Yeni ortaya çıkarılan bir siber casusluk kampanyası, Kuzey Kore’nin devlet destekli bilgisayar korsanlarının askeri sırları çalmak için ne kadar ileri gitmeye istekli olduklarını ortaya çıkardı. Araştırmacılar, Pyongyang’ın istihbarat servislerine bağlı bir bilgisayar korsanlığı örgütü olan Lazarus Grubun 2025’in başlarında Avrupa çapında çok sayıda savunma şirketini hedef aldığını doğruladı.
Siber güvenlik uzmanlarının DreamJob Operasyonu olarak adlandırdığı operasyon, insansız hava araçları (İHA’lar), drone bileşenleri ve havacılık teknolojileri geliştiren firmalara odaklandı. Bunlar rastgele kurbanlar değildi. Devam eden askeri operasyonlarda kullanılan ekipman ve yazılımı sağlayan şirketler de dahil olmak üzere Avrupa savunma tedarik zincirine derinlemesine entegre oldular.
Güvenlik firmasına ESET göre, bilgisayar korsanlarının asıl amacı, Kuzey Kore’nin kendi silah programlarını geliştirmesine yardımcı olabilecek özel planları, sistem tasarımlarını ve teknik belgeleri çalmaktı.
Grup, Lazarus içeri girmek için kaba kuvvet saldırıları kullanmak veya bilinen yazılım güvenlik açıklarından yararlanmak yerine çok daha etkili bir şeye güvendi ve bu da sosyal mühendislikti.
Müfettişler, saldırganların tanınmış savunma ve teknoloji firmaları için işe alım görevlisi gibi davrandıklarını tespit etti. Genellikle üst düzey mühendislik veya geliştirme pozisyonları için meşru görünen iş teklifleri gönderdiler. Bu mesajlar, zararsız iş tanımları veya teknik belgeler olarak gizlenmiş ekli dosyalar içeriyordu.
Gerçekte, ekler silah haline getirildi. Belgeleri açan kurbanlar, sistemlerine kötü amaçlı yazılım yüklemek için tasarlanmış truva atı haline getirilmiş dosyaları bilmeden çalıştırdı. Bilgisayar korsanları, kötü amaçlı kodun meşru yazılımlarla birlikte çalışmasına izin veren, DLL yandan yükleme olarak bilinen karmaşık bir teknik kullandı. Bu yaklaşım, kötü amaçlı yazılımın antivirüs araçları tarafından tespit edilmekten kaçınmasına yardımcı oldu.
Virüslü dosya açıldıktan sonra, özel olarak oluşturulmuş bir yükleyici, ScoringMathTea adlı bir uzaktan erişim aracını (RAT) sessizce dağıttı ve bilgisayar korsanlarına güvenliği ihlal edilmiş bilgisayarın tam kontrolünü verdi. Operatörler buradan Lazarus dahili iletişimleri gözetleyebilir, dosyaları kopyalayabilir ve şirket ağındaki bağlı sistemleri keşfedebilir.
Bazı durumlarda, Microsoft’un Graph API’sini kullanarak buluttan ek yükler çekmek için BinMergeLoader olarak bilinen başka bir varyant kullanıldı, bu da normal trafiğe sorunsuz bir şekilde karıştı ve araştırmacıların izlemesini daha da zorlaştırdı.
Drone’lar mükemmel bir hedefti
Kurbanların seçimi rastgele değildi. Son birkaç yılda dronlar, modern savaş ve gözetlemenin belirleyici bir özelliği haline geldi. Kuzey Kore gibi ülkeler için Batılı drone teknolojisine erişim büyük bir stratejik avantajdır.
Avrupalı savunma müteahhitlerini ihlal ederek, muhtemelen drone kontrol sistemleri, Lazarus hedefleme algoritmaları ve üretim süreçleri hakkında istihbarat toplamayı amaçladı. Bu bilgi, Pyongyang’ın benzer teknolojileri yurt içinde kopyalamasına veya uyarlamasına yardımcı olabilir.
Hedef alınan firmalardan en az birinin Ukrayna’da konuşlandırılan İHA’larda kullanılan parçaları veya yazılımları tedarik ettiğine inanılıyor. Kendi insansız hava aracı programını genişleten ve Rusya’ya silah desteği sağladığı bildirilen Kuzey Kore için bu tür teknik bilgilerin çalınması hem askeri hem de siyasi amaçlara hizmet ediyor.
Uzmanlar, çalınan verilerin Kuzey Kore’nin, teknolojik yeniliklerin uzun süredir uluslararası yaptırımlarla sınırlandırıldığı alanlar olan siber savaş ve füze programlarını güçlendirmesine de yardımcı olabileceğini söylüyor.
ESET’in analizi, operasyonun Lazarus Mart 2025 civarında başladığını ve aylar sonra hala aktif olduğunu ortaya koydu. Orta ve Güneydoğu Avrupa’da bulunan üç doğrulanmış şirketin güvenliği ihlal edildi veya hedef alındı.
Bilgisayar korsanları sabır ve profesyonellik gösterdiler. Verileri yok etmeye veya sistemleri fidye için tutmaya çalışmadılar. Bunun yerine, uzun vadede değerli olabilecek erişim ve bilgi arayışıyla sessizce hareket ettiler.
Veri hırsızlığının belirli ayrıntıları kamuya açıklanmamış olsa da araştırmacılar, en az bir ağa başarıyla sızarak hassas tasarım dosyalarını ve dahili iletişimleri sızdırdığını doğruladı Lazarus .
Müfettişler ayrıca bu kampanyada kullanılan araçların daha önceki Lazarus operasyonlardakilere benzediğini de belirtti. Grup genellikle kodu ve altyapıyı yeniden kullanıyor ve tespit edilmekten kaçınmak için ince ayar yapıyor. Bu süreklilik, benzersiz kötü amaçlı yazılım imzaları ve komuta ve kontrol sunucularıyla birleştiğinde, araştırmacıların kampanyayı Lazarus yüksek bir güvenle ilişkilendirmesine yardımcı oldu.
Lazarus dünyadaki en yüksek profilli siber olaylardan bazılarıyla ilişkilendirilmiştir
Bu olay, Kuzey Kore’nin uluslararası yaptırımları aşmak için siber casusluğa güvendiği daha geniş bir modele uyuyor. İleri teknolojiyi meşru yollarla ithal edemeyen ülke, bilgisayar korsanlığını alternatif bir araştırma ve gelir hattına dönüştürdü.
Son on yılda, Lazarus 2014 Sony Pictures hack’inden 2017 WannaCry fidye yazılımı salgınına ve daha yakın zamanda, dünyanın en yüksek profilli siber olaylarından bazılarıyla ilişkilendirildi. to massive cryptocurrency thefts worth billions of dollars Grubun mali suçlardan hedefli casusluğa geçme yeteneği, esnekliğini ve derin devlet desteğini gösteriyor.
Uzmanlar, bunun sadece bir suç örgütü olmadığını, aynı zamanda hem Kuzey Kore hükümetinin istihbarat aygıtına hem de döviz ihtiyacına hizmet eden hibrit bir operasyon olduğunu söylüyor Lazarus . Avrupa’nın insansız hava aracı operasyonu, misyonunun fon yaratmaktan askeri ve stratejik hedefleri doğrudan desteklemeye doğru evrildiğini gösteriyor.
İnsanlar genellikle en zayıf halkadır
Kampanya Lazarus , günümüzün siber güvenlik ortamında insanların genellikle en zayıf halka olduğunu net bir şekilde hatırlatıyor. Saldırganlar teknoloji yerine güveni istismar ettiğinde en gelişmiş savunma yüklenicileri bile kurban olabilir.
Hassas sektörlerdeki (örneğin havacılık, savunma, enerji) şirketler artık devlet destekli bilgisayar korsanları için potansiyel hedefler olduklarını varsaymalıdır. Bu, hem teknik savunmaların hem de çalışan farkındalığının sıkılaştırılması anlamına gelir.
Kullanılanlar Lazarus gibi işe alımla ilgili dolandırıcılıklar daha yaygın hale geliyor. Kuruluşlar, istenmeyen tüm iş veya ortaklık tekliflerini doğrulamalı, sıkı bağlanma kontrolleri uygulamalı ve personeli sosyal mühendislik taktiklerini tanıma konusunda eğitmelidir. Çok faktörlü kimlik doğrulama ve ağ segmentasyonu, bir ihlal meydana gelirse hasarı sınırlayabilir.
Yazılım tedarik zincirlerinin izlenmesi de aynı derecede önemlidir. Lazarus ‘nin DLL yandan yükleme kullanımı, saldırganların kötü amaçlı yazılım dağıtmak için meşru yazılımları nasıl kötüye kullandığını gösteriyor. Düzenli kod bütünlüğü kontrolleri ve yazılım doğrulama süreçleri, bu tür kurcalamaların çalışanların cihazlarına ulaşmadan önce tespit edilmesine yardımcı olabilir.
Avrupalı savunma şirketleri için bu kampanya, ulusal sınırların siber casusluğa karşı çok az koruma sağladığına dair bir uyarıdır. Devlet kaynaklarına ve uzun vadeli hedeflere sahip saldırganlar sabırlı ve kasıtlıdır. Hızlı getirilerin değil, stratejik avantajların peşindeler.
Kuzey Kore için kampanya, siber operasyonların nasıl ulusal politikasının ayrılmaz bir parçası haline geldiğini vurguluyor. Rejim, teknoloji geliştirmek yerine çalarak, yaptırımlar altında bile kendisi ile daha gelişmiş ülkeler arasındaki uçurumu kapatabilir.
Grubun Lazarus devam eden başarısı aynı zamanda rahatsız edici bir gerçeği de ortaya koyuyor. Yıllarca maruz kalmalarına ve takip edilmelerine rağmen, dünyanın en kalıcı ve uyarlanabilir bilgisayar korsanlığı kolektiflerinden biri olmaya devam ediyorlar. Taktikleri gelişmeye devam ediyor ve insan güvenini istismar etmenin yeni yollarını bulmaya devam ettikleri sürece zorlu bir tehdit olmaya devam edecekler.
Avrupa’daki insansız hava aracı saldırıları, siber savaş dünyasında en tehlikeli silahın bir füze veya insansız hava aracı olmadığını, doğru gelen kutusuna düşen iyi hazırlanmış bir e-posta olduğunu hatırlatan en son hatırlatmadır.