Kuzey Koreli Lazarus Grubunun Bybit Soygunu: 1,4 Milyar Dolar

Kuzey Koreli Hacker Grubu Lazarus’ın Bybit Soygunu

Kuzey Kore’nin devlet destekli hacker grubu Lazarus, Bybit kripto para borsasından tam 1,4 milyar dolar çalmak için son derece karmaşık bir plan uyguladı. Bu devasa soygunun ardında yatan anahtar, sahte bir borsa işlem simülatörüydü.

Bybit Soygununun Perde Arkası

Kripto para borsası Bybit, 1,4 milyar dolarlık bir hack olayına kurban gittiğinde, bu kadar büyük bir kaybın nasıl gerçekleştiği konusunda herkes şoktaydı. Müşterilerine yaklaşık 15 milyar dolarlık varlık barındıran ve güvenlik önlemleri ile tanınan bu beşinci büyük borsa, görünüşte sağlam bir yapıya sahipti. Ancak gerçek çok geçmeden ortaya çıktı: Saldırı, Bybit’in kendi sistemlerinden değil, bağlı olduğu popüler kripto cüzdan sağlayıcısı Safe Wallet’tan kaynaklanıyordu.

Sahte Simülatörle Sızma Operasyonu

Mandiant adlı siber güvenlik firmasının Safe Wallet için hazırladığı rapora göre, Lazarus Grubu, Safe Wallet’tan bir geliştiriciyi kandırarak sahte bir borsa işlem simülatörünü indirmeyi başardı. Bu simülatörün içine gizlenmiş kötü amaçlı kod, hacker’ların Safe Wallet sistemlerine sızmasına olanak tanıdı. Bu olay, Kuzey Koreli hacker’ların haftalar süren bir sızma operasyonunun yalnızca başlangıcıydı.

Borsa işlem simülatörleri, genellikle çevrimiçi ortamda bulunan ve kullanıcıların gerçek para riske atmadan finansal işlem pratiği yapmalarına imkan tanıyan araçlardır. Lazarus, bu masum görünümlü yazılımı bir tuzak olarak kullanarak Safe Wallet’a sızmayı başardı. Safe Wallet sözcüsü, yaptığı açıklamada, dosyanın geliştiricinin bilgisayarına nasıl ulaştığının hala araştırıldığını belirtti.

Sosyal Mühendislik ve Python Açığı

Lazarus’un bu saldırıda sosyal mühendislik tekniklerini kullandığı düşünülüyor. Sosyal mühendislik, hedef kişiyi psikolojik olarak manipüle ederek gizli bilgileri ifşa etmeye veya kötü amaçlı dosyaları indirmeye yönlendirmeyi içerir. Daha önce 2023’te sahte iş teklifleriyle benzer taktikler kullanan grup, artık borsa veya kripto işlem uygulamalarını bir kılıf olarak tercih ediyor.

Saldırının başarısında, simülatörün Python programlama dilinde yazılmış olması ve YAML dosya türündeki eski bir açığın kritik rol oynadığı belirlendi. Bu açık, hacker’ların kötü amaçlı kodları gizlemesine ve sistemde fark edilmeden kalmasına imkan tanıdı. Güvenlik uzmanı Mikko Ohtamaa, bu tür uygulamaların kripto sektöründeki kullanıcılar için doğal göründüğünü ve bu nedenle şüphe uyandırmadığını belirtti.

Büyük Bybit Vurgunu

Lazarus, Safe Wallet’ın Amazon Web Services (AWS) hesabına ulaşmayı hedeflemişti. Planları, Safe Wallet web sitesini ele geçirerek Bybit’in işlemlerini kötü amaçlı bir işlemle değiştirmekti. AWS anahtarlarının her 12 saatte bir yenilendiği göz önüne alındığında, hacker’lar bir Safe Wallet geliştiricisinin çalışma saatlerine uyum sağlayarak gece boyunca çalıştılar. Bu süreçte, Kuzey Kore’de oldukları varsayıldığında, uzun mesai saatleri harcamış olmaları muhtemel.

Tam 17 gün sonra, Lazarus 1,4 milyar doları çaldı. Soygundan dakikalar sonra, tüm kötü amaçlı yazılım izlerini silerek bu yöntemi tekrar kullanma ihtimalini açık bıraktılar.

Sırada Ne Var?

Safe Wallet hack’i geniş çapta duyulduğundan, Lazarus’un bu taktiği bir kez daha kullanması zor görünüyor. Ancak uzmanlar, teslim yöntemleri değişse de temel saldırı yönteminin devam edebileceği konusunda uyarıyor. MetaMask’ın baş güvenlik araştırmacısı Taylor Monahan, daha önce yaptığı bir açıklamada, “Bu saldırı vektörüne kimse hazır değil. Bu tekrar tekrar yaşanacak,” demişti.

Lazarus’un yaratıcı ve gizli yöntemleri, kripto dünyasını tehdit etmeye devam ediyor. Bybit soygunu, siber güvenliğin ne kadar kırılgan olabileceğini bir kez daha gözler önüne serdi. Kriptokoin.com olarak aktardığımız son yılları Lazarus imzalı hack girişimlerine buradan göz atabilirsiniz.