Kuzey Kore’nin devlet destekli hacker grubu Lazarus, Bybit kripto para borsasından 1,4 milyar dolar çalmak için ustaca bir plan uyguladı. Sahte bir borsa işlem simülatörü, bu devasa soygunun anahtarı oldu.
Bybit soygunun perde arkası
Kripto para borsası Bybit, 1,4 milyar dolarlık bir hack olayına kurban gittiğinde, kimse bu büyüklükteki bir kaybın nasıl mümkün olduğunu ilk anda anlayamadı. Müşterileri için yaklaşık 15 milyar dolarlık varlık barındıran ve güvenlik önlemleriyle tanınan bu beşinci büyük borsa, görünüşte sağlam bir yapıya sahipti. Ancak gerçek kısa sürede ortaya çıktı: Saldırı, Bybit’in kendi sistemlerinden değil, bağlı olduğu popüler kripto cüzdan sağlayıcısı Safe Wallet’tan kaynaklanıyordu.
Safe Wallet’ın sistemlerine yapılan adli bir inceleme, soygunun arkasındaki asıl suçluyu ortaya çıkardı: Kuzey Koreli hacker grubu Lazarus’un geliştirdiği sahte bir borsa işlem simülatörü.
Sahte simülatörle sızma operasyonu
Mandiant adlı siber güvenlik firmasının Safe Wallet için hazırladığı rapora göre, Lazarus Grubu, Safe Wallet’tan bir geliştiriciyi kandırarak bu sahte simülatörü indirtmeyi başardı. Simülatörün içine gizlenmiş kötü amaçlı kod, hacker’ların Safe Wallet sistemlerine erişim sağlamasına olanak tanıdı. Bu olay, Kuzey Koreli hacker’ların haftalar süren bir sızma operasyonunun yalnızca başlangıcıydı.
Borsa işlem simülatörleri, genellikle çevrimiçi ortamda bulunan ve kullanıcıların gerçek para riske atmadan finansal işlem pratiği yapmasına imkan tanıyan araçlardır. Lazarus, bu masum görünümlü yazılımı bir tuzak olarak kullanarak Safe Wallet’a sızdı. Safe Wallet sözcüsü, yaptığı açıklamada, dosyanın geliştiricinin bilgisayarına nasıl ulaştığının hala araştırıldığını belirtti.
Sosyal mühendislik ve Python açığı
Lazarus’un bu saldırıda sosyal mühendislik tekniklerini kullandığı tahmin ediliyor. Bu yöntem, hedef kişiyi psikolojik olarak manipüle ederek gizli bilgileri ifşa etmeye veya kötü amaçlı dosyaları indirmeye yönlendirmeyi içeriyor. Daha önce 2023’te sahte iş teklifleriyle benzer taktikler kullanan grup, artık borsa veya kripto işlem uygulamalarını bir kılıf olarak tercih ediyor.
Saldırının başarısında, simülatörün Python programlama dilinde yazılmış olması ve YAML dosya türündeki eski bir açık kritik rol oynadı. Bu açık, hacker’ların kötü amaçlı kodları gizlemesine ve fark edilmeden sistemde kalmasına imkan tanıdı. Güvenlik uzmanı Mikko Ohtamaa, bu tür uygulamaların kripto sektöründekilere doğal göründüğünü ve bu yüzden şüphe uyandırmadığını belirtti.
Büyük Bybit vurgunu
Lazarus, Safe Wallet’ın Amazon Web Services (AWS) hesabına ulaşmayı hedefledi. Planları, Safe Wallet websitesini ele geçirip Bybit’in işlemlerini kötü amaçlı bir işlemle değiştirmekti. AWS anahtarlarının her 12 saatte bir yenilenmesi nedeniyle, hacker’lar bir Safe Wallet geliştiricisinin çalışma saatlerine uyum sağlayarak gece boyunca çalıştı. Bu süreçte, Kuzey Kore’de oldukları varsayılırsa, uzun mesai saatleri harcamış olmalılar.
Tam 17 gün sonra, Lazarus 1,4 milyar doları çaldı. Soygundan dakikalar sonra ise tüm kötü amaçlı yazılım izlerini silerek bu yöntemi tekrar kullanma ihtimalini açık bıraktılar.
Sırada ne var?
Safe Wallet hack’i geniş çapta duyulduğundan, Lazarus’un bu taktiği tekrar kullanması zor görünüyor. Ancak uzmanlar, teslim yöntemleri değişse de temel saldırı yönteminin devam edebileceği konusunda uyarıyor. MetaMask’ın baş güvenlik araştırmacısı Taylor Monahan, daha önce yaptığı açıklamada, “Bu saldırı vektörüne kimse hazır değil. Bu tekrar tekrar yaşanacak,” demişti.
Lazarus’un yaratıcı ve gizli yöntemleri, kripto dünyasını tehdit etmeye devam ediyor. Bybit soygunu, siber güvenliğin ne kadar kırılgan olabileceğini bir kez daha gözler önüne serdi. Kriptokoin.com olarak aktardığımız son yılları Lazarus imzalı hack girişimlerine buradan göz atabilirsiniz.
