ABD’li bir siber güvenlik şirketindeki analistler, Monero’yu yayan ve Kuzey Kore’de Pyongyang’daki üniversiteye gönderen virüs için yeni bir yükleyici tespit etti . Kuzey Kore maden hırsızlığı mı yapıyor?
Siber güvenlik firması AlienVault, 8 Ocak’taki raporunda belirtildiği gibi kötü niyetli virüs, Noel arifesinde ortaya çıktı ve Monero’yu otomatik olarak Kuzey Kore’nin Kim Il Sung Üniversitesi’yle ilişkili bir cüzdana yerleştiren yapı içeriyor.
AlienVault, yazarın amacının ve metamorfozunun (başkalaşmasının) saptanmasını zorlaştıran kötü amaçlı yazılımdaki belirli çelişik karakterleri gözlemledi. Araştırmacı, raporunda şunları söylüyor:
“Bir saldırının erken bir denemesi mi, yoksa donanım sahiplerinin madenciliğin farkında olduğu meşru bir madencilik operasyonunun parçası mı belli değil. Bir taraftan, basit bir yazılımcının engelleyebileceği hata ayıklamayı sağlayan belirgin iletileri içeriyor. Ancak aynı zamanda, kurulu madencilik yazılımının algılanmasını önleme girişimi gibi görünen sahte dosya isimleri de içeriyor. “
“Kötü Amaçlı Yazılım Üniversitesi, Kuzey Kore”
Sözde ev sahipliği yapan üniversitenin “olağandışı açıklarının olduğunu” niteliğini belirten yetkili, “korsan yazarın Kuzey Kore’de olmadığı veya alıcının gerçekte göründüğü gibi olmadığı olabilir”dedi.
AlienVault raporu, eldeki verileri göz önüne alarak olası senaryoları sıralıyor:
“Dosyaların gönderildiği barınma adresi barjuok.ryongnamsan.edu.kp adresi şu anda çözülmedi. Yazılım,bir çok ağda yazara şifreli para gönderemez. İhtimallere göre:
- Uygulama, üniversitenin kendisi gibi başka bir ağda çalıştırılacak şekilde tasarlanmıştır,
- Çözmek için kullanılan adres işi bitince değiştirilmiş olabilir,
- Bir Kuzey Kore sunucunun kullanımı, güvenlik araştırmacılarını kandırmak için bir yanıltma olabilir.
AlienVault ayrıca, Kuzey Kore hükümetinin bu illegal işlemleri soruşturmanın gerisinde kaldığı takdirde, ülkeye yapılan yaptırımlar ışığında “şifreli para birimi sağlama” için illegal şifre akışını kullanmanın sorumlu bir parçası konumunda olabilir.
ABD’de bir siber güvenlik şirketi olan Crowdstrike’nin CEO’su Aralık ayının sonlarında gazetecilere verdiği demeçte , Kuzey Kore hükümetinin kriptokrasiyi çaldığından ve stokladıklarından emin olduğunu söyledi.
Kuzey Kore maden hırsızlığı mı yapıyor?
Yeni çıkan zararlı yazılımların görünümü, iki Kore’yi etkileyen cyberwarfare’deki en son aşamayı işaret ediyor. Geçtiğimiz ay, Kuzey Kore devleti tarafından finanse edilen bilgisayar korsanlarının, Güney Kore’nin borsalarını hedefleyen kripto para hırsızlığına katıldıkları bildirildi .
‘Beyaz şapka hacker’lar (iyi niyetli hacker) Aralık ayı sonunda, Seul merkezli yaptıkları deneyde kötü amaçlı tarafların fonları kolaylıkla çalabileceğini vurguladı. Bu deneyde beş büyük Güney Kore kripto para borsalarında yarattığı hesaplar ile güvenlik uzmanlarını uyarmıştı.
