Lazarus Group Kuzey Kore devlet destekli bir siber suç örgütü. Bu örgütün ünü, finans kuruluşları, kripto para borsaları ve eğlence şirketleri de dahil olmak üzere küresel ekonomiyi etkileyen siber saldırılarından kaynaklanmaktadır. Örgütün faaliyetleri finansal hırsızlık, casusluk, siber saldırılar dahil olmak üzere geniş bir yelpazeyi kapsamaktadır.
Lazarus Group saldırıları nelerdir?
Örgütün öncelikli hedefleri arasında Kuzey Kore rejimi için gelir elde ederken uluslararası yaptırımları aşmak var. Devlet destekli eylemler ve diğer siber suçlar arasında doğrudan bağlantı kurmak, sofistike gerçekleşen siber saldırılar ötürü oldukça zor.
Sony skandalı (2014)
Kuzey Kore ile çalıştıklarına inanılan hacker’lar, Sony’nin ağından Kasım 2014’ün sonlarında büyük miktarda bilgi çaldılar. Ardından bilgisayar korsanları, Pastebin adlı internet sitesi üzerinden neredeyse her gün yaptıkları açıklamalardan birini kullanarak Sony’nin Kuzey Kore lideri Kim Jong Un’u öldüren iki Amerikalı’yı konu alan komedi filmi The Interview’un planlanan gösterimini iptal etmesini talep ederek
sinema salonlarına yönelik terör eylemleri düzenlemekle tehdit ettiler.
Başlangıçta Sony, filmi rafa kaldırarak tepki gösterdi. Dönemin ABD Başkanı Obama da dahil olmak üzere bu uygulamaya karşı çıkanlar, terörist tehditlere teslim olmanın kötü bir emsal oluşturacağı konusunda uyardı. Daha sonra stüdyo geri adım atarak filmi seçili sinemalarda ve çevrim içi olarak yayımladı.
ABD hükümeti Kuzey Kore’nin saldırıdan sorumlu olduğuna dair güçlü kanıtlara sahip olduğunu söyledi. Ancak Kuzey Kore rejimi bu iddiaları defalarca reddetti. Güvenlik uzmanları, FBI’ın şu ana kadar ortaya koyduğu zayıf kanıtları eleştirirken, Ulusal Güvenlik Ajansı (NSA) ise güvenlik nedenleriyle yayınlamadığı daha güçlü kanıtları elinde tuttuğunu öne sürdü.
Bangladeş banka soygunu (2016)
Bangladeş Bankası soygunu 81 milyon dolarlık bir hırsızlıkla sonuçlandı ve Filipinler’e kadar takip edildi. Siber suçlular hâlâ serbest ve saldırının içeriden mi yoksa siber güvenlik zaafiyetinden mi kaynaklandığı merak halen merak konusu.
Kötü amaçlı yazılım banka personelini izlemek ve kimlik bilgilerini çalmak için kullanıldı. Daha sonra bilgisayar korsanları, New York Merkez Bankası üyelerinden Bangladeş Bankası’ndan Filipinler’deki bir bankaya para transfer etmelerini istedi ve Manila şubesinde dört sahte hesap açıldı.
Para birkaç gün içinde çekildi. 50 milyon dolardan fazla para kumarhanelere havale edildi ve ardından tekrar çekildi. Kumarhanelerin finansal raporlaması gerekmediği için paranın izi daha sonra ortadan kayboldu.
Filipinler’deki banka çalışanlarından biri bankanın siber güvenlik politikasını ihlal etmek ve suçlulara içeriden bilgi sağladığı gerekçesiyle tutuklandı.
WannaCry fidye yazılımı saldırısı (2017)
WannaCry fidye yazılımı saldırısı, tüm dünyadaki kuruluşları etkileyen büyük bir güvenlik olayıydı. 12 Mayıs 2017’de WannaCry fidye yazılımı 150’den fazla ülkede 200 binden fazla bilgisayara yayıldı. Önemli kurbanlar arasında FedEx, Honda, Nissan ve İngiltere’nin Ulusal Sağlık Hizmeti (NHS) vardı.
Saldırıdan birkaç saat sonra WannaCry geçici olarak etkisiz hale getirildi. Bir güvenlik araştırmacısı esasen kötü amaçlı yazılımı kapatan bir “kill switch” keşfetti. Ancak etkilenen bilgisayarların çoğu, kurbanlar fidyeyi ödeyene veya şifrelemeyi tersine çevirebilene kadar şifrelenmiş ve kullanılamaz durumda kaldı.
2017’nin sonlarında, ABD ve İngiltere, WannaCry’nin arkasında Kuzey Kore hükümetinin olduğunu
duyurdu. Ancak bazı güvenlik araştırmacıları bu iddiayı teyit etmedi. Bazıları, WannaCry’nin doğrudan Kuzey Kore hükümetinden gelmese de Lazarus Group’un işi olabileceğini iddia ediyor. Diğerleri kötü amaçlı yazılımın, saldırının Kuzey Kore’ye ait olduğuna yönelik paravan olduğunu iddia ediyor ve WannaCry’ın tamamen başka bir yere ait olabileceğini öne sürüyor.
Lazarus Group kripto saldırıları
Bilinen ilk Kuzey Kore kripto para saldırısı, 2017’nin şubat ayında Güney Kore borsası Bithumb’dan o zamanların 7 milyon dolar değerinde kripto para çalınmasıyla gerçekleşti. 2017’nin sonuna gelindiğinde birkaç araştırmacı Güney Kore kripto para borsalarına karşı kimlik avı saldırıları, çok sayıda
hırsızlık kaydedildiğini aktarmıştı. Lazarus ayrıca mayıs ayında WannaCry fidye yazılımı saldırısında Bitcoin‘i kullandı ve kurbanları Bitcoin ile fidye ödemeye zorladı.
Web3 saldırıları arttı
2021’den 2023’e kadar Lazarus Group’un Web3 alanındaki saldırıları yoğunlaştı ve sektörden 1,9 milyar dolar çalındı. Örgüt büyük ölçüde merkeziyetsiz finans (DeFi) projelerine odaklandı ve bu, saldırılarının yüzde 83,8’ini oluşturdu.
Bazı yüksek profilli hırsızlıklar arasında 2022’nin mart ayında 625 milyon dolarlık Axie Infinity Ronin Network saldırısı ve Ağustos 2021’de Poly Network hack’i yer alıyor. 2023’te bu grubun geleneksel finans kurumlarına odaklanması esas olarak üçüncü çeyrekte görüldü.
Bu dönemde gerçekleşen diğer saldırılar arasında CoinEx, Alphapo, Stake ve Coinspaid yer aldı ve bu saldırılarda 2023’ün haziran-eylül arasında toplam 308,6 milyon dolar kaybedildiği açıklandı.
Kripto tarihinin en büyük saldırısı: Bybit
Kripto para sektörü 21 Şubat 2024’te Bybit borsasının 1,4 milyar dolarlık Ether (ETH) kaybetmesiyle tarihinin en büyük güvenlik ihlaline tanık oldu. Arkham Intelligence ve “kripto dedektifi” ZachXBT de dahil olmak üzere blokzincir güvenlik şirketi hacker’ları Lazarus Group’la ilişkilendirdi.
Söz konusu saldırı Bybit’in Ether’lerini sakladığı sözde soğuk cüzdana erişim sağladı ve 21 Şubat’taki fiyatlarla yaklaşık 1,4 milyar dolar değerindeki 401.000’den fazla Ether’i kimliği belirsiz bir adrese gönderdi. Bybit CEO’su Ben Zhou saldırıda kaybedilen ETH’lerin borsa rezervinin yaklaşık yüzde 70’ini oluşturduğunu söyledi. Zhou’nun açıklamalarına göre, Bybit borsası saldırıya uğradığından bu yana yaklaşık 446.870 adet $ETH (1,23 milyar dolar) alarak açığını kapattı ve müşterilerini mağdur etmedi.
