Kuzey Koreli Hacker Grubu Lazarus Group'un siber saldırıları ve fon aklama yöntemlerinin analizi

Son zamanlarda, Birleşmiş Milletler'in gizli bir raporu, Kuzey Kore'nin Hacker grubu Lazarus Group'un en son suç faaliyetlerini ortaya koydu. Bu grup, bu yılın Mart ayında bir sanal para platformu aracılığıyla 147.5 milyon dolarlık kara para akladı; bu fon, geçen yıl bir kripto para borsasına yapılan hırsızlık eyleminden kaynaklanıyor.

Birleşmiş Milletler Güvenlik Konseyi yaptırım komitesinin denetçileri, 2017 ile 2024 yılları arasında meydana gelen 97 adet Kuzey Koreli hackerların kripto para şirketlerine yönelik siber saldırısını araştırıyor. Saldırılara karışan miktar 3.6 milyar dolara kadar çıkıyor. Bunlar arasında geçen yılın sonunda bir kripto para borsasına yönelik saldırı yer alıyor; bu saldırıda 147.5 milyon dolar çalındı ve ardından bu yılın Mart ayında aklama işlemi tamamlandı.

2022'de, ABD bu sanal para platformuna yaptırımlar uyguladı. Ertesi yıl, platformun iki kurucu ortağı 1 milyar dolardan fazla paranın aklanmasına yardımcı olmakla suçlandı; bu miktarın bir kısmı Kuzey Kore ile bağlantılı siber suç örgütü Lazarus Group ile ilişkilendirildi.

Bir kripto para analistinin araştırması, Lazarus Group'un 2020 Ağustos ile 2023 Ekim arasında 200 milyon dolar değerinde kripto parayı yasal paraya dönüştürdüğünü gösteriyor.

Lazarus Group uzun zamandır dünya genelinde büyük ölçekli siber saldırılar ve finansal suçların arkasındaki isim olarak görülmektedir. Hedefleri, banka sistemleri, kripto para borsaları, devlet kurumları ve özel sektör gibi birçok alana yayılmaktadır. Aşağıda, bu organizasyonun birkaç tipik saldırı vakası detaylı bir şekilde analiz edilerek karmaşık suç işleme yöntemleri ortaya konulacaktır.

Lazarus Group'un sosyal mühendislik ve kimlik avı saldırıları

Avrupa medyasına göre, Lazarus, Avrupa ve Orta Doğu'daki askeri ve havacılık şirketlerini saldırı hedefi olarak seçti. Sosyal medya platformlarında sahte iş ilanları yayınlayarak, iş arayanları kötü amaçlı kod içeren PDF dosyalarını indirmeye kandırarak oltalama saldırıları gerçekleştirdiler.

Bu tür sosyal mühendislik ve kimlik avı saldırıları, kurbanların dikkatini dağıtmak için psikolojik manipülasyon yöntemleri kullanarak, bağlantılara tıklamaları veya dosyaları indirmeleri gibi tehlikeli işlemleri gerçekleştirmelerini sağlar. Hacker, dağıttığı kötü amaçlı yazılım aracılığıyla kurbanın sistemindeki güvenlik açıklarını istismar edebilir ve hassas bilgileri çalabilir.

Lazarus, ayrıca bir kripto para ödeme sağlayıcısına altı ay süren bir saldırı düzenleyerek şirketin 37 milyon dolar kaybetmesine neden oldu. Saldırı süresince, hacker mühendislerine sahte iş fırsatları gönderirken, dağıtılmış hizmet reddi gibi teknik saldırılar başlattı ve şifreleri kırmaya çalıştı.

Kripto para borsalarına yönelik bir dizi saldırı

2020 yılı Ağustos ile Ekim ayları arasında, birçok kripto para borsası saldırıya uğradı. 24 Ağustos'ta, bir Kanada borsasının cüzdanı çalındı. 11 Eylül'de, bir proje ekibi tarafından kontrol edilen birden fazla cüzdanda yetkisiz transferler gerçekleşti ve 400.000 dolar kaybedildi. 6 Ekim'de, başka bir borsa güvenlik açığı nedeniyle 750.000 dolar değerinde kripto varlık çalındı.

Bu çalınan fonlar 2021 yılının başlarında aynı adrese toplandı. 11-15 Ocak tarihleri arasında, saldırganlar bir karıştırma hizmeti aracılığıyla neredeyse 4500 ETH yatırıp çekti. 2023 yılına gelindiğinde, bu fonlar birçok transfer ve döviz işlemi sonrası, nihayetinde belirli bazı depozit adreslerine gönderildi.

Ünlülere Yönelik Saldırılar

14 Aralık 2020'de, bir yardım sigortası platformunun kurucusu Hacker saldırısına uğradı ve 8.3 milyon dolar değerinde token kaybetti. Saldırgan daha sonra fonları birden fazla adrese transfer edip değiştirdi, bazı fonlar Bitcoin ağına çapraz zincir yapıldı ve ardından Ethereum'a geri döndü, daha sonra da karıştırma platformu aracılığıyla bulanıklaştırıldı.

16-20 Aralık 2020'de, saldırgan 2500'den fazla ETH'yi bir karıştırma hizmetine gönderdi. Birkaç saat sonra, başka bir adres bu fonları çekmeye başladı. Mayıs-Temmuz 2021'de, saldırgan 11 milyon USDT'yi bir depo adresine transfer etti. Şubat-Haziran 2023'te, 11 milyon USDT'den fazla başka depo adreslerine transfer edildi.

En Son Saldırı Vakası

2023 yılının Ağustos ayında, iki yeni saldırı olayı gerçekleşti. Çalınan 1524 ETH, bir karıştırma hizmetine aktarıldı. Aynı yılın 12 Ekim'inde, bu fonlar yeni bir adrese çekildi. Kasım ayında, bu adres fon transferine başladı ve nihayetinde aracılık ve değişim yoluyla, fonları birkaç belirli mevduat adresine gönderdi.

Özet

Lazarus Grubu'nun suç işleme yöntemleri belirli bir model sergilemektedir: Kripto varlıkları çaldıktan sonra genellikle fon kaynaklarını karartmak için çapraz zincir işlemleri ve karıştırıcı hizmetleri kullanmaktadırlar. Ardından, karıştırılmış varlıkları hedef adrese çekerler ve belirli bazı adres gruplarına çekim yapmak üzere gönderirler. Çalınan varlıklar genellikle belirli bir mevduat adresine yatırılır ve ardından dış ticaret hizmetleri aracılığıyla fiat para birimine dönüştürülür.

Lazarus Group'un sürekli ve büyük ölçekli saldırılarıyla karşı karşıya kalan Web3 sektörü, ciddi bir güvenlik tehdidi ile mücadele ediyor. İlgili kurumlar, bu hacker grubunun hareketlerini sürekli olarak izleyerek, proje sahiplerine, düzenleyici ve hukuki otoritelere bu tür suçlarla mücadelede yardımcı olmayı ve çalınan varlıkların geri alınmasını sağlamayı hedefliyor.