Sahte BT çalışanları şirketlere sızıyor: Kuzey Kore tehdidi

İşte, içeriden gelen tehditlere ilişkin son gelişmeler hakkında bilmeniz gerekenler: Batılı şirketlere sızan Kuzey Koreli sahte BT çalışanları

2024 yılının Temmuz ayında, siber güvenlik tedarikçisi KnowBe4, yeni işe alınan bir çalışanla bağlantılı şüpheli faaliyetler gözlemlemeye başladı. Bu kişi, potansiyel olarak zararlı dosyaları manipüle etmeye ve aktarmaya başladı ve yetkisiz yazılımları çalıştırmaya çalıştı. Daha sonra, bu kişinin şirketin insan kaynakları ekibini kandırarak şirketten uzaktan çalışma izni alan bir Kuzey Koreli çalışan olduğu ortaya çıktı. Bu kişi, toplamda dört video konferans görüşmesinin yanı sıra geçmiş ve işe alım öncesi kontrolünü geçmeyi başardı.

Bu olay, hiçbir kuruluşun yanlışlıkla bir sabotajcıyı işe alma riskinden muaf olmadığını vurgulamaktadır. Kimlik tabanlı tehditler, çalınan parolalar veya hesap ele geçirmelerle sınırlı değildir, iş gücünüze katılan kişilere de uzanır. Yapay zekâ gerçekliği taklit etme konusunda daha iyi hâle geldikçe işe alım süreçlerinizi iyileştirmenin zamanı gelmiştir. 

Sorunun boyutu

Bu tehdidin ne kadar yaygın olduğu sizi şaşırtabilir. FBI’ın arananlar listesine göre, bu tehdit en azından Nisan 2017’den beri devam ediyor. ESET Research tarafından WageMole olarak izlenen bu faaliyet, diğer araştırmacılar tarafından UNC5267 ve Jasper Sleet olarak adlandırılan gruplarla örtüşüyor. Microsoft’a göre, ABD hükümeti, yalnızca 2020 ile 2022 yılları arasında bu şekilde mağdur olan, Fortune 500 listesindeki bazı şirketler de dâhil olmak üzere 300’den fazla şirketi ortaya çıkardı. Teknoloji şirketi, Haziran ayında Kuzey Koreli iş arayanlar tarafından oluşturulan 3.000 Outlook ve Hotmail hesabını askıya almak zorunda kaldı.

Ayrı bir davada, ABD savcılığı iki Kuzey Koreli ve üç “aracı”yı, çalıştıkları 60’tan fazla şirketin 10’undan 860.000 doların üzerinde para kazanmakla suçladı. Ancak bu sadece ABD’nin sorunu değil. ESET araştırmacıları, son zamanlarda odak noktasının Fransa, Polonya ve Ukrayna dâhil olmak üzere Avrupa’ya kaydığı konusunda uyarıda bulundu. Bu arada Google da İngiliz şirketlerinin de hedef alındığı konusunda uyarıda bulundu.

Sahte BT çalışanları bunu nasıl yapıyorlar?

Binlerce Kuzey Koreli işçi bu şekilde iş bulmuş olabilir. Hedef alınan kuruluşun bulunduğu yere uygun kimlikler oluşturur veya çalarlar, ardından e-posta hesapları, sosyal medya profilleri ve GitHub gibi geliştirici platformlarında sahte hesaplar açarak meşruiyet kazanırlar. İşe alım sürecinde, kimliklerini gizlemek veya sentetik kimlikler oluşturmak için deepfake görüntü ve videolar veya yüz değiştirme ve ses değiştirme yazılımları kullanabilirler.

ESET araştırmacılarına göre, WageMole grubu, DeceptiveDevelopment olarak izlediği başka bir Kuzey Kore kampanyasıyla bağlantılıdır. Bu kampanya, Batılı geliştiricileri var olmayan işlere başvurmaya ikna etmeye odaklanmıştır. Dolandırıcılar, kurbanlarından bir kodlama yarışmasına veya ön görüşme görevine katılmalarını ister. Ancak katılmak için indirdikleri proje aslında trojanize edilmiş kod içerir. WageMole, sahte işçi planlarında kullanmak için bu geliştirici kimliklerini çalar.

Dolandırıcılığın anahtarı yabancı aracılarda yatmaktadır. İlk olarak, aşağıdakilere yardımcı olurlar:

• Freelance iş sitelerinde hesap oluşturmak,
• Banka hesapları oluşturmak veya Kuzey Koreli işçilere kendi hesaplarını ödünç vermek,
• SIM kartların mobil numaralarını satın almak,
• Arka plan kontrol hizmetlerini kullanarak istihdam doğrulaması sırasında işçinin sahte kimliğini onaylamak.

Sahte işçi işe alındıktan sonra, bu kişiler şirketin dizüstü bilgisayarını teslim alır ve onu işe alan firmanın bulunduğu ülkede bulunan bir dizüstü bilgisayar çiftliğinde kurarlar. Kuzey Koreli BT işçisi daha sonra VPN’ler, proxy hizmetleri, uzaktan izleme ve yönetim (RMM) ve/veya sanal özel sunucular (VPS) kullanarak gerçek konumunu gizler.

Aldatılan kuruluşlar üzerinde etkisi çok büyük olabilir. Bu kuruluşlar, ağır yaptırımlara tabi bir ülkeden gelen işçilere farkında olmadan ödeme yapmakla kalmaz, aynı zamanda bu çalışanlar genellikle kritik sistemlere ayrıcalıklı erişim hakkına da sahip olur. Bu, hassas verileri çalmak hatta şirketi fidye için rehin almaya açık bir davettir. 

Sahte BT çalışanları nasıl tespit edebilir?

Bilmeden bir dışlanmış devletin nükleer hedeflerine fon sağlamak itibar kaybı açısından neredeyse en kötü durumdur. Ayrıca uzlaşmanın beraberinde getirdiği ihlal riskine karşı mali açıdan maruz kalma riskini de unutmamak gerekir. Peki, kuruluşunuz bir sonraki kurban olmamak için ne yapabilir?

İşe alım sürecinde sahte BT çalışanları tespit edin

• Adayın sosyal medya ve diğer çevrimiçi hesapları da dâhil olmak üzere dijital profilini, kimliğini çalmış olabilecek diğer kişilerle benzerlikler açısından kontrol edin. Ayrıca farklı isimlerle iş başvurusu yapmak için birkaç sahte profil oluşturabilirler.
• Çevrimiçi etkinlikler ile iddia edilen deneyim arasında uyumsuzluklar olup olmadığına dikkat edin: Genel kod depoları veya yeni oluşturulmuş hesapları olan bir “kıdemli geliştirici” şüphe uyandırmalıdır.
• Adayların meşru, benzersiz bir telefon numarasına sahip olduklarından emin olun ve özgeçmişlerinde tutarsızlıklar olup olmadığını kontrol edin. Listelenen şirketlerin gerçekten var olduğunu doğrulayın. Referanslarla doğrudan iletişime geçin (telefon/video görüşmesi) ve personel temin şirketlerinin çalışanlarına özellikle dikkat edin.
• Birçok aday derin sahte ses, video ve görüntüler kullanabileceğinden video görüşmelerinde ısrarcı olun ve işe alım sürecinde bunları birden fazla kez gerçekleştirin. 
• Görüşmeler sırasında, kameranın arızalı olduğuna dair herhangi bir iddiayı önemli bir uyarı olarak değerlendirin. Deepfake’leri daha iyi tespit edebilmek için adaydan arka plan filtrelerini kapatmasını isteyin. (Görsel bozukluklar, sert ve doğal olmayan yüz ifadeleri ve sesle senkronize olmayan dudak hareketleri gibi ipuçları olabilir.) Adaylara, örneğin yerel yemekler veya sporlar gibi “yaşadıkları” veya “çalıştıkları” yerle ilgili konum ve kültür temelli sorular sorun.

Çalışanları potansiyel olarak şüpheli faaliyetler açısından izleyin

• Çin telefon numaralarına, yeni verilen bir dizüstü bilgisayara RMM yazılımının hemen indirilmesine ve normal çalışma saatleri dışında yapılan işler gibi uyarı işaretlerine karşı uyanık olun. Dizüstü bilgisayar Çin veya Rusya IP adreslerinden kimlik doğrulaması yapıyorsa bu da araştırılmalıdır. 
• Olağan dışı oturum açma işlemleri, büyük dosya aktarımları veya çalışma saatlerindeki değişiklikler gibi çalışan davranışlarını ve sistem erişim modellerini takip edin. Sadece uyarıları değil, bağlamı da dikkate alın: Hata ile kötü niyetli faaliyet arasındaki fark, niyette yatıyor olabilir.
• Anormal faaliyetleri izlemek için içeriden gelen tehdit araçlarını kullanın.

Sahte BT çalışanları tehdidini kontrol altına alın

• Kuruluşunuzda Kuzey Koreli bir çalışan tespit ettiğinizi düşünüyorsanız ilk başta dikkatli davranarak onları uyandırmamaya özen gösterin. 
• Hassas kaynaklara erişimini sınırlayın ve ağ faaliyetlerini inceleyin. Bu projeyi, BT güvenliği, İK ve hukuk departmanlarından güvenilir bir grup içinden küçük bir ekiple sınırlı tutun. 
• Kanıtları saklayın ve olayı kolluk kuvvetlerine bildirin, aynı zamanda şirket için hukuki danışmanlık alın.

Ortalık yatıştıktan sonra, siber güvenlik farkındalık eğitim programlarınızı güncellemek de iyi bir fikirdir. Ayrıca tüm çalışanların, özellikle BT işe alım yöneticileri ve İK personelinin, gelecekte dikkat edilmesi gereken bazı uyarı işaretlerini anlamasını sağlayın. Tehdit aktörlerinin taktikleri, teknikleri ve prosedürleri (TTP’ler) sürekli olarak gelişmektedir, bu nedenle bu tavsiyeler de periyodik olarak değiştirilmelidir. 

Sahte adayların içeriden kötü niyetli kişiler hâline gelmesini önlemek için en iyi yaklaşımlar, insan bilgisi ve teknik kontrolleri birleştirir. Tüm temelleri kapsadığınızdan emin olun.