Kuzey Kore hacker grubu, kötü amaçlı yazılımıyla kripto şirketlerini hedef aldı, Kaspersky doğruladı
Kuzey Kore’deki bilgisayar korsanlarının Güney Koreli kripto para şirketlerine saldırmak için “Durian” adlı yeni bir kötü amaçlı yazılım çeşidini kullandığı bildirildi.
Türkiye’de de faaliyet gösteren siber güvenlik şirketi Kaspersky, 9 Mayıs’ta yayınladığı raporda, Kuzey Kore hacker grubu Kimsuky’nin kötü amaçlı yazılımı en az iki kripto şirketine yönelik hedefli saldırılarda kullandığını bildirdi.
Saldırılar, yalnızca Güney Koreli kripto firmaları tarafından kullanılan siber güvenlik yazılımları istismar edilerek gerçekleştirildi. Durian yazılımı, “AppleSeed” adı verilen bir backdoor (arka kapı), LazyLoad adı verilen özel bir proxy aracı ve Chrome Remotre Desktop gibi diğer orijinal programlar da dahil olmak üzere sürekli çalışan bir casus yazılımı olarak işlev görüyor.
“Durian, teslim edilen komutların yürütülmesine, ek dosya indirmelerine ve dosyaların dışarı aktarılmasına olanak tanıyan kapsamlı backdoor işlevselliğine sahip.”
Kaspersky resmi açıklaması
Ayrıca siber güvenlik firması, LazyLoad’un Kuzey Koreli bilgisayar korsanlığı konsorsiyumu Lazarus grubunun bir alt kuruluşu olan Andariel tarafından da kullanıldığını keşfetti. Bu şekilde, Andariel ve Kimsuky’nin arasında “zayıf” da olsa bir bağlantı olduğu tahmin ediliyor.
İlk kez 2009 yılında ortaya çıkan Lazarus, en kötü şöhrete sahip kripto para hacker gruplarından biri haline geldi.
30 Nisan’da blok zinciri araştırmacısı olan ZachXBT, Lazarus’un 2020 ve 2023 yılları arasında 200 milyon doların üzerinde kripto para birimini başarıyla akladığını paylaştı.
Mayıs ayında Birleşmiş Milletler Güvenlik Konseyi, Kuzey Kore’nin döviz gelirlerinin neredeyse yarısını oluşturan siber saldırılara artan katılımını gösteren bir rapor yayınladı. Soruşturmaların hala devam etmesine rağmen, Lazarus’un altı yılda 3 milyar doların üzerinde kripto para çaldığı düşünülüyor.
Lazarus, 2023 yılında çalınan tüm kripto varlıklarının %17’sinden fazlasını çalmakla suçlandı. Immunefi’nin 28 Aralık’ta yayınladığı bir rapora göre, 2023 yılında saldırılar ve istismarlar nedeniyle 1,8 milyar dolarlık kripto para kaybedildi.
Söz konusu hack grubu, çalınan fonların kökenlerini gizlemek için kripto karıştırıcılarını (mixer) yaygın bir şekilde kullandığı bildirildi. Gizlilik protokolleri aracılığıyla para aklamaya ilişkin endişeler devam ederken Railgun, Kuzey Koreli bilgisayar korsanları veya yaptırım uygulanan kişiler tarafından kullanıldığı yönündeki iddiaları reddetti.
İddialar, Kuzey Koreli Lazarus Grubunun Haziran 2022’deki bir siber saldırının ardından Railgun aracılığıyla 60 milyon doların üzerinde Ethereum akladığını öne süren FBI raporunun ardından ortaya çıktı.
ABD’nin kripto para karıştırıcısı Tornado Cash’e yönelik yaptırımlarının ardından Railgun’un bu tür operasyonlar için tercih edilen bir alternatif haline geldiğine dair spekülasyonlar ortaya çıktı.
