Orijinal metin derleyen: Babywhale, Foresight News
Kuzey Koreli hacker grubu Lazarus, son dönemde faaliyetlerini hızlandırmış gibi görünüyor. 3 Haziran'dan bu yana kripto para şirketlerine yönelik dört saldırıyı doğruladı ve kripto para borsası CoinEx'e yapılan son saldırının büyük olasılıkla Lazarus tarafından gerçekleştirilmiş olduğu belirtiliyor. Buna yanıt olarak CoinEx, şüpheli cüzdan adreslerinin hala tespit edildiğini belirten çok sayıda tweet yayınladı, bu nedenle çalınan fonların toplam değeri henüz belli değil ancak 54 milyon dolara ulaşmış olabilir.
Son 100 gün içinde Lazarus'un Atomic Wallet (100 milyon dolar), CoinsPaid (37,3 milyon dolar), Alphapo (60 milyon dolar) ve Stake.com'dan (41 milyon dolar) yaklaşık 240 milyon dolar değerinde kripto varlık çaldığı doğrulandı.
Yukarıda gösterildiği gibi Elliptic, CoinEx'ten çalınan fonların bir kısmının, farklı bir blockchain üzerinde de olsa, Lazarus organizasyonunun Stake.com'dan çalınan fonları depolamak için kullandığı adrese gönderildiğini analiz etti. Fonlar daha sonra daha önce Lazarus tarafından kullanılan bir çapraz zincir köprüsü aracılığıyla Ethereum'a çapraz zincirlendi ve ardından CoinEx bilgisayar korsanları tarafından kontrol edildiği bilinen bir adrese geri gönderildi. Elliptic, Lazarus olayında farklı bilgisayar korsanlarından gelen bu tür fonların karıştırıldığını gözlemledi; en son Stake.com'dan çalınan fonlar Atomic cüzdanından çalınan fonlarla karıştırıldığında. Farklı bilgisayar korsanlarından gelen fonların bir araya getirildiği bu örnekler aşağıdaki resimde turuncu renkle gösterilmiştir.
100 günde beş saldırı
2022'de, Harmony'nin Horizon Köprüsü'ne yapılan saldırı ve Axie Infinity'nin Ronin Köprüsü'ne yapılan saldırı da dahil olmak üzere, her ikisi de geçen yılın ilk yarısında meydana gelen birçok yüksek profilli saldırı Lazarus'a atfedildi. O zamandan bu yılın haziran ayına kadar, hiçbir büyük kripto para birimi hırsızlığı kamuya açık bir şekilde Lazarus'a atfedilmedi. Dolayısıyla son 100 gün içerisinde gerçekleşen çeşitli hack saldırıları, Kuzey Koreli hacker gruplarının yeniden aktif hale geldiğini gösteriyor.
3 Haziran 2023'te, gözetimsiz merkezi olmayan kripto para cüzdanı Atomic Wallet'ın kullanıcıları 100 milyon dolardan fazla para kaybetti. Elliptic, daha sonra FBI tarafından onaylanan, Kuzey Koreli bir hacker grubunun sorumlu olduğunu gösteren birden fazla faktörü belirledikten sonra, 6 Haziran 2023'te hack'i resmi olarak Lazarus'a bağladı.
22 Temmuz 2023'te Lazarus, bir sosyal mühendislik saldırısı yoluyla kripto ödeme platformu CoinsPaid'e ait sıcak bir cüzdana erişim sağladı. Bu erişim, saldırganın platformun sıcak cüzdanından yaklaşık 37,3 milyon dolarlık kripto varlığını çekmek için yetkilendirme talepleri oluşturmasına olanak tanıdı. 26 Temmuz'da CoinsPaid, saldırıdan Lazarus'un sorumlu olduğunu iddia eden bir rapor yayınladı ve bu rapor FBI tarafından da doğrulandı.
Aynı gün, yani 22 Temmuz'da Lazarus, bu sefer merkezi kripto ödeme sağlayıcısı Alphapo'yu hedef alan başka bir saldırı düzenleyerek 60 milyon dolarlık kripto varlığını çaldı. Saldırgan daha önce sızdırılmış bir özel anahtar aracılığıyla erişim elde etmiş olabilir. FBI daha sonra bu olayda saldırganın Lazarus olduğunu doğruladı.
4 Eylül 2023'te çevrimiçi kripto para kumar platformu Stake.com saldırıya uğradı ve muhtemelen özel anahtarların çalınması nedeniyle yaklaşık 41 milyon dolar değerinde kripto para çalındı. FBI, 6 Eylül'de saldırının arkasında Lazarus örgütünün olduğunu doğrulayan bir duyuru yayınladı.
Son olarak 12 Eylül 2023'te merkezi kripto para borsası CoinEx bir hacker saldırısının kurbanı oldu ve 54 milyon dolar çalındı. Yukarıda bahsedildiği gibi, birçok kanıt bu saldırıdan Lazarus'un sorumlu olduğunu gösteriyor.
Lazarus "taktiklerini" mi değiştirdi?
Lazarus'un son faaliyetinin analizi, geçen yıldan bu yana odak noktalarını merkezi olmayan hizmetlerden merkezi hizmetlere kaydırdıklarını gösteriyor. Daha önce tartışılan son beş saldırının dördü, merkezi kripto varlık servis sağlayıcılarını hedef alıyordu. 2020 öncesinde, yani DeFi ekosisteminin hızlı yükselişinden önce, merkezi borsalar Lazarus'un ana hedefiydi.
Lazarus'un dikkatini bir kez daha merkezi hizmetlere çevirmesinin birkaç olası açıklaması var.
Güvenliğe daha fazla dikkat edin: Elliptic'in 2022'deki DeFi hack saldırıları üzerine yaptığı önceki araştırma, 2022'de ortalama dört günde bir saldırı gerçekleşeceğini ve saldırı başına ortalama 32,6 milyon doların çalınacağını ortaya çıkardı. Çapraz zincir köprüler, 2022'de en sık saldırıya uğrayan DeFi protokol türlerinden biri haline geldi. Bu eğilimler, akıllı sözleşme denetim ve geliştirme standartlarında iyileştirmelere yol açarak bilgisayar korsanlarının güvenlik açıklarını belirleme ve kullanma kapsamını daraltmış olabilir.
Sosyal mühendisliğe yatkınlık: Çok sayıda bilgisayar korsanlığı saldırısında Lazarus Grubunun tercih ettiği saldırı yöntemi sosyal mühendislikti. Örneğin, 540 milyon dolarlık Ronin Bridge hack'i, LinkedIn'deki sahte iş fırsatları aracılığıyla bulunan bir "boşluk"tu. Bununla birlikte, merkezi olmayan hizmetler genellikle çok fazla çalışana sahip değildir ve adından da anlaşılacağı gibi değişen derecelerde merkezi olmayan hizmetlerdir. Bu nedenle, bir geliştiriciye kötü niyetli erişim sağlamak, mutlaka bir akıllı sözleşmeye idari erişim elde etmekle aynı anlama gelmeyebilir.
Aynı zamanda, merkezi borsaların nispeten daha büyük bir işgücünü istihdam etmesi ve dolayısıyla olası hedeflerin aralığını genişletmesi muhtemeldir. Ayrıca merkezi dahili bilgi teknolojisi sistemlerini kullanarak da çalışabilirler ve bu da Lazarus kötü amaçlı yazılımlarının işletmeye sızma şansını artırır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Kuzey Kore'nin hacker grubu Lazarus, 100 günde 300 milyon dolar "topladı" ve merkezi kurumları hedef aldı
Orijinal yazar: Eliptik
Orijinal metin derleyen: Babywhale, Foresight News
Kuzey Koreli hacker grubu Lazarus, son dönemde faaliyetlerini hızlandırmış gibi görünüyor. 3 Haziran'dan bu yana kripto para şirketlerine yönelik dört saldırıyı doğruladı ve kripto para borsası CoinEx'e yapılan son saldırının büyük olasılıkla Lazarus tarafından gerçekleştirilmiş olduğu belirtiliyor. Buna yanıt olarak CoinEx, şüpheli cüzdan adreslerinin hala tespit edildiğini belirten çok sayıda tweet yayınladı, bu nedenle çalınan fonların toplam değeri henüz belli değil ancak 54 milyon dolara ulaşmış olabilir.
Son 100 gün içinde Lazarus'un Atomic Wallet (100 milyon dolar), CoinsPaid (37,3 milyon dolar), Alphapo (60 milyon dolar) ve Stake.com'dan (41 milyon dolar) yaklaşık 240 milyon dolar değerinde kripto varlık çaldığı doğrulandı.
Yukarıda gösterildiği gibi Elliptic, CoinEx'ten çalınan fonların bir kısmının, farklı bir blockchain üzerinde de olsa, Lazarus organizasyonunun Stake.com'dan çalınan fonları depolamak için kullandığı adrese gönderildiğini analiz etti. Fonlar daha sonra daha önce Lazarus tarafından kullanılan bir çapraz zincir köprüsü aracılığıyla Ethereum'a çapraz zincirlendi ve ardından CoinEx bilgisayar korsanları tarafından kontrol edildiği bilinen bir adrese geri gönderildi. Elliptic, Lazarus olayında farklı bilgisayar korsanlarından gelen bu tür fonların karıştırıldığını gözlemledi; en son Stake.com'dan çalınan fonlar Atomic cüzdanından çalınan fonlarla karıştırıldığında. Farklı bilgisayar korsanlarından gelen fonların bir araya getirildiği bu örnekler aşağıdaki resimde turuncu renkle gösterilmiştir.
100 günde beş saldırı
2022'de, Harmony'nin Horizon Köprüsü'ne yapılan saldırı ve Axie Infinity'nin Ronin Köprüsü'ne yapılan saldırı da dahil olmak üzere, her ikisi de geçen yılın ilk yarısında meydana gelen birçok yüksek profilli saldırı Lazarus'a atfedildi. O zamandan bu yılın haziran ayına kadar, hiçbir büyük kripto para birimi hırsızlığı kamuya açık bir şekilde Lazarus'a atfedilmedi. Dolayısıyla son 100 gün içerisinde gerçekleşen çeşitli hack saldırıları, Kuzey Koreli hacker gruplarının yeniden aktif hale geldiğini gösteriyor.
3 Haziran 2023'te, gözetimsiz merkezi olmayan kripto para cüzdanı Atomic Wallet'ın kullanıcıları 100 milyon dolardan fazla para kaybetti. Elliptic, daha sonra FBI tarafından onaylanan, Kuzey Koreli bir hacker grubunun sorumlu olduğunu gösteren birden fazla faktörü belirledikten sonra, 6 Haziran 2023'te hack'i resmi olarak Lazarus'a bağladı.
22 Temmuz 2023'te Lazarus, bir sosyal mühendislik saldırısı yoluyla kripto ödeme platformu CoinsPaid'e ait sıcak bir cüzdana erişim sağladı. Bu erişim, saldırganın platformun sıcak cüzdanından yaklaşık 37,3 milyon dolarlık kripto varlığını çekmek için yetkilendirme talepleri oluşturmasına olanak tanıdı. 26 Temmuz'da CoinsPaid, saldırıdan Lazarus'un sorumlu olduğunu iddia eden bir rapor yayınladı ve bu rapor FBI tarafından da doğrulandı.
Aynı gün, yani 22 Temmuz'da Lazarus, bu sefer merkezi kripto ödeme sağlayıcısı Alphapo'yu hedef alan başka bir saldırı düzenleyerek 60 milyon dolarlık kripto varlığını çaldı. Saldırgan daha önce sızdırılmış bir özel anahtar aracılığıyla erişim elde etmiş olabilir. FBI daha sonra bu olayda saldırganın Lazarus olduğunu doğruladı.
4 Eylül 2023'te çevrimiçi kripto para kumar platformu Stake.com saldırıya uğradı ve muhtemelen özel anahtarların çalınması nedeniyle yaklaşık 41 milyon dolar değerinde kripto para çalındı. FBI, 6 Eylül'de saldırının arkasında Lazarus örgütünün olduğunu doğrulayan bir duyuru yayınladı.
Son olarak 12 Eylül 2023'te merkezi kripto para borsası CoinEx bir hacker saldırısının kurbanı oldu ve 54 milyon dolar çalındı. Yukarıda bahsedildiği gibi, birçok kanıt bu saldırıdan Lazarus'un sorumlu olduğunu gösteriyor.
Lazarus "taktiklerini" mi değiştirdi?
Lazarus'un son faaliyetinin analizi, geçen yıldan bu yana odak noktalarını merkezi olmayan hizmetlerden merkezi hizmetlere kaydırdıklarını gösteriyor. Daha önce tartışılan son beş saldırının dördü, merkezi kripto varlık servis sağlayıcılarını hedef alıyordu. 2020 öncesinde, yani DeFi ekosisteminin hızlı yükselişinden önce, merkezi borsalar Lazarus'un ana hedefiydi.
Lazarus'un dikkatini bir kez daha merkezi hizmetlere çevirmesinin birkaç olası açıklaması var.
Güvenliğe daha fazla dikkat edin: Elliptic'in 2022'deki DeFi hack saldırıları üzerine yaptığı önceki araştırma, 2022'de ortalama dört günde bir saldırı gerçekleşeceğini ve saldırı başına ortalama 32,6 milyon doların çalınacağını ortaya çıkardı. Çapraz zincir köprüler, 2022'de en sık saldırıya uğrayan DeFi protokol türlerinden biri haline geldi. Bu eğilimler, akıllı sözleşme denetim ve geliştirme standartlarında iyileştirmelere yol açarak bilgisayar korsanlarının güvenlik açıklarını belirleme ve kullanma kapsamını daraltmış olabilir.
Sosyal mühendisliğe yatkınlık: Çok sayıda bilgisayar korsanlığı saldırısında Lazarus Grubunun tercih ettiği saldırı yöntemi sosyal mühendislikti. Örneğin, 540 milyon dolarlık Ronin Bridge hack'i, LinkedIn'deki sahte iş fırsatları aracılığıyla bulunan bir "boşluk"tu. Bununla birlikte, merkezi olmayan hizmetler genellikle çok fazla çalışana sahip değildir ve adından da anlaşılacağı gibi değişen derecelerde merkezi olmayan hizmetlerdir. Bu nedenle, bir geliştiriciye kötü niyetli erişim sağlamak, mutlaka bir akıllı sözleşmeye idari erişim elde etmekle aynı anlama gelmeyebilir.
Aynı zamanda, merkezi borsaların nispeten daha büyük bir işgücünü istihdam etmesi ve dolayısıyla olası hedeflerin aralığını genişletmesi muhtemeldir. Ayrıca merkezi dahili bilgi teknolojisi sistemlerini kullanarak da çalışabilirler ve bu da Lazarus kötü amaçlı yazılımlarının işletmeye sızma şansını artırır.