Kuzey Koreli Hacker Grubu Lazarus’tan Bybit’e Devasa Soygun
Kuzey Kore’nin devlet destekli hacker grubu Lazarus, Bybit kripto para borsasından muazzam bir şekilde 1,4 milyar dolar çalmayı başardı. Bu büyük soygunun ardındaki ustaca plan ise sahte bir borsa işlem simülatörüydü.
Bybit Soygununun Perde Arkası
Kripto para borsası Bybit, 1,4 milyar dolarlık bir hack olayıyla karşılaştığında, bu büyüklükte bir kaybın nasıl mümkün olabileceği konusunda birçok kişi şaşkın kaldı. Müşterileri için yaklaşık 15 milyar dolarlık varlık barındıran ve güvenlik önlemleriyle tanınan bu beşinci büyük borsa, dışarıdan gelen bir saldırı ile bu duruma düştü. Ancak olayın gerçeği, Bybit’in kendi sistemlerinden değil, bağlı olduğu popüler kripto cüzdan sağlayıcısı Safe Wallet’tan kaynaklandığıydı.
Safe Wallet’ın sistemlerine yapılan detaylı bir adli inceleme, soygunun arkasındaki gerçek suçluyu ortaya çıkardı: Kuzey Koreli hacker grubu Lazarus’un geliştirdiği sahte bir borsa işlem simülatörü.
Sahte Simülatörle Sızma Operasyonu
Mandiant adlı siber güvenlik firmasının Safe Wallet için hazırladığı rapora göre, Lazarus Grubu, Safe Wallet’tan bir geliştiriciyi kandırarak bu sahte simülatörü indirtmeyi başardı. Simülatörün içine gizlenmiş kötü amaçlı kod, hacker’ların Safe Wallet sistemlerine erişim sağlamasına olanak tanıdı. Bu durum, Kuzey Koreli hacker’ların haftalar süren bir sızma operasyonunun yalnızca başlangıcıydı.
- Borsa işlem simülatörleri, genellikle çevrimiçi ortamda bulunan ve kullanıcıların gerçek para riske atmadan finansal işlem pratiği yapmasına imkan tanıyan araçlardır.
- Lazarus, bu masum görünümlü yazılımı bir tuzak olarak kullanarak Safe Wallet’a sızmayı başardı.
Safe Wallet sözcüsü, yaptığı açıklamada, dosyanın geliştiricinin bilgisayarına nasıl ulaştığının hâlâ araştırıldığını ifade etti.
Sosyal Mühendislik ve Python Açığı
Lazarus’un bu saldırıda sosyal mühendislik tekniklerini kullandığı tahmin ediliyor. Bu yöntem, hedef kişiyi psikolojik olarak manipüle ederek gizli bilgileri ifşa etmeye veya kötü amaçlı dosyaları indirmeye yönlendirmeyi içeriyor. Daha önce 2023’te sahte iş teklifleriyle benzer taktikler kullanan grup, artık borsa veya kripto işlem uygulamalarını bir kılıf olarak tercih ediyor.
Saldırının başarısında, simülatörün Python programlama dilinde yazılmış olması ve YAML dosya türündeki eski bir açığın kritik rol oynadığı belirtiliyor. Bu açık, hacker’ların kötü amaçlı kodları gizlemesine ve fark edilmeden sistemde kalmasına olanak tanıdı. Güvenlik uzmanı Mikko Ohtamaa, bu tür uygulamaların kripto sektöründekilere doğal göründüğünü ve bu nedenle şüphe uyandırmadığını vurguladı.
Büyük Bybit Vurgunu
Lazarus, Safe Wallet’ın Amazon Web Services (AWS) hesabına ulaşmayı hedefliyordu. Planları, Safe Wallet web sitesini ele geçirip Bybit’in işlemlerini kötü amaçlı bir işlemle değiştirmekti. AWS anahtarlarının her 12 saatte bir yenilenmesi nedeniyle, hacker’lar bir Safe Wallet geliştiricisinin çalışma saatlerine uyum sağlayarak gece boyunca çalışmayı tercih ettiler. Bu süreçte, Kuzey Kore’de oldukları varsayılırsa, uzun mesai saatleri harcamış olmalılar.
Tam 17 gün sonra, Lazarus 1,4 milyar doları çaldı. Soygundan dakikalar sonra ise tüm kötü amaçlı yazılım izlerini silerek bu yöntemi tekrar kullanma ihtimalini açık bırakmayı başardılar.
Sırada Ne Var?
Safe Wallet hack’i geniş çapta duyulduğundan, Lazarus’un bu taktiği tekrar kullanması zor görünüyor. Ancak uzmanlar, teslim yöntemleri değişse de temel saldırı yönteminin devam edebileceği konusunda uyarıyor. MetaMask’ın baş güvenlik araştırmacısı Taylor Monahan, daha önce yaptığı açıklamada, “Bu saldırı vektörüne kimse hazır değil. Bu tekrar tekrar yaşanacak,” demişti.
Lazarus’un yaratıcı ve gizli yöntemleri, kripto dünyasını tehdit etmeye devam ediyor. Bybit soygunu, siber güvenliğin ne kadar kırılgan olabileceğini bir kez daha gözler önüne serdi. Kriptokoin.com olarak aktardığımız son yılları Lazarus imzalı hack girişimlerine buradan göz atabilirsiniz.
