Kuzey Kore bağlantılı siber casusluk grubu ScarCruft, bir oyun platformunu hedef alan tedarik zinciri saldırısıyla dikkatleri üzerine çekti. ESET araştırmacılarının tespitine göre, Windows ve Android sürümleri ele geçirilen platform, BirdCall adlı bir arka kapı ile donatıldı. Saldırının, özellikle Çin’in Yanbian bölgesinde yaşayan etnik Korelileri ve Kuzey Kore’den kaçan mültecileri hedef aldığı belirtiliyor.
Olayın Detayları ve Kronolojisi
ESET’in raporuna göre, ScarCruft grubu, Yanbian temalı oyunlara adanmış bir video oyun platformunun Windows ve Android bileşenlerini ele geçirdi. Saldırı, platformun meşru güncelleme mekanizması üzerinden RokRAT arka kapısını yükleyerek başladı; ardından daha gelişmiş BirdCall arka kapısı devreye sokuldu. Android sürümü, kişi listeleri, SMS mesajları, arama kayıtları, belgeler, medya dosyaları ve özel anahtarları toplamanın yanı sıra ekran görüntüsü alma ve ses kaydı yapma yeteneklerine sahip. ESET, Android BirdCall’un en az yedi farklı sürümünün kullanıma sunulduğunu ve geliştirmelerin birkaç ay boyunca devam ettiğini keşfetti.
Saldırının başlangıcı tam olarak belirlenemese de, kötü amaçlı yazılım analizleri 2024 yılı sonlarına işaret ediyor. Mağdurlar, ele geçirilen web sitesi üzerinden trojan bulaşmış oyunları indirip bilerek yükledi. ESET araştırmacısı Filip Jurčacko, “Resmî Google Play mağazasında başka bir kötü amaçlı APK tespit etmedik” ifadelerini kullandı.
Hedefler ve Kullanılan Yöntemler
ScarCruft’un bu saldırısı, Yanbian bölgesine odaklanmış durumda. Bölge, etnik Korelilerin yoğun olarak yaşadığı ve Kuzey Koreli mülteciler ile kaçakların geçiş noktası olarak biliniyor. ESET, hedef kitlenin büyük olasılıkla mülteciler, kaçaklar ve Kuzey Kore rejimi tarafından “ilgi çekici” bulunan kişiler olduğunu değerlendiriyor. Windows arka kapısı, Dropbox, pCloud gibi meşru bulut depolama hizmetlerini veya ele geçirilmiş web sitelerini komuta ve kontrol (C&C) için kullanıyor. Bu sayede trafik normal görünerek tespit edilmesi zorlaşıyor.
“Mağdurlar, cihazlarındaki tek bir sayfadan bir web tarayıcısı aracılığıyla trojan bulaşmış oyunları indirdiler ve muhtemelen bunları kasıtlı olarak yüklediler.” – Filip Jurčacko, ESET araştırmacısı
ScarCruft Grubu ve Geçmişi
APT37 veya Reaper olarak da bilinen ScarCruft, en az 2012 yılından beri faaliyet gösteriyor. Grup, ağırlıklı olarak Güney Kore‘yi hedef alsa da diğer Asya ülkelerine yönelik operasyonlar da yürütüyor. Hedefleri arasında hükümet ve askeri kuruluşlar, Kuzey Kore’nin çıkarlarıyla bağlantılı sektörlerdeki şirketler ve Kuzey Kore’den kaçanlar yer alıyor. Windows arka kapısı ilk kez 2021’de tespit edilmiş ve ESET Tehdit İstihbaratı raporunda ScarCruft’a atfedilmişti.
Saldırının Anlamı ve Olası Gelişmeler
Bu tedarik zinciri saldırısı, Kuzey Koreli grupların sivil hedeflere yönelik casusluk faaliyetlerini ne kadar ileri götürebileceğini gösteriyor. Oyun platformu gibi masum görünen bir hizmet üzerinden yapılan saldırı, kullanıcıların güvenini istismar ediyor. ESET, saldırının boyutlarının tam olarak anlaşılması için daha fazla analiz yapılması gerektiğini belirtiyor. Gelecekte benzer çok platformlu saldırıların artması beklenirken, kullanıcıların yazılım güncellemelerini yalnızca resmî kaynaklardan yapmaları öneriliyor.
Kaynak: Beyaz Haber Ajansı