2024 yılı Temmuz ayında bir güvenlik tedarikçisi olan KnowBe4 şirketinde yaşanan olay, tehdidin boyutunu ortaya koydu. İşe alım süreçlerinden başarıyla geçen bir kişinin daha sonra Kuzey Kore bağlantılı sahte bir çalışan olduğu ortaya çıktı. Bu kişi, şirket sistemlerinde dosya manipülasyonu ve yetkisiz yazılım çalıştırma girişimleri gibi şüpheli faaliyetlerde bulunuyordu. Olay, kimlik temelli tehditlerin artık sadece parolaların veya hesapların çalınmasıyla sınırlı olmadığını; gerçek çalışanların taklit edilmesine kadar ilerlediğini gösteriyor.

Araştırmalar ve resmî kurumların raporları, bu saldırı modelinin 2017’den bu yana sürdüğünü ortaya koyuyor. Microsoft’a göre, yalnızca 2020–2022 arasında 300’den fazla şirket bu yöntemle hedef alındı. 2024 yılında, Kuzey Koreli tehdit aktörleri tarafından oluşturulan 3.000 sahte Outlook ve Hotmail hesabı askıya alındı. ABD savcıları, iki Kuzey Koreli ve üç aracı kişinin 60’tan fazla şirketten 860.000 doların üzerinde gelir elde ettiğini açıkladı. ESET araştırmacıları, saldırıların son dönemde Fransa, Polonya ve Ukrayna gibi Avrupa ülkelerine ve İngiltere’ye doğru kaydığı konusunda uyarıyor.

Sahte BT çalışanları nasıl sızıyor?

Kuzey Koreli çalışanların  sahte kimliklerle iş bulmak için kullandıkları yöntemler oldukça gelişmiş durumda: Kuruluşun bulunduğu ülkeye uygun kimlikler oluşturuyor veya çalıyorlar. Sosyal medya, geliştirici platformları ve e-posta hizmetlerinde gerçekçi dijital profiller kuruyorlar. İşe alım görüşmelerinde deepfake görüntüler, yüz değiştirme ve ses değiştirme yazılımlarıyla kimliklerini gizleyebiliyorlar. Aracılar; freelance platformlarına kayıt açma, banka hesabı temin etme, SIM kart sağlama ve sahte kimliğin doğrulanmasına destek verme gibi süreçlerde kritik rol oynuyor. Şirket tarafından gönderilen dizüstü bilgisayarlar, işe alımın ardından başka ülkelerde kurulan “laptop çiftliklerine” yerleştiriliyor. Operatörler bu cihazlara VPN, proxy, uzaktan izleme ve sanal sunucular üzerinden bağlanarak gerçek konumlarını gizliyor. Bu çalışanların kritik sistemlere erişim sağlaması, hassas verilerin çalınması, sistemlerin sabotaj edilmesi veya fidye yazılımı için zemin hazırlanması gibi ciddi sonuçlar doğurabiliyor.

İşe alım sürecinde dikkat edilmesi gerekenler:

• Adayın sosyal medya ve diğer çevrimiçi hesapları da dâhil olmak üzere dijital profilini kontrol edin.  Farklı isimlerle iş başvurusu yapmak için birkaç sahte profil oluşturabilirler.
• Çevrimiçi etkinlikler ile iddia edilen deneyim arasında uyumsuzluklar olup olmadığına dikkat edin.
• Adayların meşru, benzersiz bir telefon numarasına sahip olduklarından emin olun ve özgeçmişlerinde tutarsızlıklar olup olmadığını kontrol edin. Listelenen şirketlerin gerçekten var olduğunu doğrulayın. Referanslarla doğrudan iletişime geçin ve personel temin şirketlerinin çalışanlarına özellikle dikkat edin.
• Birçok aday derin sahte ses, video ve görüntüler kullanabileceğinden video görüşmelerinde ısrarcı olun ve işe alım sürecinde bunları birden fazla kez gerçekleştirin. 
• Görüşmeler sırasında, kameranın arızalı olduğuna dair herhangi bir iddiayı önemli bir uyarı olarak değerlendirin. Deepfake’leri daha iyi tespit edebilmek için adaydan arka plan filtrelerini kapatmasını isteyin. Görsel bozukluklar, sert ve doğal olmayan yüz ifadeleri ve sesle senkronize olmayan dudak hareketleri gibi ipuçları olabilir. 

ESET uzamanları sahte BT çalışanlarının içeriden yaratacağı riskleri azaltmanın en etkili yolunun, teknik güvenlik kontrollerini güçlü insan odaklı süreçlerle birleştiren bütünsel bir yaklaşım olduğunun altını çiziyorlar. 

Gerçek görünümlü sahte çalışanlar şirketleri tehlikeye atıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

ESET araştırmacılarının bulgularına göre gerçek hayatta gerçekleşen saldırılar, Orta ve Güneydoğu Avrupa’da savunma sektöründe faaliyet gösteren üç şirketi arka arkaya hedef aldı. İlk erişim neredeyse kesin olarak sosyal mühendislik yoluyla sağlandı. Hedeflere yerleştirilen ana yük, saldırganlara ele geçirilen makine üzerinde tam kontrol sağlayan bir uzaktan erişim truva atı (RAT) olan ScoringMathTea idi. Saldırganların başlıca hedefinin, özel bilgiler ve üretim know-how’ının dışarıya sızdırılması olduğu düşünülüyor.

Operation DreamJob’da, sosyal mühendisliğin ana teması, kârlı ama sahte bir iş teklifi ve buna eşlik eden bir kötü amaçlı yazılım. Kurban, genellikle iş tanımı içeren bir yem belge ve bunu açmak için trojanize edilmiş bir PDF okuyucu alır. ESET Research, bu faaliyeti Operasyon DreamJob ile ilgili kampanyaları ve Avrupa’da bulunan hedef sektörlerin önceki Operasyon DreamJob örneklerindeki hedeflerle (havacılık, savunma, mühendislik) uyumlu olması nedeniyle Lazarus’a atfediyor. 

Hedef alınan üç kuruluş, farklı türde askeri teçhizat (veya bunların parçaları) üretiyor ve bunların çoğu, Avrupa ülkelerinin askeri yardımı sonucunda şu anda Ukrayna’da kullanılıyor. Operation DreamJob’un gözlemlenen faaliyetleri sırasında, Kuzey Koreli askerler Moskova’nın Kursk bölgesinde Ukrayna’nın saldırısını püskürtmesine yardım etmek için Rusya’ya konuşlandırılmıştı. Bu nedenle, Operation DreamJob’un şu anda Rusya-Ukrayna savaşında kullanılan bazı batı yapımı silah sistemleri hakkında hassas bilgiler toplamakla ilgilendiği mümkündür. Daha genel olarak, bu kuruluşlar Kuzey Kore’nin de yurt içinde ürettiği ve kendi tasarım ve süreçlerini mükemmelleştirmeyi umduğu türden malzemelerin üretiminde yer almaktadır. İHA ile ilgili bilgi birikimine olan ilgi dikkat çekici, zira bu, Pyongyang’ın yerli drone üretim kapasitelerine büyük yatırım yaptığına işaret eden son medya haberlerini yansıtıyor. Kuzey Kore, yerli İHA kapasitelerini geliştirmek için büyük ölçüde tersine mühendislik ve fikri mülkiyet hırsızlığına güvenmiştir. 

Son Lazarus saldırılarını keşfeden ve analiz eden ESET araştırmacısı Peter Kálnai ve Alexis Rapin şu açıklamayı yaptılar: “Operasyon DreamJob’un, en azından kısmen, İHA’larla ilgili özel bilgileri ve üretim know-how’ını çalmak amacıyla gerçekleştirildiğini düşünüyoruz. Dropper’lardan birinde gözlemlenen drone ifadesi, bu hipotezi önemli ölçüde desteklemektedir. Hedef alınan kuruluşlardan birinin, şu anda Ukrayna’da kullanılan ve Kuzey Kore’nin cephe hattında karşılaşmış olabileceği en az iki İHA modelinin üretiminde yer aldığına dair kanıtlar bulduk. Bu kuruluş, Pyongyang’ın aktif olarak geliştirmekte olduğu bir uçak türü olan gelişmiş tek motorlu insansız hava araçlarının tedarik zincirinde de yer almaktadır.“

Genel olarak, Lazarus saldırganları oldukça aktiftir ve arka kapılarını birden fazla hedefe karşı kullanırlar. Bu sık kullanım, bu araçları ortaya çıkarır ve tespit edilmesini sağlar. Buna karşı önlem olarak, grubun araçlarının yürütme zincirinde bir dizi dropper, yükleyici ve basit indirici yer alır. Saldırganlar, kötü amaçlı yükleme rutinlerini GitHub’da bulunan açık kaynaklı projelere dâhil etmeye karar verdiler.

Ana yük olan ScoringMathTea, yaklaşık 40 komutu destekleyen karmaşık bir RAT’tır. İlk ortaya çıkışı, Ekim 2022’de Portekiz ve Almanya’dan VirusTotal’a gönderilen başvurularla izlenebilir; burada dropper, Airbus temalı bir iş teklifi gibi görünerek kurbanları tuzağa düşürmüştür. Uygulanan işlevsellik, Lazarus’un genellikle gerektirdiği işlevselliklerle aynıdır: Dosya ve işlemlerin manipülasyonu, yapılandırmanın değiştirilmesi, kurbanın sistem bilgilerinin toplanması, TCP bağlantısının açılması ve yerel komutların veya C&C sunucusundan indirilen yeni yüklerin yürütülmesi. ESET telemetrisine göre, ScoringMathTea, Ocak 2023’te bir Hint teknoloji şirketine, Mart 2023’te bir Polonya savunma şirketine, Ekim 2023’te bir İngiliz endüstriyel otomasyon şirketine ve Eylül 2025’te bir İtalyan havacılık şirketine yönelik saldırılarda görülmüştür. Operation DreamJob kampanyalarının amiral gemisi yüklerinden biri olduğu görülmektedir.

Grubun en önemli gelişimi, DLL proxy’leri için tasarlanmış yeni kütüphanelerin tanıtılması ve daha iyi kaçınma için trojanize edilecek yeni açık kaynaklı projelerin seçilmesidir. Kálnai, “Yaklaşık üç yıldır Lazarus, tercih ettiği ana yükü olan ScoringMathTea’yi kullanarak ve açık kaynaklı uygulamaları trojanize etmek için benzer yöntemler uygulayarak tutarlı bir çalışma tarzını sürdürmüştür. Bu öngörülebilir ancak etkili strateji, grubun kimliğini gizlemek ve atıf sürecini belirsizleştirmek için yetersiz olsa da güvenlik tespitinden kaçmak için yeterli polimorfizm sağlar” diye aktardı.

HIDDEN COBRA olarak da bilinen Lazarus grubu en az 2009 yılından beri aktif olan ve Kuzey Kore ile bağlantılı bir APT grubudur. Yüksek profilli olaylardan sorumludur. Lazarus kampanyalarının çeşitliliği, sayısı ve uygulamadaki tuhaflığı bu grubu tanımlamaktadır. Ayrıca siber suç faaliyetlerinin üç temel unsurunu da yerine getirmektedir: Siber casusluk, siber sabotaj ve mali kazanç peşinde koşma.

Operasyon DreamJob, esas olarak sosyal mühendisliğe dayanan Lazarus kampanyalarının kod adıdır ve özellikle prestijli veya yüksek profilli pozisyonlar için sahte iş teklifleri kullanır (“hayalindeki iş” tuzağı). Hedefler ağırlıklı olarak havacılık ve savunma sektörlerindedir, ardından mühendislik ve teknoloji şirketleri ile medya ve eğlence sektörü gelir.

İş teklifi sahte casusluk gerçek yazısı ilk önce En Gazete üzerinde ortaya çıktı.