ESET, Kuzey Kore ile bağlantılı Lazarus grubunun sahte iş teklifleri aracılığıyla Avrupa’daki savunma sanayisi şirketlerine sızdığını ve İHA/drone üretimine ilişkin hassas bilgileri çalmaya çalıştığını açıkladı.
Kuzey Kore ile bağlantılı Lazarus grubu, Avrupa’da savunma sanayisinde faaliyet gösteren şirketleri hedef alan yeni bir siber casusluk kampanyası yürütüyor. ESET’in raporuna göre, “Operation DreamJob” adı verilen bu operasyon, özellikle İHA ve drone üreticilerini hedef alıyor.
Saldırılar, kurbanlara gönderilen sahte iş teklifleri ve trojanize edilmiş PDF dosyaları üzerinden gerçekleştiriliyor. Dosyalar, saldırganlara hedef sistem üzerinde tam kontrol sağlayan ScoringMathTea adlı uzaktan erişim truva atını (RAT) yüklüyor. Lazarus’un amacı, İHA üretim bilgileri ve üretim know-how’ı gibi kritik bilgileri çalmak.
Araştırmacılar, hedef şirketlerden bazılarının Ukrayna’da kullanılan askeri teçhizat üretiminde yer aldığını belirtti. Bu durum, Lazarus’un operasyonlarının sadece siber casuslukla sınırlı kalmayıp, Kuzey Kore’nin yerli İHA üretim kapasitesini geliştirme çabalarıyla bağlantılı olabileceğini gösteriyor.
ESET araştırmacıları Peter Kálnai ve Alexis Rapin, “Operasyon DreamJob, en azından kısmen, İHA’larla ilgili özel bilgileri ve üretim know-how’ını çalmak amacıyla gerçekleştiriliyor” açıklamasını yaptı. Lazarus, 2009’dan beri aktif olan ve HIDDEN COBRA olarak da bilinen bir APT grubu olarak siber casusluk, siber sabotaj ve mali kazanç faaliyetlerini sürdürüyor.
Grup, Avrupa’daki havacılık, savunma ve mühendislik şirketlerini hedef alarak, sosyal mühendislik ve karmaşık RAT yazılımları kullanmaya devam ediyor. Saldırganlar, ayrıca açık kaynaklı projeleri trojanize ederek gizliliği artırıyor ve güvenlik tespitlerinden kaçınmayı amaçlıyor.
