Kuzey Kore ile bağlantılı siber tehditler, sahte BT çalışanları tarafından şirketlere sızma girişimlerini artırmaya devam ediyor. Bu kişiler, deepfake görüntüler, sahte kimlikler ve gelişmiş sosyal mühendislik taktikleri kullanarak, kritik sistemlere erişim sağlar ve büyük güvenlik riskleri oluşturur. Siber güvenlik çözümlerinde öncü olan ESET, bu artışla ilgili olarak firmaları uyarıyor.

Özellikle 2024 yılı Temmuz ayında, bir güvenlik tedarikçisi olan KnowBe4 şirketinde yaşanan olay, bu tehdidin ciddiyetini gözler önüne serdi. İşe alım süreçlerinden başarıyla geçen bir kişi, sonradan Kuzey Kore bağlantılı sahte bir çalışan olduğu belirlenmiştir. Bu kişi, şirketin sistemlerinde dosya manipülasyonu ve yetkisiz yazılım çalıştırma gibi şüpheli faaliyetlerde bulunuyordu. Olay, kimlik temelli tehditlerin artık sadece parolaların ya da hesapların çalınmasıyla sınırlı kalmadığını, gerçek çalışanların taklit edilmesine kadar gittiğini gösteriyor.

Araştırmalar ve resmi kurumların raporları, bu saldırı modelinin 2017 yılından bu yana devam ettiğini ortaya koyuyor. Microsoft'a göre, 2020-2022 yılları arasında 300'den fazla şirket bu yöntemle hedef alındı. Yine 2024 yılında, Kuzey Koreli tehdit aktörleri tarafından oluşturulan 3.000 sahte Outlook ve Hotmail hesabı askıya alındı. ABD savcıları, iki Kuzey Koreli ve üç aracının 60’tan fazla şirketten 860.000 dolardan fazla gelir elde ettiğini açıkladı. ESET araştırmacıları, bu tür saldırıların son dönemde Fransa, Polonya, Ukrayna ve İngiltere gibi Avrupa ülkelerine kaydığı konusunda uyarıda bulunuyor.

Sahte BT çalışanları nasıl sızıyor?

Kuzey Koreli çalışanlar, sahte kimlikler ile iş bulma yöntemlerinde oldukça gelişmiş teknikler kullanıyor. Sahte kimlikler, kuruluşa uygun olarak oluşturulmakta veya çalınmaktadır. Sosyal medya, geliştirici platformları ve e-posta hizmetlerinde gerçekçi dijital profiller oluşturulmaktadır. İşe alım görüşmelerinde deepfake görüntüler, yüz değiştirme ve ses değiştirme yazılımlarıyla kimliklerini gizleyebiliyorlar. Ayrıca, freelance platformlarına kayıt açma, banka hesabı temin etme, SIM kart sağlama ve sahte kimliğin doğrulanmasına destek verme gibi süreçlerde kritik rol oynuyorlar.

Şirketler tarafından gönderilen dizüstü bilgisayarlar, işe alımın ardından başka ülkelerde kurulan "laptop çiftliklerine" yerleştirilmektedir. Operatörler, bu cihazlara VPN, proxy, uzaktan izleme ve sanal sunucular üzerinden bağlanarak gerçek konumlarını gizlemektedir. Sahte BT çalışanlarının kritik sistemlere erişim sağlaması; hassas verilerin çalınması, sistemlerin sabotaj edilmesi veya fidye yazılımı için zemin hazırlanması gibi ciddi sonuçlar doğurabiliyor.

İşe alım sürecinde dikkat edilmesi gerekenler:

• Adayın sosyal medya ve diğer çevrimiçi hesapları da dâhil olmak üzere dijital profilini kontrol edin. Farklı isimlerle iş başvurusu yapmak için birçok sahte profil oluşturabilirler.
• Çevrimiçi etkinlikler ile iddia edilen deneyim arasında uyumsuzluklar olup olmadığına dikkat edin.
• Adayların meşru, benzersiz bir telefon numarasına sahip olduklarından emin olun ve özgeçmişlerinde tutarsızlıklar olup olmadığını kontrol edin. Listelenen şirketlerin gerçekten var olduğunu doğrulayın. Referanslarla doğrudan iletişime geçin ve personel temin şirketlerinin çalışanlarına özellikle dikkat edin.
• Birçok aday derin sahte ses, video ve görüntüler kullanabileceğinden video görüşmelerinde ısrarcı olun ve işe alım sürecinde bunları birden fazla kez gerçekleştirin.
• Görüşmeler sırasında, kameranın arızalı olduğuna dair herhangi bir iddiayı önemli bir uyarı olarak değerlendirin. Deepfake'leri daha iyi tespit edebilmek için adaydan arka plan filtrelerini kapatmasını isteyin. Görsel bozukluklar, sert ve doğal olmayan yüz ifadeleri ve sesle senkronize olmayan dudak hareketleri gibi ipuçları olabilir.

ESET uzmanları, sahte BT çalışanlarının içeriden yaratacağı riskleri azaltmanın en etkili yolunun, teknik güvenlik kontrollerini güçlü insan odaklı süreçlerle birleştiren bütünsel bir yaklaşım olduğunu vurguluyor.