeriği Korece'ye çevirmek için Rus IP'si kullandıklarını gösteriyor.
Şu anda, işletmelerin Kuzey Koreli BT çalışanlarına karşı önlem alma konusunda karşılaştığı ana zorluklar şunlardır:
Sistematik işbirliği eksikliği: Platform hizmet sağlayıcıları ile özel sektör arasında etkili bir bilgi paylaşımı ve işbirliği mekanizması yok.
İşverenin dikkatsizliği: İnsan kaynakları ekibi, risk uyarısı aldıktan sonra genellikle savunmacı bir tutum sergilemekte ve hatta soruşturmayı işbirliği yapmayı reddetmektedir.
Miktar avantajı etkisi: Teknolojik yöntemleri karmaşık olmasa da, büyük iş arayanlar havuzuyla küresel istihdam pazarına sürekli olarak sızıyor.
Fon dönüşüm kanalları: Bazı ödeme platformları, geliştirici işlerinden elde edilen fiat gelirlerini kripto para birimine dönüştürmek için sıkça kullanılmaktadır.
Bu araştırma, sektöre Kuzey Koreli hackerların "çalışma" yöntemlerini proaktif bir bakış açısıyla ifşa etme fırsatı sunuyor ve proje sahipleri için önceden güvenlik önlemleri almak açısından önemli bir anlam taşıyor. Şirketler ve bireyler, potansiyel tehditleri tanıma ve önleme yeteneklerini artırmak için dikkatli olmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 Likes
Reward
10
8
Repost
Share
Comment
0/400
MetaNomad
· 08-17 19:25
Ne kadar havalı, hacker öğrenmek istiyorum.
View OriginalReply0
AirdropHunterXiao
· 08-17 08:04
Bu, Kuzey Kore işçilerini hedef alıyor.
View OriginalReply0
PanicSeller69
· 08-16 18:31
Gerçekten inşaatta çalışarak para kazanan biri yoktur, değil mi?
View OriginalReply0
OnchainDetectiveBing
· 08-16 18:31
Sıfırdan çalışan programcılar da su sayacını kontrol edilecek!
View OriginalReply0
faded_wojak.eth
· 08-16 18:31
Hala lan Google ofis yazılımlarını mı kullanıyorsun...
View OriginalReply0
WhaleWatcher
· 08-16 18:30
Hackerlar bunu yapmaz, açıkça dışarıdan hizmet alıyorlar.
View OriginalReply0
MintMaster
· 08-16 18:23
Bir bakışta işçi sınıfı çalışanı olduğu anlaşılıyor.
Kuzey Kore Hacker Takımı İçi Açık: Sahte TANIMLAMA ile şifreleme projelerine sızma
Kuzey Kore Hacker Ekibinin İç Operasyonları
Son günlerde, anonim bir beyaz şapkalı Hacker, bir Kuzey Koreli IT çalışanın cihazına başarılı bir şekilde sızarak, beş kişilik bir teknik ekibin nasıl 30'dan fazla sahte kimlik kullanarak siber faaliyetlerde bulunduğuna dair iç yüzünü ortaya çıkardı. Bu ekip sadece sahte resmi kimlik belgelerine sahip olmakla kalmıyor, aynı zamanda çevrimiçi platform hesapları satın alarak çeşitli geliştirme projelerine sızıyor.
Araştırmacılar, ekibin bulut depolama verilerine, tarayıcı yapılandırma dosyalarına ve cihaz ekran görüntülerine erişim sağladı. Veriler, ekibin iş programlarını koordine etmek, görevleri dağıtmak ve bütçeyi yönetmek için bir teknoloji devinin ofis paketine yüksek derecede bağımlı olduğunu gösteriyor; tüm iletişim İngilizce yapılıyor.
2025 yılına ait bir haftalık rapor dosyası, bu Hacker ekibinin çalışma biçimini ve karşılaştıkları zorlukları ortaya koyuyor. Örneğin, bazı üyeler "iş gereksinimlerini anlayamıyorum, ne yapmam gerektiğini bilmiyorum" diye şikayet etmişler, buna karşılık sunulan çözüm ise "kendini ver, iki kat daha fazla çalış" olmuş.
Ekibin harcama detayları, harcama kalemlerinin sosyal güvenlik numarası (SSN) satın almak, çevrimiçi ticaret platformu hesabı, telefon numarası kiralama, AI hizmetine abone olma, bilgisayar kiralama ve VPN/Proxy hizmetleri satın alma gibi kalemleri içerdiğini göstermektedir.
Sahte kimlikle "Henry Zhang" olarak katılanların zaman çizelgesi ve konuşma metninin yer aldığı detaylı bir elektronik tablo. İşlem akışı, bu Kuzey Koreli IT çalışanlarının önce çevrimiçi platform hesapları satın alıp, bilgisayar ekipmanları kiraladıklarını ve ardından uzaktan kontrol araçlarıyla dış kaynaklı işleri tamamladıklarını gösteriyor.
Araştırma, ekibin para gönderip almak için kullandığı bir cüzdan adresini de buldu. Bu adres, Haziran 2025'te gerçekleşen 680.000 dolarlık bir sözleşme saldırısı ile yakın zincir içi ilişkiye sahip. Olaydan sonra, saldırıya uğrayan projenin CTO'su ve diğer geliştiricilerin sahte belgelerle çalışan Kuzey Koreli BT çalışanları olduğu doğrulandı. Bu adres aracılığıyla, diğer sızdırılan projelerdeki Kuzey Koreli BT personeli de tanımlandı.
Ekip üyelerinin arama kayıtları ve tarayıcı geçmişinde çok sayıda önemli kanıt bulundu. Bu kanıtların Kuzey Kore'den geldiğini nasıl teyit edecekleri sorgulanabilir; yukarıda bahsedilen sahte belgelerin yanı sıra, arama geçmişleri çevrimiçi çeviri hizmetlerini sıkça kullandıklarını ve içeriği Korece'ye çevirmek için Rus IP'si kullandıklarını gösteriyor.
Şu anda, işletmelerin Kuzey Koreli BT çalışanlarına karşı önlem alma konusunda karşılaştığı ana zorluklar şunlardır:
Bu araştırma, sektöre Kuzey Koreli hackerların "çalışma" yöntemlerini proaktif bir bakış açısıyla ifşa etme fırsatı sunuyor ve proje sahipleri için önceden güvenlik önlemleri almak açısından önemli bir anlam taşıyor. Şirketler ve bireyler, potansiyel tehditleri tanıma ve önleme yeteneklerini artırmak için dikkatli olmalıdır.