Kuzey Koreli Hackerlar LinkedIn ve Sosyal Mühendisliği Nasıl Kullanarak 3,4 Milyar Dolarlık Kripto Para Çaldılar?

Yazar: Eric Johansson ve Tyler Pearson, DL News

Derleyen: Felix, PANews

Kuzey Koreli bilgisayar korsanları, kısmen LinkedIn saldırıları yoluyla en az 3,4 milyar dolarlık kripto para birimi çaldı.

3,4 milyar dolarlık rakam, 2007'den bu yana Kuzey Kore'nin Lazarus Grubu ile ilgili toplam hack saldırılarının miktarıdır; buna Ethereum ile Harmony arasındaki varlık zincirler arası köprüsü olan Horizon'a 2022'de yapılan ve yaklaşık 100 milyon dolarlık kayıpla yapılan saldırı da dahildir. 2023'te 35 milyon doların üzerinde değere sahip Atomic cüzdan hırsızlığı ve 2017'de WannaCry fidye yazılımı saldırısı.

Blockchain şirketi CertiK'in güvenlik operasyonları direktörü Hugh Brooks, "Lazarus Grubu, Kuzey Kore rejimi için önemli bir gelir kaynağı oldu" dedi.

Daha az bilinen şey, bilgisayar korsanlarının sosyal mühendislik yürütmek için LinkedIn gibi işe alım platformlarını nasıl kullandıklarıdır* (Not: Sosyal mühendislik, yalnızca bilgisayar teknolojisi olmayan bir izinsiz giriş türünü ifade eder. Çoğunlukla insanlar arasındaki etkileşime ve iletişime dayanır ve genellikle Saldırganın hedeflerine ulaşmak için normal güvenlik süreçlerini altüst etmek amacıyla başkalarını aldatmayı içerir ve kullanır; buna saldırganın istediği belirli bilgilerin elde edilmesi dahil olabilir)* ve kimlik avı saldırıları.

Siber suç çetelerinin 2019 yılında başlattığı "İn(ter)ception Operasyonu" bunun canlı bir örneğidir.

Siber güvenlik şirketi ESET'e göre Lazarus Group, iş arayanları kandırmak için LinkedIn ve diğer platformlarda iş ilanları yayınlayarak Avrupa ve Orta Doğu'daki askeri ve havacılık şirketlerini hedef alıyor ve iş arayanların gömülü yürütülebilir dosyalar içeren PDF'leri indirmelerini zorunlu kılıyor.

Hem sosyal mühendislik hem de kimlik avı saldırıları, kurbanları gardlarını düşürmeleri ve bir bağlantıya tıklamak veya bir dosyayı indirmek gibi güvenliği tehlikeye atan davranışlarda bulunmaları için kandırmak amacıyla psikolojik manipülasyon kullanmaya çalışır. Kötü amaçlı yazılımları, bilgisayar korsanlarının kurbanların sistemlerindeki güvenlik açıklarını hedeflemesine ve hassas bilgileri çalmasına olanak tanır.

Lazarus Group, kripto para ödeme sağlayıcısı CoinsPaid'e karşı altı aylık bir operasyon sırasında benzer yöntemler kullandı ve bu operasyon, bu yıl 22 Temmuz'da 37 milyon dolarlık hırsızlığa yol açtı.

CoinsPaid, bu yılın mart ayında CoinsPaid mühendislerinin "Ukraynalı kripto işleme girişimi" olarak adlandırılan bir şirketten teknik altyapıyla ilgili bir soru listesi aldığını açıkladı. Haziran ve Temmuz aylarında mühendislere sahte iş teklifleri geldi. 22 Temmuz'da bir çalışan, kazançlı bir iş için görüşme yaptığını düşündü ve sözde teknik testin bir parçası olarak kötü amaçlı yazılımı indirdi.

Daha önce hacker grubu, ekip üyeleri ve şirketin yapısı gibi tüm olası detayları içeren CoinsPaid hakkında bilgi edinmek için 6 ay harcamıştı. Çalışan kötü amaçlı kodu indirdiğinde, bilgisayar korsanı CoinsPaid'in sistemlerine erişebildi ve ardından yetkilendirme isteklerini başarılı bir şekilde taklit etmek ve CoinsPaid sıcak cüzdanından para çekmek için yazılımın güvenlik açığından yararlanabildi.

Saldırı boyunca, bilgisayar korsanları dağıtılmış hizmet reddi* gibi teknik saldırılar başlattılar (Not: Dağıtılmış hizmet reddi saldırısına DDoS denir. Bu tür ağ saldırısı, bir web sitesini veya ağ kaynaklarını kötü niyetli trafikle doldurmaya çalışır ve web sitesinin veya Ağ kaynaklarının çalışmaz hale gelmesi Normal çalışma Dağıtılmış hizmet reddi (DDoS) saldırısında, saldırgan aslında ihtiyaç duyulmayan çok büyük miktarda İnternet trafiği göndererek hedefin kaynaklarını tüketir ve normal trafiğin amaçlanan noktaya ulaşamamasına neden olur hedef)* ve Kaba kuvvet stratejisi olarak bilinen bir saldırı türü - sonunda doğru tahmin etme umuduyla şifrenizi birden çok kez gönderin.

Grubun aynı zamanda sıfır gün saldırılarından faydalanmasıyla da tanınıyor* (Not: Sıfır gün güvenlik açıkları veya sıfır gün güvenlik açıkları genellikle henüz yama uygulanmamış güvenlik açıklarını ifade eder; sıfır gün veya sıfır gün saldırıları ise bu güvenlik açıklarından yararlanan saldırıları ifade eder. Bu tür zafiyetleri sağlayın.Bunu sağlayın Zafiyetin detayları veya programı istismar eden kişi genellikle zafiyeti keşfedenler olur.Sıfır gün açıklarından yararlanma programı ağ güvenliği için büyük bir tehdit oluşturur.Bu nedenle sıfır gün zafiyetleri sadece Bilgisayar korsanlarının favorisi, ancak aynı zamanda ustalaşılan sıfır gün güvenlik açıklarının sayısı da bilgisayar korsanlarının teknik düzeyini değerlendirmede bir faktör haline geldi (önemli bir parametre)* ve para çalmak, casusluk yapmak ve genel sabotaj yapmak için kötü amaçlı yazılım dağıtmak.

2019 yılında ABD Hazine Bakanlığı, Lazarus Grubu'nu resmi olarak Kuzey Kore Keşif Servisi casuslarıyla ilişkilendirerek yaptırım uyguladı. ABD Hazine Bakanlığı da grubun terörist devletlerin nükleer silah programlarına fon sağladığına inanıyor.

İlgili Okuma: "Kuzey Koreli Hacker" Blockchain Mühendisiyle Röportaj Yapıyor: "Dünya Benim Ellerimde Harika Sonuçlar Görecek"