Siber güvenlik şirketi ESET, Kuzey Kore temaslı DeceptiveDevelopment’ın bilgi hırsızları ve özgür çalışan geliştiricileri maksat aldığını keşfetti.
DeceptiveDevelopment, iş bulma ve özgür çalışma sitelerinde bir toplumsal mühendislik akın çeşidi olan spearphishing yoluyla hür çalışan yazılım geliştiricileri amaç alıyor ve tarayıcılardan ve parola yöneticilerinden kripto para cüzdanlarını ve giriş bilgilerini çalmayı amaçlıyor. DeceptiveDevelopment’ın farklı ülkelerde tuzağa düşürdüğü kurbanlarının bulunduğu ülkeler ortasında Türkiye’de yer alıyor.
ESET , 2024’ten bu yana Kuzey Kore ilişkili bir dizi makûs niyetli faaliyet gözlemledi. Bu faaliyetlerde yazılım geliştirme alanında çalışan bireyler üzere davranan operatörler, kurbanları geçersiz iş teklifleriyle kandırıyor. Daha sonra, bilgi hırsızlığı yapan makûs emelli yazılımları gizleyen yazılım projeleriyle amaçlarına hizmet etmeye çalışıyorlar. ESET Research bu faaliyeti DeceptiveDevelopment kümesi olarak isimlendiriyor. Kuzey Kore temaslı bu faaliyet şu anda ESET tarafından bilinen rastgele bir tehdit aktörüne atfedilmiyor. İş bulma ve hür çalışma sitelerinde gaye şaşırtma yoluyla özgür çalışan yazılım geliştiricileri gaye alıyor. Kripto para cüzdanlarını, tarayıcılardan ve parola yöneticilerinden giriş bilgilerini çalmayı amaçlıyor.
DeceptiveDevelopment’ı keşfeden ve tahlil eden ESET araştırmacısı Matěj Havránek şu açıklamayı yaptı: “Sahte iş görüşmesi sürecinin bir modülü olarak, DeceptiveDevelopment operatörleri gayelerinden mevcut bir projeye bir özellik eklemek üzere bir kodlama testi yapmalarını istiyor ve vazife için gerekli belgeler ekseriyetle GitHub yahut başka benzeri platformlardaki özel depolarda barındırılıyor. Ne yazık ki istekli iş adayı için bu evraklar truva atına dönüştürülmüştür: Projeyi indirip çalıştırdıklarında kurbanın bilgisayarı tehlikeye giriyor. DeceptiveDevelopment kümesi, Kuzey Kore’ye bağlı aktörler tarafından halihazırda kullanılan geniş bir para kazanma planları koleksiyonuna bir ektir ve odağı klâsik paradan kripto para ünitelerine kaydırma eğilimine uymaktadır.”
DeceptiveDevelopment’ın taktikleri, teknikleri ve prosedürleri Kuzey Kore’ye bağlı olduğu bilinen başka birtakım operasyonlarla benzerlik gösteriyor. DeceptiveDevelopment’ın gerisindeki operatörler Windows, Linux ve macOS üzerindeki yazılım geliştiricilerini gaye alıyor. Kripto para ünitesini öncelikle finansal yarar için çalıyorlar, muhtemel bir ikincil maksatları da siber casusluk. Bu operatörler gayelerine yaklaşmak için toplumsal medyada düzmece işe alım profilleri kullanıyor. Saldırganlar coğrafik pozisyona nazaran ayrım yapmazlar, bunun yerine başarılı bir biçimde fon ve bilgi elde etme mümkünlüğünü artırmak için mümkün olduğunca çok sayıda kurbanı tehlikeye atmayı amaçlarlar.
DeceptiveDevelopment, faaliyetlerinin bir kesimi olarak öncelikle iki kademede sunulan iki makûs gayeli yazılım ailesi kullanır. Birinci kademede, BeaverTail (bilgi hırsızı, indirici) kolay bir oturum açma hırsızı olarak hareket eder, kayıtlı oturum açma bilgilerini içeren tarayıcı bilgi tabanlarını çıkarır. İkinci kademe için bir indirici olarak, casus yazılım ve art kapı bileşenleri içeren InvisibleFerret (bilgi hırsızı, RAT) ve ayrıyeten uzlaşma sonrası faaliyetler için yasal AnyDesk uzaktan idare ve izleme yazılımını indirebilir.
Saldırganlar, işe alım vazifelisi üzere davranmak için mevcut bireylerin profillerini kopyalamakta ve hatta yeni kişilikler oluşturmaktadır. Daha sonra potansiyel kurbanlarına iş arama ve özgür çalışma platformlarında direkt yaklaşıyor ya da buralarda düzmece iş ilanları yayımlıyorlar. Bu profillerden kimileri saldırganların kendileri tarafından oluşturulurken başkaları de platformdaki gerçek şahısların saldırganlar tarafından değiştirilmiş potansiyel olarak tehlikeye atılmış profilleridir.
Bu etkileşimlerin gerçekleştiği platformlardan kimileri genel iş arama platformları iken başkaları öncelikle kripto para ünitesi ve blok zinciri projelerine odaklanıyor ve bu nedenle saldırganların gayelerine daha uygun. Bu platformlar ortasında LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight ve Crypto Jobs List yer alıyor.
Mağdurlar proje evraklarını ya direkt sitedeki belge transferi yoluyla ya da GitHub, GitLab yahut Bitbucket üzere bir depoya irtibat yoluyla alırlar. Evrakları indirmeleri, özellikler eklemeleri yahut yanlışları düzeltmeleri ve işe alan şahsa geri bildirimde bulunmaları istenir. Ek olarak, test etmek için projeyi oluşturmaları ve yürütmeleri talimatı verilir, bu da birinci tehlikenin gerçekleştiği yerdir. Saldırganlar ekseriyetle berbat maksatlı kodlarını gizlemek için makul bir numara kullanırlar: Kodu, ekseriyetle geliştiriciye verilen vazifeyle ilgisi olmayan art uç kodu içinde, projenin diğer türlü zararsız bir bileşenine yerleştirir ve uzun bir yorumun ardına tek bir satır olarak eklerler. Bu biçimde, ekranın dışına taşınır ve çoğunlukla bilinmeyen kalır.
Kaynak: (BYZHA) Beyaz Haber Ajansı