Son zamanlarda, anonim bir beyaz şapkalı hacker, bir Kuzey Koreli IT çalışanın cihazına başarılı bir şekilde sızarak, beş kişilik bir teknik ekibin 30'dan fazla sahte kimlik kullanarak nasıl faaliyet gösterdiğine dair iç yüzünü ortaya çıkardı. Bu ekip yalnızca hükümet tarafından verilen sahte kimlik belgelerine sahip olmakla kalmıyor, aynı zamanda çeşitli geliştirme projelerine sızmak için çevrimiçi platform hesapları satın alıyor.
Araştırmacılar, ekibin bulut sürücü verilerine, tarayıcı yapılandırma dosyalarına ve cihaz ekran görüntülerine erişti. Veriler, bu ekibin iş programlarını koordine etmek, görevleri dağıtmak ve bütçeyi yönetmek için belirli bir arama motoru şirketinin bir dizi aracına yüksek derecede bağımlı olduğunu gösteriyor; tüm iletişim İngilizce olarak gerçekleştiriliyor.
2025 yılına ait bir haftalık rapor dosyası, bu Hacker ekibinin çalışma yöntemlerini ve karşılaştıkları zorlukları ortaya koyuyor. Örneğin, bazı üyeler "çalışma gereksinimlerini anlayamıyorum, ne yapmam gerektiğini bilmiyorum" şeklinde geri bildirimde bulunmuş, buna karşılık önerilen çözüm ise "özen gösterip, iki kat daha fazla çalışmak" olmuş.
Harcamaların ayrıntılı kaydı, onların harcama kalemlerinin sosyal güvenlik numarası (SSN) satın alma, çevrimiçi platform hesaplarıyla işlem yapma, telefon numarası kiralama, AI hizmetlerine abone olma, bilgisayar kiralama ve VPN ile proxy hizmetleri satın alma gibi şeyleri içerdiğini gösteriyor.
Bir elektronik tablo, sahte kimlikle "Henry Zhang" olarak toplantıya katılma zamanlaması ve konuşma metnini ayrıntılı bir şekilde kaydediyor. Operasyon süreci, bu Kuzey Koreli BT çalışanlarının önce çevrimiçi platform hesapları satın alacaklarını, bilgisayar ekipmanı kiralayacaklarını ve ardından uzaktan kontrol araçları kullanarak dış kaynaklı işleri tamamlayacaklarını gösteriyor.
Onların para gönderip almak için kullandıkları cüzdan adreslerinden biri, 2025 yılının Haziran ayında gerçekleşen bir protokol saldırı olayıyla yakın bir zincir içi ilişkiye sahiptir. Olay sonrası, protokolün CTO'sunun ve diğer geliştiricilerin sahte belgelerle çalışan Kuzey Koreli IT işçileri olduğu doğrulandı. Bu adres aracılığıyla diğer sızma projelerindeki Kuzey Koreli IT personeli de tespit edildi.
Ekiplerin arama kayıtları ve tarayıcı geçmişlerinde bazı önemli kanıtlar da bulundu. Yukarıda belirtilen dolandırıcılık belgelerinin yanı sıra, arama geçmişleri çevrimiçi çeviri araçlarının sık kullanılmasını ve Rus IP'si kullanarak içeriği Korece'ye çevirdiklerini göstermektedir.
Şu anda, işletmelerin Kuzey Koreli BT çalışanlarına karşı korunma konusunda karşılaştığı başlıca zorluklar şunlardır:
Sistematik işbirliği eksikliği: Platform hizmet sağlayıcıları ile özel sektör arasında etkili bir bilgi paylaşımı ve işbirliği mekanizması yok;
İşverenin dikkatsizliği: İnsan kaynakları ekibi, risk uyarılarını aldıktan sonra genellikle savunmacı bir tutum sergiler ve hatta soruşturmaya katılmayı reddedebilir;
Miktar avantajı etkisi: Teknolojik yöntemleri karmaşık olmasa da, büyük iş arayanlar havuzuyla küresel istihdam pazarına sürekli olarak sızmaktadır;
Fon dönüştürme kanalları: Bazı ödeme platformları, geliştirme işinden elde edilen fiat gelirlerini kripto para birimine dönüştürmek için sıkça kullanılmaktadır.
Bu bulgular, endüstri projeleri için önceden güvenlik önlemleri almanın belirli bir olumlu anlamı vardır ve bize Kuzey Koreli hackerların "çalışma" yöntemlerini proaktif bir bakış açısıyla anlama fırsatı sunmaktadır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Kuzey Kore IT Hacker Takımı'nın Sırrı: 30'dan Fazla Sahte Kimlik ile Küresel Geliştirme Projelerine Sızma
Son zamanlarda, anonim bir beyaz şapkalı hacker, bir Kuzey Koreli IT çalışanın cihazına başarılı bir şekilde sızarak, beş kişilik bir teknik ekibin 30'dan fazla sahte kimlik kullanarak nasıl faaliyet gösterdiğine dair iç yüzünü ortaya çıkardı. Bu ekip yalnızca hükümet tarafından verilen sahte kimlik belgelerine sahip olmakla kalmıyor, aynı zamanda çeşitli geliştirme projelerine sızmak için çevrimiçi platform hesapları satın alıyor.
Araştırmacılar, ekibin bulut sürücü verilerine, tarayıcı yapılandırma dosyalarına ve cihaz ekran görüntülerine erişti. Veriler, bu ekibin iş programlarını koordine etmek, görevleri dağıtmak ve bütçeyi yönetmek için belirli bir arama motoru şirketinin bir dizi aracına yüksek derecede bağımlı olduğunu gösteriyor; tüm iletişim İngilizce olarak gerçekleştiriliyor.
2025 yılına ait bir haftalık rapor dosyası, bu Hacker ekibinin çalışma yöntemlerini ve karşılaştıkları zorlukları ortaya koyuyor. Örneğin, bazı üyeler "çalışma gereksinimlerini anlayamıyorum, ne yapmam gerektiğini bilmiyorum" şeklinde geri bildirimde bulunmuş, buna karşılık önerilen çözüm ise "özen gösterip, iki kat daha fazla çalışmak" olmuş.
Harcamaların ayrıntılı kaydı, onların harcama kalemlerinin sosyal güvenlik numarası (SSN) satın alma, çevrimiçi platform hesaplarıyla işlem yapma, telefon numarası kiralama, AI hizmetlerine abone olma, bilgisayar kiralama ve VPN ile proxy hizmetleri satın alma gibi şeyleri içerdiğini gösteriyor.
Bir elektronik tablo, sahte kimlikle "Henry Zhang" olarak toplantıya katılma zamanlaması ve konuşma metnini ayrıntılı bir şekilde kaydediyor. Operasyon süreci, bu Kuzey Koreli BT çalışanlarının önce çevrimiçi platform hesapları satın alacaklarını, bilgisayar ekipmanı kiralayacaklarını ve ardından uzaktan kontrol araçları kullanarak dış kaynaklı işleri tamamlayacaklarını gösteriyor.
Onların para gönderip almak için kullandıkları cüzdan adreslerinden biri, 2025 yılının Haziran ayında gerçekleşen bir protokol saldırı olayıyla yakın bir zincir içi ilişkiye sahiptir. Olay sonrası, protokolün CTO'sunun ve diğer geliştiricilerin sahte belgelerle çalışan Kuzey Koreli IT işçileri olduğu doğrulandı. Bu adres aracılığıyla diğer sızma projelerindeki Kuzey Koreli IT personeli de tespit edildi.
Ekiplerin arama kayıtları ve tarayıcı geçmişlerinde bazı önemli kanıtlar da bulundu. Yukarıda belirtilen dolandırıcılık belgelerinin yanı sıra, arama geçmişleri çevrimiçi çeviri araçlarının sık kullanılmasını ve Rus IP'si kullanarak içeriği Korece'ye çevirdiklerini göstermektedir.
Şu anda, işletmelerin Kuzey Koreli BT çalışanlarına karşı korunma konusunda karşılaştığı başlıca zorluklar şunlardır:
Bu bulgular, endüstri projeleri için önceden güvenlik önlemleri almanın belirli bir olumlu anlamı vardır ve bize Kuzey Koreli hackerların "çalışma" yöntemlerini proaktif bir bakış açısıyla anlama fırsatı sunmaktadır.