'Kim' dökümünün Kuzey Kore'nin kimlik bilgisi hırsızlığı yöntemlerini nasıl ortaya çıkardığı

 (dti.domaintools.com)
2 puan yazan GN⁺ 2025-09-07 | 1 yorum | WhatsApp'ta paylaş
  • Son dönemdeki 'Kim' dökümü olayı, Kuzey Kore'nin kimlik bilgisi hırsızlığı yöntemlerini ortaya çıkardı
  • Kuzey Koreli hackerlar phishing siteleri ve sosyal mühendislik tekniklerini aktif biçimde kullanıyor
  • Başlıca hedef olarak Batılı ülkeleri ve BT şirketlerini seçiyorlar
  • Saldırı yöntemi ağırlıklı olarak e-posta hesap bilgilerinin çalınmasıyla ilgili
  • Bu ifşanın ardından ABD dahil çeşitli şirketlerde güvenlik alarm seviyesi yükseliyor

“Kim” dökümü olayının özeti

  • Yakın zamanda ortaya çıkan 'Kim' dökümü olayı, Kuzey Kore'nin planlı biçimde büyük ölçekli kimlik bilgisi hırsızlığı faaliyetleri yürüttüğünü gösterdi
  • Söz konusu veri dökümü çeşitli BT ve topluluk platformlarında paylaşılırken, saldırının somut yöntemleri de açığa çıktı

Kuzey Kore'nin başlıca hackleme yöntemleri

  • Kuzey Koreli hacker grupları, phishing e-postaları ve benzer web siteleri aracılığıyla kullanıcıların giriş bilgilerini topluyor
  • Bu phishing siteleri gerçek sitelere çok benzer şekilde hazırlanıyor; mağdur kendi hesap bilgilerini girdiğinde bilgiler otomatik olarak ele geçiriliyor
  • Kullanıcıların psikolojik zayıflıklarını hedef almak için sosyal mühendislik teknikleri de yoğun biçimde kullanılıyor

Saldırı hedefleri ve amaçları

  • Başlıca hedefler, ABD ve Avrupa gibi Batı eksenindeki BT şirketleri ile güvenlik alanındaki kuruluşlar oluyor
  • Kurum içindeki insan kaynakları personeli, geliştiriciler ve sistem yöneticileri gibi yüksek erişim yetkisine sahip çalışanlar özellikle hedef alınıyor
  • Ele geçirilen kimlik bilgileri üzerinden iç bilgilere erişim sağlamak ve ek saldırı rotaları oluşturmak amaçlanıyor

Güvenlik açısından anlamı ve etkileri

  • 'Kim' dökümü, Kuzey Kore'nin fiili saldırı yöntemlerini ve taktiksel evrimini görmeyi sağlıyor
  • Küresel BT sektöründe güvenlik önlemlerini sıkılaştırma ve kimlik bilgisi yönetimi politikalarını yeniden düzenleme tartışmaları hız kazandı
  • İlgili şirketler ve kurumlar gerçek zamanlı izleme ile phishing'e karşı eğitimleri güçlendirmeye yöneliyor

Sonuç ve önümüzdeki görevler

  • Kuzey Koreli hack gruplarının faaliyetleri sürekli evriliyor ve daha sofistike yöntemler ortaya çıkıyor
  • BT sektörü çalışanları ve tüm organizasyon genelinde güvenlik farkındalığının artırılması ve çok katmanlı savunma yapılarının kurulması gerekiyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-09-07
Hacker News görüşü

  • Bu sızıntıdan sorumlu hackerların tam olarak bu kişiler olduğunu düşünüyorum; phrack.org’daki ilgili makaleye bakın

    • “Ben bir hackerım ve sizin tam tersinizim. Benim dünyamda herkes eşittir. Bizim ne ten rengimiz, ne milliyetimiz, ne siyasi amaçlarımız var; ayrıca kimsenin kölesi de değiliz” şeklindeki klasik hacker elitizmi bakışı görülebiliyor. Ancak böyle bir “herkes eşittir” alanı, yalnızca belirli tipte insanlar için gerçekten işleyen bir yanılsama

  • Bu konunun ilginç yanı, DPRK (Kuzey Kore) ile PRC’nin (Çin) bağlantılı görünmesi. Aralarındaki koordinasyonun ne kadar derin olduğunu bilmek zor, ancak kesin olan şu ki tamamen bağımsız değiller. Bu tür açık teşhirlerin, PRC’nin DPRK ve kendi faaliyetleriyle bağlantısını inkâr etmesini daha da zorlaştırıp zorlaştırmayacağını merak ediyorum

    • Pekin, Pyongyang’ın davranışlarından hoşnutsuz olsa bile, Kuzey Kore Çin için stratejik olarak fazla önemli; bu yüzden Çin desteğinin sarsılması ya da bunun gizlenmeye çalışılması pek olası görünmüyor
    • Şu an için PRC’nin kendi dahliğini inkâr edememesine yol açacak kesin bir kanıt, yani bir “smoking gun”, var gibi görünmüyor
    • Çin’in Kuzey Kore’yi desteklediği artık bir sır değil ve bu, ABD’nin Güney Kore’yi desteklemesine benzer bir düzeyde. Jeopolitik konum düşünüldüğünde Çin’in daha güçlü bir gerekçesi var. Bu bağlamı anlamak için Monroe Doctrine’e bakmak faydalı olabilir. Küba Füze Krizi’ni aslında Turkey Missile Crisis olarak görmek daha doğru. ABD Türkiye’ye Jupiter nükleer füzelerini yerleştirince, Sovyetler de buna karşılık Küba’ya konuşlandırma yaptı. Sonuçta dünya savaşı eşiğine gelindi, ancak Sovyetler geri adım attı ve Türkiye’deki füzeler de gizlice çekildi. Monroe Doctrine, Jupiter füzeleri hakkında bilgi bağlantılarına bakın
    • Bilgi güvenliği topluluğunda Çin-Kuzey Kore bağlantısı yaygın olarak bilinen bir gerçek. Çin, dünyada ilk resmi askerî siber birimi kuran ülkeydi. Kuzey Kore bunu para kazanma amacıyla takip etti ve hatta Çin anakarasında otel gibi gayrimenkuller edinerek bunları operasyon üssü olarak kullandı. Çin ayrıca fiilen Kuzey Kore ile ticarette dolar kabul edip karşılığında tedarik sağlayan bir “çamaşırhane” rolü de oynuyor

  • Sızdırılan verilerde TitanLdr, minbeacon, Blacklotus, CobaltStrike-Auto-Keystore gibi saldırı araçları için GitHub depolarının kullanıldığı söyleniyor. GitHub’ın bu tür saldırı araçlarının geliştirilmesine neden izin verdiğini merak ediyorum. Bu sadece ifade özgürlüğü meselesi mi, yoksa bu araçların akademik açıdan da anlamı mı var?

    • Bu tür araçlar penetrasyon testi ve red team çalışmalarında sık kullanılıyor. Bunları açıkça yasaklamak, savunmacıların saldırgan yöntemleri bilmesini engellerken gerçek kötü niyetli hackerları durdurmayan bir sonuç doğurabilir. 90’lar ve 2000’lerde bu konu defalarca tartışıldı ve varılan sonuç buydu
    • Bunlar çoğunlukla güvenlik araştırmacıları ve pentester’ların kullandığı araçlar
    • O zaman alternatifin ne olabileceğini merak ediyorum
    • GitHub’ın İran veya Kuzey Kore gibi yaptırım altındaki ülkeleri engellemesi gerekmiyor mu diye merak ediyorum; resmî politika bağlantısına bakın

  • Kuzey Kore’de sıradan insanların bilgisayar öğrenmesinin ya da sahip olmasının zor olduğunu duymuştum. Yalnızca küçük bir elit grubun seçilip eğitildiği söyleniyor; bu kişilerin en güncel teknolojileri edinip hackleme yapabilmesi oldukça şaşırtıcı

    • Kuzey Koreli hackerlar muhtemelen dünyanın en üst düzeyleri arasında. Devlet öğrencileri erkenden seçip yoğun eğitim verirse bu mümkün. Batı’da eğitim daha geneldir ve üniversite eğitimi de gerçek hacker işiyle farklıdır. Batı’daki 22 yaşındaki bir hackerın deneyimi en fazla 6 aylık staj olabilirken, Kuzey Koreli bir hacker o yaşa geldiğinde muhtemelen yıllardır deneyim biriktirmiştir
    • Kuzey Kore ekipleri çeşitli kodlama yarışmalarında da iyi sonuçlar aldığı için, az sayıda ama seçkin IT yeteneği yetiştirmede oldukça yetkin görünüyorlar
    • “En güncel teknolojiyle hackleme yapmaları şaşırtıcı” tepkisi var ama yetenek seçmek aslında zor bir iş değil; bu yeteneklere en iyi motivasyon ve koşullar sağlanırsa yetkin hackerların çıkması gayet doğal

  • “Kim” adlı operatörle bağlantılı sızdırılmış veri kümesi, Kuzey Kore’nin siber operasyonlarının nasıl göründüğünü somut biçimde gösteriyor. Ama Kuzey Koreli hackerların neden izlerini olduğu gibi bıraktığını anlamak zor. Daha ustaca dolaylı izler bırakmak yerine neden Pyongyang’a kadar uzanan ekmek kırıntısı gibi izler bıraktıkları merak uyandırıyor

  • Bu olayın teknik açıdan ilginç birçok yönü var. Altyapının bir kısmı pentester’ların ya da diğer güvenlik sorumlularının da kullandığı araçlardan oluşuyor; bu da “salt savunmaya yönelik silah” diye bir şey olmadığını gösteriyor. Ama öte yandan tartışma kolayca Kuzey Kore ve Çin eleştirisine kayabiliyor. Bu ikili standardı işaret etmek için yalnızca “Stuxnet” ve “Pegasus” demek yeterli

  • Çin bağlantısı (Option A/B) biraz abartılmış olabilir. Kuzey Koreli hackerların Çin’de faaliyet göstermesinin nedeni yalnızca internet erişimi de olabilir. Kuzey Kore’de kamusal internet olmadığından, internete erişmek için Çin’de bulunmaları, Çinli gibi davranmaları ya da Çin tarafından yönlendirilmeleri birbirinden ayrı olasılıklar olabilir

  • APT iş akışına dair son derece ayrıntılı bir analiz. Bu düzeyde bir analiz, sıradan saldırganların da yetişip benzer yöntemleri kopyalama riskini doğurabilir

    • Bilgi açıklamanın taklitçileri teşvik etme riski var, ama öte yandan bu tür saldırganları durdurmak için savunma stratejisi geliştirmesi gereken kişilere de karar zemini sağlayabilir. Bilginin yalnızca tek tarafta kalmasını engellemek pratikte imkânsızdır