8 Mart’ta McAfee tarafından yayımlanan bir raporda, Kuzey Kore’deki bilgisayar korsanlarının Türk finans sektörüne siber saldırı yapıldığından şüpheleniliyor.
McAfee Advanced Threat Research ekibi, Hacking Coble grubu tarafından hükümetin desteklediği finans kurumlarına karşı 2-3 mart tarihlerinde saldırı yapıldığını belirtti.
McAfee politikasından dolayı, ulus devletlerin sahip olduğu siber gruplarını resmi olarak tanımıyor. Raporda söz konusu kötü amaçlı yazılım kodunun Kuzey Kore’nin daha önce kullandığı kodlara çok benzediği belirtilmiş.
Bilgisayar korsanları, Adobe Flash’ta yakın zamanda açığa çıkan bir güvenlik açığını kullanan Bankshot olarak bilinen değiştirilmiş kötü amaçlı yazılım kullandılar. Saldırganlar, kendi düzenledikleri bir word dosyası olan Agreement.docx adlı spear-phishing e-postalarıyla tuzağa düşürmeye çalıştı.
Bu Kuzey Kore’nin ilk hack saldırısı değil
Raporda dosyanın Paris’te bilinmeyen bir kişi ile bir kripto para borsası arasında, Bitcoin dağıtımı için bir anlaşma şablonu olduğu ortaya çıktı
Bankshot implantları, kripto para platformu Falcon Coin’e benzer bir web sitesi ve alan adıyla millete bulaştırılmak istendi. Falcancoin.io adıyla sahte bir web sitesi açan hacklerlar bu siteyi 27 Aralık 2017 tarihinde açmışlardı.
Saldırılarda çalınan paraya dair herhangi bir rapor olmamasına rağmen araştırma ekibi, hedefin hükümet kontrolündeki finansal kuruluşlarının iç sistemlerine uzaktan erişim sağlamayı amaçladığını bildirdi. Raporda, etkilenen kurumların ayrıntıları verilmiyor.
McAfee ekibi, aynı bilgisayar korsanlığı olayının bir parçası gibi görünen, ancak farklı hedefler için tasarlanan Korece yazılmış iki belgeyi de ortaya çıkardı.
ABD hükümeti Aralık 2017’de, Kuzey Kore’ye bağlı bir hacker grubu olan Hidden Cobra’nın Bankshot adlı kötü amaçlı bir yazılım kullandığına dair uyarı yayımlamıştı. Kuzey Kore, ülkeye karşı uluslararası yaptırımlar geçtiğimiz yıl boyunca sıkılaştırıldığı için defalarca kez Güney Koreli kripto para borsalarını hacklemekle suçlanmıştı.
