Kuzey Koreli bir hackerın iş başvurusu yaparak sızmaya çalıştığı nasıl tespit edildi

• Kripto para borsası Kraken, yakın zamanda Kuzey Koreli bir hackerın iş başvurusu üzerinden sızma girişimini önceden tespit edip analiz etti
• Aday, çoklu kimlik kullanımı, VPN ve uzak masaüstü kombinasyonu, çalınmış kimlik belgesi kullanarak içeri sızmaya çalıştı
• Güvenlik ekibi, onu işe alım sürecine bilerek dahil etmeye devam ederek tespit ve istihbarat toplama çalışması yürüttü
• E-posta, GitHub hesabı, OSINT analizi vb. yollarla Kuzey Koreli hacking gruplarıyla bağlantı kanıtlandı
• Bu olay, biyometrik kimlik doğrulama ve gerçek zamanlı doğrulamanın öneminin yanı sıra kurum genelinde güvenlik farkındalığı gereğini vurguluyor

Olayın özeti

• Kraken’in güvenlik ve BT ekipleri, rutin olarak çeşitli saldırı girişimlerini engelliyor
• Yakın zamanda işe alım sürecini kullanan bir Kuzey Koreli hackerın sızma girişimini tespit edip buna karşılık verdi
• Söz konusu aday bir mühendislik pozisyonuna başvurdu ve sıradan bir işe alım süreci bir istihbarat toplama operasyonuna dönüştü
• Kuzey Koreli hackerların 2024’te kripto para şirketlerinden 650 milyon dolardan fazla çaldığı tahmin ediliyor

Şüpheli işaretler

• Çevrim içi mülakata özgeçmişte yazandan farklı bir adla katıldı ve adı görüşme sırasında değiştirildi
• Mülakat sırasında sesinin değişmesi, gerçek zamanlı koçluk alma ihtimalini ortaya çıkardı
• Kuzey Koreli hackerların kripto para şirketlerine aktif biçimde başvurduğuna dair bilgi alınmıştı; Kraken’e yapılan başvuruda kullanılan adres de önceden edinilen Kuzey Koreli hacker e-posta listelerinden biriyle aynıydı

İç soruşturma ve bulgular

• Red Team, OSINT analiziyle saldırganın e-postasını ve faaliyet geçmişini inceledi
• Veri sızıntısı kayıtları analiz edilerek çok sayıda sahte kimlikle ilişkili e-postalar doğrulandı
• Birden fazla sahte kimliğin başka şirketlerde de işe alındığı, bazılarının ise yaptırım altındaki yabancı ajanlar olduğu belirlendi

Teknik anormallik işaretleri

• Aday, konumunu gizlemek için VPN ile uzak bir Mac masaüstünü birlikte kullandı
• GitHub hesabına bağlı e-posta, geçmişte sızdırılmış verilerle eşleşiyordu
• Gönderilen kimlik belgesinin iki yıl önce çalınmış bilgilere dayanarak değiştirilmiş olabileceğinden şüphelenildi

Kurumun yanıt yöntemi

• Adayı doğrudan elemek yerine bilerek işe alım sürecinde tutmaya devam ettiler
• Güvenlik testleri, teknik görevler ve doğrulama talepleri üzerinden taktiklerini anlamaya odaklandılar
• Son mülakat, Kraken Güvenlikten Sorumlu Yöneticisi (CSO) ile yapıldı ve içine gerçek zamanlı doğrulama soruları eklendi

Gerçek zamanlı doğrulama sorularına örnekler

• Mevcut konumunu doğrulama talebi
• Devlet tarafından verilmiş kimliğin fiziksel olarak gösterilmesi talebi
• Yaşadığı şehirde restoran önerisi isteme gibi doğaçlama soruların anlık olarak eklenmesi
• Sonuç olarak, aday doğrulamayı geçemedi

CSO Nick Percoco’nun açıklaması

• “Güvenme, doğrula” ilkesi bugün her zamankinden daha önemli
• Değerli bir şeyle uğraşan her kişi ve şirket saldırı hedefi olabilir
• Kurum çapında güvenlik farkındalığı ve önleyici yanıt stratejisi kritik önemde

Temel dersler

• Saldırganlar ön kapıdan girmeye çalışır: Teknik sızmanın dışında sosyal yollarla yaklaşım da vardır
• Gerçek zamanlı doğrulama güçlü bir silahtır: Üretken yapay zeka ile kandırmak mümkün olsa da gerçek doğrulamayı aşmak zordur
• Güvenlik yalnızca BT’nin sorunu değildir: İşe alım ekibi dahil tüm organizasyonun güvenlik sezgisine sahip olması gerekir

Şüpheli bir başvuruyla karşılaştığınızda şunu hatırlayın: En büyük tehdit, fırsat kılığına girerek gelir