Son zamanlarda siber güvenlik şirketi Recorded Future tarafından yayınlanan bir rapora göre, Kuzey Kore bağlantılı bir hacker grubu olan Lazarus Group, son altı yılda 3 milyar dolarlık kripto para çaldı.
Rapor, yalnızca 2022 yılında Lazarus Grubunun 1,7 milyar dolarlık kripto para birimini yağmaladığını ve muhtemelen Kuzey Kore projelerini finanse ettiğini iddia ediyor.
Blockchain veri analiz şirketi Chainaanaliz, DeFi platformlarından 1,1 milyar doların çalındığını söyledi. ABD İç Güvenlik Bakanlığı, Analitik Değişim Programı (AEP) kapsamında Eylül ayında Lazarus'un DeFi protokollerini kötüye kullandığını vurgulayan bir rapor yayınladı.
Lazarus Grubu'nun uzmanlık alanı finansal hırsızlıktır. 2016'da Bangladeş Merkez Bankası'na girip 81 milyon dolar çaldılar. 2018'de Japon kripto para borsası Coincheck'e saldırarak 530 milyon dolar, Bank Negara Malezya'ya ise 390 milyon dolar çaldılar.
Karbon Zinciri Değeri Derleme Raporu'nun öne çıkan noktaları referans amaçlıdır:
Kuzey Kore, 2017 yılından bu yana kripto endüstrisini siber saldırıların hedefi olarak hedef alıyor ve toplam 3 milyar dolardan fazla kripto para birimi değerini çalıyor. Bundan önce Kuzey Kore, SWIFT ağını ele geçirmiş ve finansal kuruluşlardan fon çalmıştı. Bu tür faaliyetler uluslararası kuruluşların da ilgisini çekti. Finansal kurumlar bu nedenle kendi siber güvenlik savunmalarını geliştirmeye yatırım yaptılar.
Kripto para birimleri 2017'de popülerlik kazanmaya ve ana akım haline gelmeye başladığında, Kuzey Koreli bilgisayar korsanları hırsızlık hedeflerini geleneksel finanstan bu yeni tür dijital finansa kaydırdılar; önce Güney Kore kripto pazarını hedef aldılar ve ardından etkilerini küresel olarak genişlettiler.
Yalnızca 2022 yılında Kuzey Koreli bilgisayar korsanları, Kuzey Kore'nin iç ekonomisinin büyüklüğünün yaklaşık %5'ine veya askeri bütçesinin %45'ine eşdeğer olan yaklaşık 1,7 milyar dolar değerinde kripto para birimini çalmakla suçlanıyor. Bu rakam aynı zamanda Kuzey Kore'nin 2021'deki ihracatının neredeyse 10 katıdır. OEC web sitesinden alınan verilere göre, Kuzey Kore'nin o yılki ihracatı 182 milyon ABD dolarıydı.
Kuzey Koreli bilgisayar korsanlarının kripto endüstrisinde kripto para birimini çalmak için çalışma şekli genellikle geleneksel siber suçların kripto karıştırıcılar, zincirler arası işlemler ve fiat OTC kullanarak işleyişine benzer. Ancak arkasında devlet olduğu için hırsızlık operasyonlarını ölçeklendirebilir. Geleneksel siber suç çeteleri için bu tür bir operasyon imkansızdır.
Veri takibine göre 2022'de çalınan kripto para birimlerinin yaklaşık %44'ü Kuzey Kore hacklemesiyle ilgiliydi.
Kuzey Koreli bilgisayar korsanlarının hedefleri borsalarla sınırlı değil Bireysel kullanıcılar, risk sermayesi şirketleri ve diğer teknolojiler ve protokollerin tümü Kuzey Koreli bilgisayar korsanları tarafından saldırıya uğradı. Sektörde faaliyet gösteren tüm bu kurumlar ve orada çalışan kişiler, Kuzey Koreli bilgisayar korsanlarının potansiyel hedefleri olabilir ve bu da Kuzey Kore hükümetinin faaliyetlerine devam etmesine ve fon toplamasına olanak tanıyabilir.
Kripto endüstrisinde çalışan herhangi bir kullanıcı, borsa operatörü veya startup kurucusu, bilgisayar korsanları tarafından hedef alınma olasılığının farkında olmalıdır.
Geleneksel finans kurumları da Kuzey Koreli bilgisayar korsanlığı gruplarının faaliyetlerine çok dikkat etmelidir. Kripto para birimi çalındığında ve fiat para birimine dönüştürüldüğünde, Kuzey Koreli bilgisayar korsanları, kaynağı gizlemek için fonları farklı hesaplar arasında taşıyor. Çoğunlukla çalınan kimlikler ve değiştirilmiş fotoğraflar AML/KYC doğrulamasını atlamak için kullanılıyor. Kuzey Koreli bir bilgisayar korsanlığı ekibiyle bağlantılı bir izinsiz girişin kurbanı olan herhangi birinin kişisel olarak tanımlanabilir bilgileri (PII), kripto para birimini çalmak için kara para aklama sürecini tamamlamak amacıyla hesapları kaydetmek için kullanılabilir. Bu nedenle, kripto para biriminin ve geleneksel finans endüstrilerinin dışında faaliyet gösteren şirketlerin, Kuzey Koreli hacker grubu faaliyetlerine ve verilerinin veya altyapılarının daha fazla izinsiz giriş için bir sıçrama tahtası olarak kullanılıp kullanılmadığına karşı da dikkatli olmaları gerekir.
Kuzey Koreli bilgisayar korsanlığı gruplarının gerçekleştirdiği izinsiz girişlerin çoğu, sosyal mühendislik ve kimlik avı kampanyalarıyla başlıyor. Bazı kuruluşlar, çalışanlarını bu tür etkinlikleri izleme ve FIDO2 uyumlu parolasız kimlik doğrulama gibi güçlü çok faktörlü kimlik doğrulamayı uygulama konusunda eğitmelidir.
Kuzey Koreli bilgisayar korsanlığı gruplarının gerçekleştirdiği izinsiz girişlerin çoğu, sosyal mühendislik ve kimlik avı kampanyalarıyla başlıyor. Bazı kuruluşlar, çalışanlarını bu tür etkinlikleri izleme ve FIDO2 uyumlu parolasız kimlik doğrulama gibi güçlü, çok faktörlü kimlik doğrulamayı uygulama konusunda eğitmelidir.
Kuzey Kore, kripto para birimlerinin sürekli çalınmasını, askeri ve silah programlarını finanse etmek için önemli bir gelir kaynağı olarak açıkça görüyor. Çalınan kripto paranın ne kadarının doğrudan balistik füze fırlatmalarını finanse etmek için kullanıldığı belirsiz olsa da, çalınan kripto para miktarının ve füze fırlatma sayısının son yıllarda önemli ölçüde arttığı açık. Daha sıkı düzenlemeler, siber güvenlik gereklilikleri ve kripto para şirketlerinin siber güvenliğine yapılan yatırımlar olmadan, Kuzey Kore'nin devleti desteklemek için ek gelir kaynağı olarak kripto para birimi endüstrisine güvenmeye devam edeceği neredeyse kesin.
12 Temmuz 2023'te Amerikalı kurumsal yazılım şirketi JumpCloud, Kuzey Kore destekli bir hackerın ağına girdiğini duyurdu. Mandiant araştırmacıları daha sonra, saldırıdan sorumlu grubun UNC4899 olduğunu belirten bir rapor yayınladı; bu, muhtemelen kripto para birimine odaklanan Kuzey Koreli bir hacker grubu olan "Trader Traitor"a karşılık geliyor. 22 Ağustos 2023 itibarıyla ABD Federal Soruşturma Bürosu (FBI), Kuzey Koreli hacker grubunun Atomic Wallet, Alphapo ve CoinsPaid'i hackleme saldırılarına dahil ettiğini ve toplam 197 milyon ABD doları tutarında kripto para birimi çaldığını belirten bir bildirim yayınladı. Bu kripto para birimlerinin çalınması, Kuzey Kore hükümetinin katı uluslararası yaptırımlar altında faaliyet göstermeye devam etmesine ve balistik füze programının maliyetinin %50'sine kadar fon sağlamasına olanak tanıyor.
Kuzey Koreli bilgisayar korsanları 2017 yılında Güney Kore borsaları Bithumb, Youbit ve Yapizon'u işgal ederek o sırada yaklaşık 82,7 milyon dolar değerindeki kripto para birimini çaldı. Bithumb kullanıcılarının müşterilerinin kişisel bilgilerinin Temmuz 2017'de sızdırılmasının ardından kripto para birimi kullanıcılarının da hedef alındığına dair raporlar da mevcut.
Kuzey Koreli bilgisayar korsanları, kripto para çalmanın yanı sıra kripto para madenciliği yapmayı da öğrendi. Nisan 2017'de Kaspersky Lab araştırmacıları, APT38 izinsiz girişine kurulu bir Monero madencilik yazılımı keşfetti.
Ocak 2018'de, Güney Kore Finansal Güvenlik Enstitüsü'nden araştırmacılar, Kuzey Kore'nin Andariel örgütünün 2017 yazında adı açıklanmayan bir şirketin sunucusunu istila ettiğini ve bunu o sırada yaklaşık 25.000 dolar değerinde yaklaşık 70 Monero madeni parası çıkarmak için kullandığını duyurdu.
2020'de güvenlik araştırmacıları, Kuzey Koreli bilgisayar korsanlarının kripto para birimi endüstrisini hedef alan yeni siber saldırılarını bildirmeye devam etti. Kuzey Koreli bilgisayar korsanlığı grubu APT38, hedeflerle iletişim kurmanın ilk yöntemi olarak Linkedin'i kullanarak Amerika Birleşik Devletleri, Avrupa, Japonya, Rusya ve İsrail'deki kripto para borsalarını hedefliyor.
2021, Kuzey Koreli bilgisayar korsanlarının en az yedi kripto para birimi kurumunu hacklemesi ve 400 milyon dolar değerindeki kripto para birimini çalmasıyla Kuzey Kore'nin kripto para birimi endüstrisi için en verimli yılı oldu. Ayrıca Kuzey Koreli bilgisayar korsanları, ERC-20 tokenleri ve NFT'ler de dahil olmak üzere Altcoin'leri hedef almaya başladı.
Ocak 2022'de Chainalation araştırmacıları, 2017'den bu yana itfa edilmesi gereken 170 milyon dolar değerinde kripto para biriminin kaldığını doğruladı.
2022'de APT38'e atfedilen önemli saldırılar arasında Ronin Network çapraz zincir köprüsü (600 milyon dolar kayıp), Harmony köprüsü (100 milyon dolar kayıp), Qubit Finance köprüsü (80 milyon dolar kayıp) ve Nomad köprüsü (kayıp) yer alıyor. 190 milyon dolar). Bu dört saldırı özellikle bu platformların zincirler arası köprülerini hedef aldı. Çapraz zincir köprüler 2 blok zincirini birbirine bağlayarak kullanıcıların bir kripto para birimini bir blok zincirinden farklı bir kripto para birimi içeren diğerine göndermesine olanak tanır.
Ekim 2022'de Japon Ulusal Polis Teşkilatı, Lazarus Grubunun Japonya'da kripto para sektöründe faaliyet gösteren şirketlere yönelik saldırılar düzenlediğini duyurdu. Belirli bir ayrıntı verilmese de açıklamada, bazı şirketlerin başarıyla ele geçirildiği ve kripto para biriminin çalındığı belirtildi.
Ocak ve Ağustos 2023 arasında APT38'in Atomic Wallet'tan (2 saldırı toplam 100 milyon dolar kayıp), AlphaPo'dan (2 saldırı toplam 60 milyon dolar kayıp) ve CoinsPaid'den (37 milyon dolar kayıp) 200 milyon dolar çaldığı iddia edildi. Yine Ocak ayında ABD FBI, APT38'in Harmony'nin Horizon Bridge sanal para birimini çalarak 100 milyon dolar kaybettiğini doğruladı.
Temmuz 2023'teki CoinsPaid saldırısında, APT38 operatörleri işe alım görevlisi gibi davranmış ve özellikle CoinsPaid çalışanlarını hedef alan işe alım e-postaları ve LinkedIn mesajları göndermiş olabilir. CoinsPaid, APT38'in ağına erişim sağlamak için altı ay harcadığını söyledi.
Azaltıcı önlemler
- Kuzey Kore'nin kripto para kullanıcılarını ve şirketlerini hedef alan siber saldırılarını önlemek için Insikt Group'un önerileri şöyle:
- Çok Faktörlü Kimlik Doğrulamayı (MFA) Etkinleştirin: Gelişmiş güvenlik amacıyla cüzdanlar ve işlemler için YubiKey gibi donanım cihazlarını kullanın.
- Yetkisiz girişlere veya hırsızlığa karşı hesap korumasını en üst düzeye çıkarmak için kripto para birimi borsanız için mevcut tüm MFA ayarlarını etkinleştirin.
- Kullanıcı adlarının özel karakterler veya harfler yerine sayılar içerip içermediğini kontrol ederek doğrulanmış sosyal medya hesaplarını doğrulayın.
- Talep edilen işlemin meşru olduğundan emin olun ve airdropları veya diğer ücretsiz kripto para birimi veya NFT promosyonlarını doğrulayın.
- Airdropları veya Uniswap veya diğer büyük platformlar gibi diğer içerikleri alırken daima resmi kaynağı kontrol edin.
- Web sitesinin resmi olduğundan ve kimlik avı sitesi olmadığından emin olmak için her zaman URL'yi kontrol edin ve bağlantıya tıkladıktan sonra yönlendirmeleri izleyin.
İşte sosyal medya dolandırıcılıklarına karşı korunmak için bazı ipuçları:
- Kripto para ticareti yaparken son derece dikkatli olun. Kripto para varlıklarının “geleneksel” dolandırıcılığı azaltacak herhangi bir kurumsal güvencesi yok.
- Donanım cüzdanı kullanın. Donanım cüzdanları, her zaman internete bağlı olan MetaMask gibi "sıcak cüzdanlardan" daha güvenli olabilir. MetaMask'a bağlı donanım cüzdanları için tüm işlemlerin, ek bir güvenlik katmanı sağlayacak şekilde donanım cüzdanı tarafından onaylanması gerekir.
- Yalnızca güvenilir dApp'leri (merkezi olmayan uygulamalar) kullanın ve orijinalliklerini ve bütünlüklerini doğrulamak için akıllı sözleşme adreslerini doğrulayın. Gerçek NFT basım etkileşimleri, daha büyük bir dApp'in parçası olabilecek akıllı sözleşmelere dayanır. Sözleşme adresleri, Etherscan gibi bir blockchain gezgini olan MetaMask kullanılarak veya bazen doğrudan dApp içinden doğrulanabilir.
- Taklitlerden kaçınmak için resmi web sitesinin URL'sini bir kez daha kontrol edin. Kimlik avı sayfalarını çalan bazı kripto para birimleri, şüphelenmeyen kullanıcıları kandırmak için alan adının yanlış yazımına güvenebilir.
- Gerçek olamayacak kadar iyi görünen tekliflere şüpheyle yaklaşın. Kimlik avı sayfalarını çalan kripto para birimi, kurbanları uygun kripto para birimi döviz kurları veya NFT basım etkileşimleri için düşük gas ücretleri ile cezbeder.
Tüm Yorumlar