Kripto Varlıklar eyewash yükseldi! Kuzey Kore’nin Lazarus’u AI ile derin sahte Zoom kullanarak yüz milyonlarca doları çaldı.

Kuzey Kore şifreleme korsanları, yaygın bir şifreleme coin göz boyama yöntemini geliştiriyor. Dijital güvenlik şirketi Kaspersky'nin raporuna göre, Kuzey Kore'nin en korkutucu suç örgütü Lazarus Group'un bir kolu olan BlueNoroff APT, yapay zeka ve tekrarlayan video görüşmeleri kullanarak güvenilirliği artıran GhostCall ve GhostHire adında iki yeni etkinlik düzenliyor.

Kuzey Kore Lazarus Grubu İş Arayanlardan Avcılara Dönüştü

（kaynak：X）

Kuzey Koreli şifreleme korsanları, küresel bir tehdit haline geldi, ancak sızma stratejileri önemli ölçüde değişti. Bu suçlular geçmişte yalnızca Web3 şirketlerinde iş arıyor, iç çalışanlar haline gelerek varlıkları çalmaya veya arka kapılar yerleştirmeye çalışıyordu. Ancak son zamanlarda, sahte işe alım mesajları aracılığıyla kötü amaçlı yazılım yaymaya başladılar ve iş arayanlardan avcılara dönüştüler. Artık planları genişliyor ve yöntemleri daha da tanınmaz hale geliyor.

Lazarus Group, Kuzey Kore hükümeti destekli bir hacker grubu olup, dünyanın en aktif ve en başarılı kripto varlık hırsızları olarak kabul edilmektedir. Birleşmiş Milletler ve blockchain analiz şirketi Chainalysis'in tahminlerine göre, bu organizasyon 2017'den bu yana 3 milyar dolardan fazla kripto varlık çalmıştır. Bu fonlar, Kuzey Kore'nin nükleer silah ve füze programlarını finanse etmek için kullanılarak uluslararası güvenlik tehdidi haline gelmiştir.

Geçmişte, Lazarus'un yöntemleri nispeten kabaydı. Büyük miktarda oltalama e-postası göndererek, enfekte edilmiş dosyalar ekleyerek, birinin tıklamasını umuyorlardı. Ya da LinkedIn gibi profesyonel sosyal platformlarda iş arayan olarak taklit yaparak, kripto varlık şirketlerinin içine girmeye çalışıyorlardı. Bu yöntemler bazen başarılı olsa da, başarı oranı yüksek değildi, çünkü birçok şirket ilgili savunma mekanizmalarını kurmuştu.

Ancak, BlueNoroff APT, Lazarus Group'un finansal kuruluşlar ve Kripto Varlıklar şirketlerine özel bir dalı olarak daha yüksek bir uzmanlık ve uyum gösteriyor. Kaspersky araştırmacıları, GhostCall ve GhostHire adlı iki etkinliğin aynı yönetim altyapısını paylaştığını buldu ve bu, iyi koordine edilmiş çok boyutlu bir saldırı planı olduğunu gösteriyor.

GhostCall ve GhostHire çift yönlü şifreleme varlıklar eyewash

GhostCall ve GhostHire, Kripto Varlıklar eyewash'ının yeni bir aşamasını temsil ediyor; her ikisi de farklı hedeflere yönelik ancak benzer sosyal mühendislik teknikleri kullanıyor.

GhostCall: Web3 Yüksek Düzey Yatırımcılar için Eyewash

GhostCall'da, bu Kuzey Kore kripto varlıkları hacker'ları Web3 üst düzey yöneticilerini hedef alarak potansiyel yatırımcı olarak kendilerini tanıtmaktadır. Hedefin arka planını, şirket durumunu ve son faaliyetlerini araştırarak, sonrasında son derece kişiselleştirilmiş yatırım teklifleri veya işbirliği davetleri göndermektedirler. Bu mesajlar genellikle tanınmış girişim sermayesi fonları veya aile ofisleri adına gönderildiğini iddia etmekte ve milyonlarca dolarlık yatırım yapma ilgisini belirtmektedir.

Hedef yanıt verince, hackerlar genellikle Zoom veya Microsoft Teams kullandıklarını iddia ederek bir video konferansı düzenlerler. Ancak, iş gizliliğini korumak veya uyumluluk gerekliliklerine uymak için “güncellenmiş versiyon” veya “güvenli versiyon” adlı toplantı yazılımı bağlantısını gönderirler. Bu yazılım aslında kötü niyetli kodlar içeren bir kopyadır.

GhostHire: Blockchain mühendisleri için bir işe alım gözbağı

Diğer yandan, GhostHire, blockchain mühendislerini çekmek için cazip iş fırsatları sunmaktadır. Hackerlar, tanınmış kripto varlık şirketleri veya yeni projelerin işe alımcıları olarak kendilerini tanıtarak, piyasa koşullarının çok üzerinde maaş ve hisse senedi teşvikleri sunarlar. Adayların becerilerini “test etmek” için, bir programlama mücadelesi veya teknik görev tamamlamaları istenir.

Bu görev genellikle bir GitHub deposunu veya özel bir geliştirme ortamını indirmeyi içerir. Ancak, bu dosyalar kötü amaçlı yazılım içermekte ve çalıştırıldığında sistemi enfekte etmektedir. Kaspersky, bu hackerların şifreleme varlıkları geliştiricilerinin tercih ettiği işletim sistemlerine, özellikle macOS ve Linux'a odaklanmaya başladığını ve kötü amaçlı yazılım varyantlarını hedef alarak geliştirdiklerini belirtti.

Bu iki tür şifreleme eyewash'ın ortak bir dezavantajı var: kurbanların gerçekten şüpheli yazılımlarla etkileşimde bulunmaları gerekiyor. Bu, önceki dolandırıcılıkların başarı oranını zayıflatıyor, çünkü giderek daha fazla güvenlik bilincine sahip profesyonel, kaynağı belirsiz yazılımları indirmeyi reddediyor. Ancak, bu Kuzey Koreli hackerlar kaybedilen fırsatları yeniden değerlendirmek için yeni bir yol buldular ve bu, mevcut tehditlerin yükselmesinin anahtarı.

AI derin sahtecilik teknolojisi başarısızlığı yeni bir silah haline getiriyor

GhostCall ve GhostHire arasındaki güçlendirilmiş işbirliği, hacker'ların sosyal mühendislik tekniklerini geliştirmelerini sağlıyor; bu, mevcut kripto varlıklar göz önüne alındığında en tehlikeli evrim. AI tarafından üretilen içeriklerin yanı sıra, gerçek girişimcilerin hacklenmiş hesaplarını veya gerçek video görüşmesi parçalarını kullanarak dolandırıcılıklarını daha inandırıcı hale getirebiliyorlar.

Çalışma şekli aşağıdaki gibidir: Bir kripto varlık yöneticisi şüpheli bir işe alımcı veya yatırımcı ile bağlantısını kestiğinde, hackerlar kolayca pes etmezler. Aksine, tüm etkileşim sürecini, video görüşmesindeki herhangi bir görüntü, ses parçaları ve arka plan ortamı dahil olmak üzere kaydederler. Bu dolandırıcılık başarısız olsa bile, bu materyaller bir sonraki kurbanı hedef almak için silah haline gelir.

Yapay zeka kullanarak, hackerlar insanların tonlamasını, jestlerini ve çevresini şaşırtıcı bir gerçeklikle taklit eden yeni “sohbetler” sentezleyebilirler. Örneğin:

Derin Sahte Video Sentezi: Hackerlar, başarısız bir eyewash'tan elde edilen 30 saniyelik gerçek videoyu, kurbanın yüz ifadeleri ve dudak hareketlerinin mükemmel bir şekilde senkronize edilmiş sahte sesiyle birleştirerek 5 dakikalık bir “yatırım sunumu” veya “teknik mülakat” haline getirmek için AI araçlarını kullanabilir.

Ses Klonlama: Sadece birkaç saniyelik ses örneği ile modern AI araçları, neredeyse ayırt edilemeyecek ses klonları oluşturabilir. Hackerlar, “kurbanın” yeni bir eyewash içinde belirli bir yatırım fırsatını veya işe alım sürecini “tavsiye” etmesini sağlayabilir.

Kimlik Üst Üste: Daha karmaşık olanı, hacker'ların birden fazla başarısız eyewash malzemesini bir araya getirerek tam bir sahte ekosistem yaratmalarıdır. Örneğin, "A yatırımcısı"nın videoda “B kurucusunu” bahsetmesini sağlayabilirler ve her ikisi de önceki eyewash kurbanlarıdır.

Bu ne kadar tehlikeli, tahmin edilebilir. Bir kripto varlık projesi kurucusu yüksek farkındalık sayesinde bir saldırıdan kurtulabilir, ancak birkaç hafta sonra imajının diğer kurucuları veya yatırımcıları kandırmak için kullanıldığını keşfedebilir. Daha da kötüsü, bu derin sahte içerikler sosyal medya veya profesyonel ağlarda yayılabilir ve mağdurların itibarını zedeleyebilir.

Gerçek Saldırı Zinciri ve Savunma Önerileri

Hedef kim olursa olsun, gerçek şifreleme varlıkları eyewash saldırı zincirleri benzer bir modeli takip eder:

Aşama 1: Araştırma ve Temas

Hackerlar, LinkedIn, Twitter ve Kripto Varlıklar forumlarında hedefleri araştırıyor, kişisel ve profesyonel bilgileri topluyor ve ardından son derece kişiselleştirilmiş ilk mesajlar gönderiyor.

Aşama İki: Güven Oluşturma

Hedefin dikkatini dağıtarak güven ilişkisi kurmak için birden fazla iletişim ve video görüşmesi (belki derin sahtekarlık teknolojisi kullanarak) gerçekleştirmek.

Aşama Üç: İndirmeye Yönlendirme

Hedefin belirli bir yazılım veya dosyayı indirmesini makul nedenlerle (test, uyum, gizlilik) talep edin.

Aşama Dört: Sistem Sızması

Kötü amaçlı yazılım çalıştırıldığında, hackerlar sistem erişim izni alır, özel anahtarları, tohum ifadelerini çalar veya doğrudan varlıkları transfer eder.

Aşama Beş: Malzeme Toplama

Başarısız bir saldırı olsa bile, hackerlar etkileşim sürecinde tüm video, ses ve bilgileri toplayacak, bunları gelecekteki saldırılar için kullanacaklar.

Ana Savunma Önlemleri

Kimlik Doğrulama: Karşı tarafın kimliğini birden fazla bağımsız kanal aracılığıyla doğrulayın, sadece tek bir iletişim yöntemine güvenmeyin.

Standart Dışı Yazılımlara Hayır: Resmi olarak indirilen Zoom, Teams gibi araçların kullanımını sürdürün, herhangi bir “özel versiyonu” reddedin.

İzolasyon Test Ortamı: Kod veya belgeleri test etmeniz gerekiyorsa, sanal makine veya kumanda ortamı kullanın, asıl sistemde asla çalıştırmayın.

Yüksek Baskı Taktiklerine Dikkat Edin: Herhangi bir aciliyet hissi yaratan, hızlı karar alma talep eden veya “sadece bu seferlik bir fırsat” iddia eden durumlar son derece şüpheli olmalıdır.

Donanım Cüzdanı ve Çoklu İmza: Özel anahtarın donanım cüzdanında saklandığından emin olun, önemli varlıklar çoklu imza korumasıyla güvence altına alınır.

Bu kripto varlıklar gözbağı dolandırıcılıkları başarısız olsa bile, potansiyel zararlar hala çok büyüktür. Anormal veya yüksek baskı altındaki durumlarla karşılaşan herkes dikkatli olmalı, tanımadıkları yazılımları indirmemeli veya uygun olmayan talepleri kabul etmemelidir. Kuzey Kore'nin Lazarus Grubu'nun sürekli evrimi, kripto varlık güvenliğinin artık sadece bir teknik sorun olmadığını, aynı zamanda ulusal düzeydeki saldırganlara karşı uzun vadeli bir savaş haline geldiğini göstermektedir.