Kuzey Koreli hacker grubu Lazarus'un son zamanlarda faaliyetlerini hızlandırdığı görülüyor; 3 Haziran'dan bu yana şifreleme endüstrisini hedef alan dört saldırı doğrulandı. Yakın zamanda beşinci saldırıyı gerçekleştirdiklerinden şüpheleniliyordu.SlowMist Baş Bilgi Güvenliği Sorumlusu 23pds, kripto borsası CoinEx'e yapılan 55 milyon dolarlık hacker saldırısının Kuzey Kore devleti destekli hackerlar tarafından gerçekleştirildiğini tweetledi.
Associated Press'in Güney Kore'nin ana casus teşkilatı Ulusal İstihbarat Servisi'ne (NIS) atıfta bulunan önceki bir raporuna göre, Kuzey Kore destekli bilgisayar korsanlarının 2017'den bu yana dünyanın dört bir yanından yaklaşık 1,2 milyar dolarlık kripto para çaldığını belirtmekte fayda var. NIS, Kuzey Kore'nin kripto para çalma konusunda dünyadaki en motive ülkelerden biri olduğuna inanıyor ve ülke, 2017 yılında Birleşmiş Milletler'in nükleer ve füze testlerine yanıt olarak ekonomik yaptırımları sıkılaştırmasının ardından odağını siber suçlara çevirdi.
Ek olarak, son 104 gün içinde Kuzey Koreli hacker grubu Lazarus'un Atomic Wallet (100 milyon dolar), CoinsPaid (37,3 milyon dolar), Alphapo (60 milyon dolar) ve Stake.com'dan (41 milyon dolar) yaklaşık 2,4 milyon dolar çaldığı doğrulandı. milyar kripto varlığı.
Yukarıdaki görselde görüldüğü gibi Elliptic analizi, CoinEx'ten çalınan fonların bir kısmının, farklı bir blockchain üzerinde de olsa, Lazarus organizasyonunun Stake.com'dan çalınan fonları depolamak için kullandığı adrese gönderildiğini gösteriyor. Fonlar daha sonra daha önce Lazarus tarafından kullanılan bir çapraz zincir köprüsü aracılığıyla Ethereum'a çapraz zincirlendi ve ardından CoinEx bilgisayar korsanları tarafından kontrol edilen bir adrese geri gönderildi.
Elliptic, Lazarus olayında farklı bilgisayar korsanlarından gelen bu tür fonların karıştırıldığını gözlemledi; en son Stake.com'dan çalınan kripto para birimi, Atomic cüzdanından çalınan fonlarla karıştırıldığında. Farklı bilgisayar korsanlarından gelen fonların bir araya getirildiği bu örnekler aşağıdaki resimde turuncu renkle gösterilmiştir.
01. Lazarus 104 günde 5 saldırı gerçekleştirdi
2022'de, Harmony'nin Horizon Köprüsü ve Axie Infinity'nin Ronin Köprüsü'ne yapılan saldırılar da dahil olmak üzere, her ikisi de geçen yılın ilk yarısında meydana gelen bir dizi yüksek profilli hack saldırısı Lazarus'a atfedildi. O zamandan bu yılın haziran ayına kadar, hiçbir büyük kripto para birimi hırsızlığı kamuya açık bir şekilde Lazarus'a atfedilmedi. Bu nedenle son 104 günde gerçekleşen çeşitli hack saldırıları, Kuzey Koreli hacker grubunun faaliyetlerinde artışa işaret ediyor.
3 Haziran 2023'te, gözetimsiz merkezi olmayan kripto para cüzdanı Atomic Wallet'ın kullanıcıları 100 milyon dolardan fazla para kaybetti. Elliptic, Kuzey Koreli bir bilgisayar korsanlığı grubunun sorumlu olduğuna işaret eden birden fazla faktörü belirledikten sonra 6 Haziran 2023'te saldırıdan Lazarus'u resmen suçladı ve bu daha sonra FBI tarafından onaylandı.
22 Temmuz 2023'te Lazarus, bir sosyal mühendislik saldırısı yoluyla kripto ödeme platformu CoinsPaid'e ait sıcak bir cüzdana erişim sağladı. Bu erişim, saldırganın platformun sıcak cüzdanından yaklaşık 37,3 milyon dolarlık kripto varlığını çekmek için yetkilendirme talepleri oluşturmasına olanak tanıdı. 26 Temmuz'da CoinsPaid, saldırıdan Lazarus'un sorumlu olduğunu iddia eden bir rapor yayınladı ve bu rapor Federal Soruşturma Bürosu (FBI) tarafından da doğrulandı.
Aynı gün, yani 22 Temmuz'da Lazarus, bu kez merkezi kripto ödeme sağlayıcısı Alphapo'yu hedef alan yüksek profilli bir saldırı daha gerçekleştirdi ve 60 milyon dolarlık kripto varlığını çaldı. Saldırgan daha önce sızdırılmış bir özel anahtar aracılığıyla erişim elde etmiş olabilir. FBI daha sonra saldırıdan Lazarus'un sorumlu olduğunu doğruladı.
4 Eylül 2023'te çevrimiçi kripto para kumar platformu Stake.com bir saldırıya uğradı ve muhtemelen özel anahtarların çalınması nedeniyle toplamda yaklaşık 41 milyon ABD doları değerinde sanal para birimleri çalındı. FBI, 6 Eylül'de saldırının arkasındaki beyinin Lazarus örgütü olduğunu duyurdu.
Son olarak 12 Eylül 2023'te merkezi kripto para borsası CoinEx bir hacker saldırısına uğradı ve 54 milyon dolar çalındı. Yukarıda belirtildiği gibi, birçok kanıt Lazarus'un bu saldırıdan sorumlu bilgisayar korsanı olduğunu gösteriyor.
02. Lazarus taktiğini mi değiştirdi?
Lazarus'un son faaliyetinin analizi, geçen yıldan bu yana odak noktalarını merkezi olmayan hizmetlerden merkezi hizmetlere kaydırdıklarını gösteriyor. Daha önce tartışılan son beş saldırının dördü, merkezi kripto varlık servis sağlayıcılarına yönelikti. 2020'den önce ve merkezi olmayan finans (DeFi) ekosisteminin hızlı yükselişinden önce, Lazarus'un seçtiği ana hedef merkezi borsalardı.
Lazarus'un dikkatini bir kez daha merkezi hizmetlere çevirmesinin birkaç olası açıklaması var.
DeFi protokolü saldırıları daha zor hale geliyor
Elliptic'in 2022'deki DeFi hack saldırılarına ilişkin önceki araştırması, 2022'de ortalama 4 günde bir saldırı gerçekleşeceğini ve saldırı başına ortalama 32,6 milyon doların çalınacağını ortaya çıkardı. Çapraz zincir köprüler, 2022'de en sık saldırıya uğrayan DeFi protokol türlerinden biri haline geldi. Bu eğilimler, akıllı sözleşme denetim ve geliştirme standartlarında iyileştirmelere yol açarak bilgisayar korsanlarının güvenlik açıklarını belirleme ve kullanma kapsamını daraltmış olabilir.
Merkezi kurumlar yüksek düzeyde sosyal ilişkiler karmaşıklığına sahiptir
Daha önceki birçok hack saldırısında Lazarus Group'un seçtiği saldırı yöntemi sosyal mühendislikti. Örneğin, 540 milyon dolarlık Ronin Bridge saldırısına, LinkedIn'deki sahte bir iş teklifiyle aldatılan şirketin eski bir çalışanı neden oldu. Ancak merkezi olmayan hizmetlerin çok fazla çalışanı yoktur ve projeler bir dereceye kadar merkezi değildir. Bu nedenle, bir geliştiriciye kötü niyetli erişim sağlamak, mutlaka bir akıllı sözleşmeye idari erişim elde etmekle aynı anlama gelmeyebilir.
Aynı zamanda, merkezi borsaların göreceli olarak daha fazla sayıda çalışanı istihdam etmesi ve dolayısıyla olası hedef aralığını genişletmesi muhtemeldir. Ayrıca merkezi, dahili bilgi teknolojisi sistemlerini kullanarak da çalışabilirler ve bu da Lazarus kötü amaçlı yazılımlarının işletmeye sızma şansını artırır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
100 günde 300 milyon ABD doları, Kuzey Koreli hackerlar şifreleme çemberinde "çılgın para"
Kaynak/eliptik
Derle/Nick
Kuzey Koreli hacker grubu Lazarus'un son zamanlarda faaliyetlerini hızlandırdığı görülüyor; 3 Haziran'dan bu yana şifreleme endüstrisini hedef alan dört saldırı doğrulandı. Yakın zamanda beşinci saldırıyı gerçekleştirdiklerinden şüpheleniliyordu.SlowMist Baş Bilgi Güvenliği Sorumlusu 23pds, kripto borsası CoinEx'e yapılan 55 milyon dolarlık hacker saldırısının Kuzey Kore devleti destekli hackerlar tarafından gerçekleştirildiğini tweetledi.
Associated Press'in Güney Kore'nin ana casus teşkilatı Ulusal İstihbarat Servisi'ne (NIS) atıfta bulunan önceki bir raporuna göre, Kuzey Kore destekli bilgisayar korsanlarının 2017'den bu yana dünyanın dört bir yanından yaklaşık 1,2 milyar dolarlık kripto para çaldığını belirtmekte fayda var. NIS, Kuzey Kore'nin kripto para çalma konusunda dünyadaki en motive ülkelerden biri olduğuna inanıyor ve ülke, 2017 yılında Birleşmiş Milletler'in nükleer ve füze testlerine yanıt olarak ekonomik yaptırımları sıkılaştırmasının ardından odağını siber suçlara çevirdi.
Ek olarak, son 104 gün içinde Kuzey Koreli hacker grubu Lazarus'un Atomic Wallet (100 milyon dolar), CoinsPaid (37,3 milyon dolar), Alphapo (60 milyon dolar) ve Stake.com'dan (41 milyon dolar) yaklaşık 2,4 milyon dolar çaldığı doğrulandı. milyar kripto varlığı.
Yukarıdaki görselde görüldüğü gibi Elliptic analizi, CoinEx'ten çalınan fonların bir kısmının, farklı bir blockchain üzerinde de olsa, Lazarus organizasyonunun Stake.com'dan çalınan fonları depolamak için kullandığı adrese gönderildiğini gösteriyor. Fonlar daha sonra daha önce Lazarus tarafından kullanılan bir çapraz zincir köprüsü aracılığıyla Ethereum'a çapraz zincirlendi ve ardından CoinEx bilgisayar korsanları tarafından kontrol edilen bir adrese geri gönderildi.
Elliptic, Lazarus olayında farklı bilgisayar korsanlarından gelen bu tür fonların karıştırıldığını gözlemledi; en son Stake.com'dan çalınan kripto para birimi, Atomic cüzdanından çalınan fonlarla karıştırıldığında. Farklı bilgisayar korsanlarından gelen fonların bir araya getirildiği bu örnekler aşağıdaki resimde turuncu renkle gösterilmiştir.
01. Lazarus 104 günde 5 saldırı gerçekleştirdi
2022'de, Harmony'nin Horizon Köprüsü ve Axie Infinity'nin Ronin Köprüsü'ne yapılan saldırılar da dahil olmak üzere, her ikisi de geçen yılın ilk yarısında meydana gelen bir dizi yüksek profilli hack saldırısı Lazarus'a atfedildi. O zamandan bu yılın haziran ayına kadar, hiçbir büyük kripto para birimi hırsızlığı kamuya açık bir şekilde Lazarus'a atfedilmedi. Bu nedenle son 104 günde gerçekleşen çeşitli hack saldırıları, Kuzey Koreli hacker grubunun faaliyetlerinde artışa işaret ediyor.
3 Haziran 2023'te, gözetimsiz merkezi olmayan kripto para cüzdanı Atomic Wallet'ın kullanıcıları 100 milyon dolardan fazla para kaybetti. Elliptic, Kuzey Koreli bir bilgisayar korsanlığı grubunun sorumlu olduğuna işaret eden birden fazla faktörü belirledikten sonra 6 Haziran 2023'te saldırıdan Lazarus'u resmen suçladı ve bu daha sonra FBI tarafından onaylandı.
22 Temmuz 2023'te Lazarus, bir sosyal mühendislik saldırısı yoluyla kripto ödeme platformu CoinsPaid'e ait sıcak bir cüzdana erişim sağladı. Bu erişim, saldırganın platformun sıcak cüzdanından yaklaşık 37,3 milyon dolarlık kripto varlığını çekmek için yetkilendirme talepleri oluşturmasına olanak tanıdı. 26 Temmuz'da CoinsPaid, saldırıdan Lazarus'un sorumlu olduğunu iddia eden bir rapor yayınladı ve bu rapor Federal Soruşturma Bürosu (FBI) tarafından da doğrulandı.
Aynı gün, yani 22 Temmuz'da Lazarus, bu kez merkezi kripto ödeme sağlayıcısı Alphapo'yu hedef alan yüksek profilli bir saldırı daha gerçekleştirdi ve 60 milyon dolarlık kripto varlığını çaldı. Saldırgan daha önce sızdırılmış bir özel anahtar aracılığıyla erişim elde etmiş olabilir. FBI daha sonra saldırıdan Lazarus'un sorumlu olduğunu doğruladı.
4 Eylül 2023'te çevrimiçi kripto para kumar platformu Stake.com bir saldırıya uğradı ve muhtemelen özel anahtarların çalınması nedeniyle toplamda yaklaşık 41 milyon ABD doları değerinde sanal para birimleri çalındı. FBI, 6 Eylül'de saldırının arkasındaki beyinin Lazarus örgütü olduğunu duyurdu.
Son olarak 12 Eylül 2023'te merkezi kripto para borsası CoinEx bir hacker saldırısına uğradı ve 54 milyon dolar çalındı. Yukarıda belirtildiği gibi, birçok kanıt Lazarus'un bu saldırıdan sorumlu bilgisayar korsanı olduğunu gösteriyor.
02. Lazarus taktiğini mi değiştirdi?
Lazarus'un son faaliyetinin analizi, geçen yıldan bu yana odak noktalarını merkezi olmayan hizmetlerden merkezi hizmetlere kaydırdıklarını gösteriyor. Daha önce tartışılan son beş saldırının dördü, merkezi kripto varlık servis sağlayıcılarına yönelikti. 2020'den önce ve merkezi olmayan finans (DeFi) ekosisteminin hızlı yükselişinden önce, Lazarus'un seçtiği ana hedef merkezi borsalardı.
Lazarus'un dikkatini bir kez daha merkezi hizmetlere çevirmesinin birkaç olası açıklaması var.
DeFi protokolü saldırıları daha zor hale geliyor
Elliptic'in 2022'deki DeFi hack saldırılarına ilişkin önceki araştırması, 2022'de ortalama 4 günde bir saldırı gerçekleşeceğini ve saldırı başına ortalama 32,6 milyon doların çalınacağını ortaya çıkardı. Çapraz zincir köprüler, 2022'de en sık saldırıya uğrayan DeFi protokol türlerinden biri haline geldi. Bu eğilimler, akıllı sözleşme denetim ve geliştirme standartlarında iyileştirmelere yol açarak bilgisayar korsanlarının güvenlik açıklarını belirleme ve kullanma kapsamını daraltmış olabilir.
Merkezi kurumlar yüksek düzeyde sosyal ilişkiler karmaşıklığına sahiptir
Daha önceki birçok hack saldırısında Lazarus Group'un seçtiği saldırı yöntemi sosyal mühendislikti. Örneğin, 540 milyon dolarlık Ronin Bridge saldırısına, LinkedIn'deki sahte bir iş teklifiyle aldatılan şirketin eski bir çalışanı neden oldu. Ancak merkezi olmayan hizmetlerin çok fazla çalışanı yoktur ve projeler bir dereceye kadar merkezi değildir. Bu nedenle, bir geliştiriciye kötü niyetli erişim sağlamak, mutlaka bir akıllı sözleşmeye idari erişim elde etmekle aynı anlama gelmeyebilir.
Aynı zamanda, merkezi borsaların göreceli olarak daha fazla sayıda çalışanı istihdam etmesi ve dolayısıyla olası hedef aralığını genişletmesi muhtemeldir. Ayrıca merkezi, dahili bilgi teknolojisi sistemlerini kullanarak da çalışabilirler ve bu da Lazarus kötü amaçlı yazılımlarının işletmeye sızma şansını artırır.