ABD merkezli güvenlik firması Silent Push ve FBI’ın son açıklamalarına göre, Kuzey Kore bağlantılı siber saldırı grubu Lazarus, kripto para sektörüne yönelik bir saldırı daha denedi. Hackerlar, ABD’de kurulmuş gibi gösterilen sahte danışmanlık şirketleri üzerinden kripto geliştiricilerini tuzağa düşürerek zararlı yazılım bulaştırmayı amaçladı.
Silent Push araştırmacıları, Lazarus’a bağlı Contagious Interview adlı alt grubun, BlockNovas, Angeloper Agency ve SoftGlide adlı üç sahte şirket kurduğunu belirledi. Bu şirketlerin web siteleri, profesyonel iş ağı platformlarında oluşturulan sahte çalışan profilleri ve yapay zekâ ile üretilmiş görüntülerle desteklendi. Hedef alınan geliştiriciler, bu şirketlerin sunduğu sahte iş teklifleriyle kandırıldı ve başvuru sürecinde gönderilen dosyalar aracılığıyla zararlı yazılımlarla karşı karşıya bırakıldı.
Araştırmalara göre, saldırılarda üç farklı kötü amaçlı yazılım kullanıldı:
- BeaverTail: Sistem bilgilerini çalarak daha fazla zararlı yazılım yüklenmesini sağlıyor.
- InvisibleFerret: Kripto cüzdan bilgileri, pano verileri gibi hassas verileri hedef alıyor.
- OtterCookie: Erişim verilerini ele geçirme ve casusluk amacıyla çalışıyor.
Zararlı yazılımlar genellikle sahte iş görüşmeleri sırasında, başvuru yapan kişinin video göndermeye çalıştığı anda “hata mesajı” görüntüsüyle devreye sokuluyor. Kullanıcıların hatayı düzeltmesi için yönlendirildiği “kopyala-yapıştır” işlemi, yazılımın sisteme sızmasına neden oluyor.
FBI saldırıya müdahale etti
ABD Federal Soruşturma Bürosu (FBI), kampanyanın ana unsurlarından biri olan BlockNovas’ın alan adını ele geçirdi. FBI’ın yerleştirdiği uyarı mesajında, bu alan adının Kuzey Koreli hackerlar tarafından kötü amaçlarla kullanıldığı açıkça belirtildi. Diğer iki site—Angeloper ve SoftGlide—şu an hâlâ aktif durumda.
Silent Push raporunda, bu operasyonun sadece teknik açıdan değil, sosyal mühendislik bakımından da son derece gelişmiş olduğu vurgulanıyor. Özellikle AI destekli sahte çalışan görselleri ve çalıntı fotoğraflar kullanılarak oluşturulan sahte profiller, kripto sektöründeki bireylerin daha kolay kandırılmasını sağlıyor.
Lazarus Grubu, daha önce Ronin Network (600 milyon $) ve Harmony Bridge (100 milyon $) saldırılarıyla gündeme gelmişti. Bu son olay, grubun sadece büyük çaplı platformlara değil, bireysel geliştiricilere ve start-up projelere de odaklandığını gösteriyor. Lazarus Grubu’nun izinin sürdüğü bir diğer olay ise Bybit borsasına yönelik 21 Şubat 2025 tarihli saldırı oldu. Dubai merkezli kripto para platformu Bybit, o tarihte Ethereum soğuk cüzdanından 1,46 milyar dolar değerinde ETH’nin çalındığını açıkladı. Saldırı, borsanın multisig soğuk cüzdanından sıcak cüzdana rutin bir transfer sırasında, akıllı sözleşme imzalama sürecinin kötü niyetli bir şekilde manipüle edilmesiyle gerçekleşti.
Güvenlik araştırma firmaları Elliptic, Arkham Intelligence ve bağımsız araştırmacı ZachXBT, saldırının arkasında Lazarus Grubu olduğunu tespit ettiklerini duyurdu. Böylece bu saldırı, kripto tarihindeki en büyük tekil hırsızlık olarak kayıtlara geçti.
Şu anda FBI, sahte şirketlere ait alan adlarının çoğunu devre dışı bırakmış durumda. Ancak siber güvenlik uzmanları, Lazarus’un yeni yöntemlerle kripto sektörünü hedef almaya devam ettiğini ve özellikle bireysel geliştiricilere yönelik sosyal mühendislik saldırılarına karşı ekstra dikkatli olunması gerektiğini vurguluyor.
