Kuzey Kore merkezli Lazarus adlı ünlü hacker grubu, bu yıl içinde Japonya‘da faaliyet gösteren DMM Bitcoin adlı kripto para borsasından 4.500’den fazla bitcoin çalmakla ilişkilendirildi. Çalınan bu miktarın Mayıs ayındaki değerinin yaklaşık 308 milyon dolar olduğu bildirildi.
Federal Soruşturma Bürosu (FBI), Savunma Bakanlığı Siber Suç Merkezi (DC3) ve Japonya Ulusal Polis Ajansı (NPA) tarafından yürütülen ortak soruşturmada, saldırının detayları kamuoyuyla paylaşıldı. Yapılan incelemelerde, saldırının arkasında TraderTraitor adında bir grup bulunduğu ve bu grubun Lazarus çatısı altında faaliyet gösterdiği belirlendi.
Olayın detayları incelendiğinde, saldırının Mart 2024’te başladığı ortaya çıktı. Kuzey Koreli bir siber aktör, LinkedIn platformunda bir işe alım uzmanı kılığına girerek, Japonya merkezli kripto cüzdan yazılım şirketi Ginco çalışanlarından biriyle iletişime geçti. Hacker, hedef çalışana bir GitHub sayfası üzerinden bir “ön iş testi” olarak sunulan kötü amaçlı bir Python kodu içeren bir URL gönderdi. Çalışanın bu kodu kendi GitHub sayfasına kopyalamasıyla sistem tamamen ele geçirildi.
TraderTraitor grubu, ele geçirilen erişimi kullanarak aylarca hareketsiz kaldı ve Mayıs ayında harekete geçti. Grubun, Ginco çalışanının oturum çerez bilgilerini kullanarak onun kimliğine büründüğü ve bu sayede şirketin şifrelenmemiş iletişim sistemine erişim sağladığı tespit edildi. Bu sistem üzerinden bir DMM Bitcoin çalışanının yasal işlem talebini manipüle eden saldırganlar, 4.502,9 bitcoinin kendi kontrol ettikleri cüzdanlara aktarılmasını sağladı.
Soruşturmada elde edilen bulgular, çalınan bitcoinlerin Kuzey Kore hükümeti ile bağlantılı olan TraderTraitor grubunun cüzdanlarına aktarıldığını ortaya koydu.
FBI, konuya ilişkin yaptığı açıklamada, “FBI, Japonya Ulusal Polis Ajansı ve diğer ABD hükümeti ile uluslararası ortaklarımız, Kuzey Kore’nin yasa dışı faaliyetlerden — özellikle siber suç ve kripto para hırsızlıklarından — rejim için gelir elde etmesini ifşa etmeye ve buna karşı mücadele etmeye devam edecektir” ifadelerine yer verdi.
Lazarus ve Kuzey Kore’nin kripto para hırsızlıklarıyla bağlantısı, bu saldırının ötesinde geniş bir geçmişe dayanıyor. Grup, 2022 yılında 615 milyon dolarlık Ronin Network saldırısının ve bu yıl Temmuz ayında Hindistan merkezli WazirX kripto para borsasından çalınan 234,9 milyon dolarlık vurgunun da arkasında bulunmuştu.
Bu olay, kripto para borsalarının siber güvenlik önlemlerini artırma gerekliliğini bir kez daha gözler önüne serdi. Dünya genelindeki otoriteler, benzer saldırılara karşı iş birliğini ve önlemleri sıkılaştırma çağrısında bulunuyor.
