Bybit saldırısının ardındaki aktör: Lazarus Grubu

Şubat ayının bir sabahı, SEAL 911 grup sohbetinde alarm zilleri çalmaya başladı. Bybit, soğuk cüzdanlarından 1 milyar doların üzerinde değere sahip token’ı yeni bir adrese taşıdıktan sonra, 200 milyon doları aşkın LST likidasyonunu hızla başlattı. Dakikalar içinde, Bybit ekibiyle kurulan temas ve yapılan bağımsız analizler (multisig sistemler ve daha önce doğrulanmış bir Safe Wallet uygulamasının, yeni bir kontratla değiştirilmesi dahil) bunun rutin bir bakım olmadığını ortaya koydu. Kripto tarihindeki en büyük saldırılardan biri başlamıştı — ve ekip olayların tam ortasındaydı.
Ekip, geniş araştırma topluluğuyla birlikte, fonların izini sürmeye ve ilgili borsaları bilgilendirmeye başlarken, diğer uzmanlar saldırının doğasını ve ilave fonların tehlikede olup olmadığını anlamaya çalıştı. Neyse ki saldırganın kimliği konusunda şüpheye yer bırakmayan işaretler vardı. Son yıllarda kripto borsalarından milyarlarca dolar çalabilen tek bir tehdit aktörü öne çıkmıştı: Kuzey Kore, yani Demokratik Kore Cumhuriyeti (DPRK).
Ancak saldırının detaylarına dair ellerde çok az veri bulunuyordu. Kuzey Koreli saldırganların karmaşık yöntemleri ve üst düzey iz kaybettirme becerileri, ihlalin kökenini belirlemeyi ve hangi ekibin saldırıdan sorumlu olduğunu tespit etmeyi zorlaştırıyordu. Elde sadece DPRK’nın sıklıkla sosyal mühendislik teknikleriyle kripto borsalarını hedef aldığı yönünde istihbarat bulunuyordu. Buna dayanarak, Bybit’in multisig imzacılarını hedef aldıkları ve imzalama sürecine kötü amaçlı yazılımlar aracılığıyla müdahale ettikleri varsayılmıştı.
Bu varsayımın yanlış olduğu kısa sürede anlaşıldı. Birkaç gün içerisinde, Kuzey Koreli aktörlerin doğrudan Safe Wallet altyapısını hedef alarak, Bybit’e özel olarak özelleştirilmiş bir kötü amaçlı kod yüklemesi gerçekleştirdikleri ortaya çıktı. Saldırının karmaşıklığı, mevcut güvenlik modelleri açısından öngörülenin çok ötesindeydi ve sektörde ciddi zafiyetlere işaret ediyordu.
Kuzey Koreli siber tehdit aktörleri, kripto endüstrisi için giderek artan bir risk unsuru haline geliyor. Anlaşılmayan bir düşmanla etkili mücadele mümkün değildir. DPRK’nın siber operasyonlarına dair pek çok belge ve analiz bulunmasına rağmen, bu bilgileri bir araya getirmek oldukça güç. Bu makalenin, Kuzey Kore’nin işleyiş biçimi, saldırı stratejileri ve operasyonel prosedürlerine dair daha açık bir çerçeve sunarak, doğru güvenlik önlemlerinin hayata geçirilmesine katkı sağlaması amaçlanmaktadır.

Kuzey Kore’nin Siber Operasyonlarının Organizasyonel Yapısı

Kuzey Kore’nin siber faaliyetlerini sınıflandırma konusunda en yaygın yanılgılardan biri, tüm bu operasyonların tek bir grup, yani “Lazarus Grubu” adı altında toplanmasıdır. Günlük konuşma dilinde bu kullanım anlaşılabilir olsa da, Kuzey Kore kaynaklı sistematik siber tehditlerin detaylı bir şekilde analiz edilmesi söz konusu olduğunda, daha spesifik bir terminoloji kullanmak büyük önem taşır.
Kuzey Kore’nin siber operasyonlarının arkasındaki organizasyonel yapı, ülkenin siyasi hiyerarşisine dayanır. En üstte, tüm devlet kurumlarını yöneten Kore İşçi Partisi (WPK) yer alır. Bu yapı, hem Kore Halk Ordusu’nu (KPA) hem de Merkez Komite’yi kapsar. KPA’nın bünyesinde, Genelkurmay Başkanlığı’na (GSD) bağlı olarak faaliyet gösteren Keşif Genel Bürosu (RGB) yer alır. Merkez Komite’nin altındaki Cephane Endüstri Departmanı (MID) ise ülkenin askeri-endüstriyel altyapısına ve yurtdışında faaliyet gösteren IT personeline ev sahipliği yapar.
Kripto ekosistemine yönelik gözlemlenen siber tehditlerin çok büyük bir kısmı RGB kaynaklıdır. Lazarus Grubu’nun yanı sıra RGB ile ilişkilendirilen diğer aktörler arasında AppleJeus, APT38, DangerousPassword ve TraderTraitor gibi gruplar bulunmaktadır. MID ise genellikle Kuzey Kore’nin balistik füze programı ile ilişkilendirilir. Aynı zamanda, yurtdışında çalışan Kuzey Koreli geliştiricilerin çoğu da bu yapının denetimindedir. İstihbarat kaynakları bu ağları “Bulaşıcı Mülakat” ve “Wagemole” olarak sınıflandırmaktadır.

Lazarus Grubu’nun Evrimi

Lazarus Grubu, küresel çapta en karmaşık ve yıkıcı siber saldırılardan bazılarını gerçekleştirmiş olan, oldukça gelişmiş bir tehdit aktörüdür. Grup, 2016 yılında Sony Pictures’a düzenlenen saldırının ardından siber güvenlik topluluğu tarafından geniş ölçekte tanımlanmıştır.
2014’te Sony’nin “The Interview” filmi üzerinden Kuzey Kore lideri Kim Jong-un’u hicvetmesi, grubun dikkatini çekmiş ve saldırıyla karşılık verilmiştir. Bu saldırıda terabaytlarca veri çalınmış, yüzlerce gigabaytlık hassas içerik sızdırılmış ve şirketin dijital altyapısı ciddi biçimde tahrip edilmiştir.
2016 yılında, benzer bir grup Bangladeş Merkez Bankası’nı hedef alarak SWIFT sistemine erişmiş ve yaklaşık 1 milyar dolarlık transfer girişiminde bulunmuştur. Operasyonel açıdan incelendiğinde, yerel tatil takvimleri ve uluslararası transfer saat farkları gibi faktörler ustalıkla kullanılmıştır.
2017’de gerçekleşen WannaCry 2.0 fidye yazılımı saldırısı ise, Lazarus Grubu’nun yalnızca kripto varlıklar değil, küresel dijital altyapılar için de bir tehdit oluşturduğunu bir kez daha göstermiştir. Microsoft sistemlerindeki bir sıfır gün açığını kullanan bu saldırı, kısa sürede yüz binlerce cihazı etkileyerek milyarlarca dolarlık zarara yol açmıştır. Neyse ki, güvenlik araştırmacısı Marcus Hutchins tarafından tespit edilen bir “kill switch”, yayılımı sınırlamıştır.
Bu olaylar, Lazarus Grubu’nun teknik kapasitesinin ötesinde operasyonel strateji geliştirme yeteneğine de sahip olduğunu göstermektedir. Grubun ana hedeflerinden biri, Kuzey Kore rejimine gelir sağlamak olup, kripto para endüstrisine yönelmeleri kaçınılmaz bir evrim süreci olarak değerlendirilebilir.

Lazarus Türevleri ve Gelişen Tehdit Aktörleri

Zamanla, “Lazarus Grubu” terimi medya tarafından Kuzey Kore’nin tüm siber faaliyetlerini kapsayan genel bir etiket haline gelince, siber güvenlik endüstrisi, bu grup ve ona bağlı operasyonlar için daha spesifik isimlendirmeler geliştirmeye başladı. Bu bağlamda APT38 öne çıkan örneklerden biridir. Yaklaşık 2016 yılında, finansal siber saldırılara odaklanmak üzere Lazarus’tan ayrılarak bağımsız bir tehdit aktörü olarak faaliyet göstermeye başlamıştır. İlk hedefleri arasında merkeziyetsiz olmayan bankalar yer alırken, ilerleyen süreçte odaklarını dijital varlıklara yöneltmişlerdir. Bangladesh Merkez Bankası vakası bu geçişin önemli örneklerinden biridir.
2018 yılında ise, kripto kullanıcılarını hedef alan zararlı yazılımlar aracılığıyla sahte yazılım platformları dağıtan yeni bir tehdit olan AppleJeus ortaya çıkarıldı. Aynı yıl, ABD Hazine Bakanlığı Yabancı Varlıkları Kontrol Ofisi (OFAC), Kuzey Koreli ajanların kullandığı iki paravan şirkete yaptırım uygulayarak kamuoyuna duyuruda bulundu. Bu gelişme, Kuzey Koreli siber operatörlerin sahte kimliklerle küresel teknoloji sektörüne sızmaya başladıklarını somut bir şekilde ortaya koymuştur. Bu aktörlerin, özellikle freelance yazılımcı kimliğiyle merkeziyetsiz sistemlerde iş alarak siber güvenlik bariyerlerini aşma stratejileri, sonraki yıllarda daha da yaygın hale gelmiştir.

Kuzey Koreli BT Çalışanları: Siber Tehditin Gelişen Yüzü

Kuzey Kore bağlantılı BT çalışanlarının ilk kez 2018’de ABD Hazine Bakanlığı’nın Yabancı Varlıklar Kontrol Ofisi (OFAC) yaptırımlarında anılmasıyla dikkat çekmesine rağmen, Unit 42 tarafından 2023 yılında yayımlanan rapor bu konuya dair daha kapsamlı bir değerlendirme sunmuştur. Raporda iki farklı tehdit aktörü tanımlanmıştır: Bulaşıcı Mülakat ve Wagemole.

Infectious Interview Nedir?

Infectious Interview, geliştiricileri sahte iş görüşmeleriyle kandırmak için bilinen teknoloji şirketlerinin işe alım uzmanlarını taklit eden aktörler tarafından yürütülmektedir. Görüşme sürecinde adaylardan, yerel hata ayıklama amacıyla bir yazılım deposunu klonlamaları istenir. Ancak bu depo, aslında kötü amaçlı bir arka kapı içerir. Kod çalıştırıldığında, saldırganlar hedef sistem üzerinde kontrol sağlayabilmektedir. Bu yöntemle yürütülen faaliyetlerin sürdüğü ve son olarak 11 Ağustos 2024 tarihinde bir vakayla kayda geçtiği bildirilmiştir.

Wagemole Nedir?

Wagemole ise farklı bir yaklaşım benimsemektedir. Bu aktörler hedeflerini aldatmak yerine, doğrudan meşru şirketler tarafından istihdam edilirler. Görünüşte sıradan birer yazılım mühendisi gibi çalışsalar da, üretkenlikleri genellikle düşüktür. Ancak bazı belgelenmiş durumlarda, bu kişilerin sistem erişimlerini kötüye kullanarak kripto varlıkları ele geçirdiği görülmüştür. Örneğin Munchables vakasında, Kuzey Kore bağlantılı bir çalışanın akıllı sözleşmeler üzerinde sahip olduğu ayrıcalıklı erişimi kullanarak tüm fonları zimmetine geçirdiği tespit edilmiştir.
Wagemole ajanlarının teknik yeterlilik seviyeleri oldukça çeşitlidir. Bazıları jenerik özgeçmişlerle başvuru yapıp video görüşmelerini reddederken, daha gelişmiş olanlar özel hazırlanmış CV’ler sunmakta, deepfake teknolojisiyle video mülakatlara katılmakta ve sahte kimlik belgeleri (ör. sürücü belgesi, fatura) sağlamaktadır. Bazı durumlarda bu ajanlar, hedef organizasyonda bir yıla kadar kalmakta ve sistemsel erişimlerini daha büyük çaplı saldırılar ya da tüm fonların çekilmesi gibi operasyonlar için bekletmektedir.

AppleJeus Nedir?

AppleJeus, temel olarak kötü amaçlı yazılım dağıtımına odaklanmakta ve gelişmiş tedarik zinciri saldırıları gerçekleştirme kapasitesine sahiptir. 2023 yılında gerçekleşen 3CX tedarik zinciri ihlali, tehdit aktörlerinin 3CX’in VoIP yazılımını kullanan yaklaşık 12 milyon kullanıcıyı potansiyel olarak hedef almalarına olanak tanımıştır. Daha sonra, 3CX’in de tedarikçilerinden biri olan Trading Technologies 13 üzerinden gerçekleştirilen bir başka tedarik zinciri saldırısından etkilendiği tespit edilmiştir.
Kripto ekosisteminde, AppleJeus başlangıçta, meşru kripto cüzdanları veya işlem platformları gibi görünen kötü amaçlı yazılımları yaymak amacıyla hareket etmiştir. Ancak zamanla, saldırı yöntemlerinde evrim geçirmiştir. Ekim 2024’te Radiant Capital, Telegram üzerinden kendini güvenilir bir dış yüklenici olarak tanıtan bir tehdit aktörü tarafından hedef alınmış ve kötü amaçlı yazılım bulaştırılmıştır. Bu saldırı, Mandiant tarafından AppleJeus operasyonlarıyla ilişkilendirilmiştir.

Dangerous Password Nedir?

Dangerous Password, kripto varlık sektörünü hedef alan düşük karmaşıklıkta sosyal mühendislik saldırılarıyla tanınmaktadır. 2019’dan bu yana JPCERT/CC, bu tehdidin kullanıcıları yanıltmak amacıyla cazip eklere sahip oltalama e-postaları gönderdiğini belgelemektedir. Son yıllarda, Tehlikeli Şifre kripto sektöründe tanınmış kişiler gibi davranarak, “Stablecoin’lerde ve Kripto Varlıklarda Büyük Riskler” gibi başlıklara sahip e-postalarla kullanıcıları kandırmaya çalışmıştır.
Günümüzde Dangerous Password, oltalama kampanyalarını genişleterek diğer platformlarda da faaliyet göstermektedir. Örneğin Radiant Capital, güvenlik araştırmacısı kisvesi altında biri tarafından Telegram üzerinden “Penpie_Hacking_Analysis_Report.zip” isimli bir dosya ile oltalama mesajı aldığını bildirmiştir. Ayrıca kullanıcılar, gazeteci veya yatırımcı gibi davranan kişiler tarafından aranarak ilgisiz video konferans uygulamaları aracılığıyla toplantı yapmaları yönünde ikna edilmeye çalışıldıklarını belirtmiştir. Bu uygulamalar, kullanıcıyı tek seferlik bir yükleyici indirmeye yönlendirir ve bu süreçte cihaza kötü amaçlı yazılım yerleştirir.

TraderTraitor Nedir?

TraderTraitor, kripto sektörü özelinde faaliyet gösteren en sofistike Kuzey Koreli tehdit aktörlerinden biridir ve Axie Infinity ile Rain.com gibi projelere yönelik saldırılarla ilişkilendirilmiştir. TraderTraitor genellikle büyük rezervlere sahip platformları hedef alır ve sıfır gün açıkları kullanmak yerine, yüksek derecede hedeflenmiş sosyal mühendislik teknikleriyle kurbanlarını tuzağa düşürür. Axie Infinity vakasında, tehdit aktörleri LinkedIn üzerinden bir mühendisle iletişime geçmiş, onu görüşmelerle yönlendirmiş ve sonrasında kötü amaçlı yazılım içeren sahte bir “iş teklifi” ile cihazını enfekte etmiştir.
WazirX saldırısında ise, işlem imzalama sürecinde kullanılan bir bileşen tehlikeye atılmıştır. TraderTraitor aktörleri sistemli bir biçimde para transferi yaparak sıcak cüzdandaki tüm fonları boşaltmış, ardından mühendisleri soğuk cüzdanı dengelemeye zorlamıştır. Bu esnada imzalanan bir işlemle, soğuk cüzdanın kontrolü fark edilmeden tehdit aktörlerine devredilmiştir. Bu saldırı, Şubat 2025’te Bybit’e yönelik gerçekleştirilen başka bir operasyona benzemektedir. TraderTraitor, burada Safe{Wallet} altyapısını hedef almış, Safe Wallet arayüzüne zararlı bir JavaScript yerleştirmiştir. Bybit soğuk cüzdanı yeniden dengelemeye çalıştığında, kötü amaçlı kod aktive olmuş ve cüzdanın kontrolü tehdit aktörlerine geçmiştir.

Güvende Kalın

Kuzey Koreli aktörlerin sıfır gün açıkları kullanabilme kabiliyeti bulunmasına rağmen, şimdiye kadar bu tür açıkların doğrudan kripto sektörüne karşı kullanıldığına dair belgelenmiş bir vaka mevcut değildir. Bu nedenle, mevcut tehditlerin büyük kısmına karşı klasik güvenlik önlemleri etkili olmaya devam etmektedir.
Bireyler için, sosyal mühendislik saldırılarına karşı dikkatli olmak kritik öneme sahiptir. Örneğin, size gizli bilgi sunmayı teklif eden ya da zaman baskısıyla hareket etmenizi isteyen bir kişiyle karşılaşırsanız, durup mantıklı düşünmeye çalışın.
Kurumsal yapılar için, asgari ayrıcalık ilkesi uygulanmalıdır. Hassas altyapılara erişimi olan personel sayısı sınırlandırılmalı, güçlü şifre politikaları ve çok faktörlü kimlik doğrulama (2FA) zorunlu hale getirilmelidir. İş ve kişisel cihazlar ayrılmalı, iş sistemlerine MDM (Mobil Cihaz Yönetimi) ve EDR (Uç Nokta Güvenliği) çözümleri entegre edilmelidir.
TraderTraitor gibi tehdit aktörlerinin sıfır gün açıkları olmaksızın bile büyük zararlar verebildiği göz önüne alındığında, tek bir güvenlik açığının sistemsel çöküşe neden olmasını engelleyecek yedek mekanizmalar oluşturulmalıdır.
Tüm önlemlere rağmen bir ihlal yaşanırsa, hala umut vardır. FBI, Kuzey Kore bağlantılı saldırıları izlemek ve önlemek üzere özel ekipler kurmuş durumdadır ve yıllardır mağdurlarla doğrudan temas kurarak destek sağlamaktadır. Bu nedenle, kritik güvenlik uyarılarına zamanında ulaşmak için kamuya açık iletişim bilgilerine sahip olunmalı ve sektör genelinde iş birliğine dayalı ilişkiler sürdürülebilmelidir (örneğin SEAL 911 gibi).

Yasal Uyarı

Bu makale, Foresightnews kaynağından alıntılanmıştır. İçeriğin tüm telif hakları yazarı Samczsun’a aittir. Telif haklarına ilişkin sorularınız için bizimle iletişime geçebilirsiniz.
Bu içerik yalnızca bilgilendirme amacı taşımaktadır ve yazarın kişisel görüşlerini yansıtır. Gate.TR’nin resmi görüşlerini yansıtmamaktadır. İçerikte yer alan marka, kurum, kuruluş veya kişilerle Gate.TR’nin herhangi bir ilişkisi bulunmamaktadır.
Bu içerik, yatırım tavsiyesi niteliğinde değildir. Dijital varlık alım-satımını teşvik etmeyi amaçlamaz, yalnızca bilgilendirme amaçlıdır.
Kripto varlıklar yüksek risk içerir ve ciddi fiyat dalgalanmalarına maruz kalabilir. Yatırım kararı vermeden önce kendi finansal durumunuzu değerlendirmeli ve kararınızı bağımsız olarak vermelisiniz.
Makalede yer alan veriler ve grafikler yalnızca genel bilgilendirme amacıyla sunulmuştur. Tüm içerikler özenle hazırlanmış olsa da, olası hata veya eksikliklerden dolayı sorumluluk kabul edilmez.
Gate Akademi ekibi bu içeriği farklı dillere çevirebilir. Hiçbir çeviri makale; kopyalanamaz, çoğaltılamaz veya izinsiz dağıtılamaz.