Kuzey Kore'nin hacker ordusu 3 milyar dolarlık kripto para vurgunu yaptı

Geçen yıl blok zinciri oyun şirketi Sky Mavis'te çalışan bir mühendis, daha fazla para ödeyecek yeni bir işin eşiğinde olduğunu düşünüyordu.

1. resim

Bir işe alım görevlisi kendisine LinkedIn üzerinden ulaşmış ve ikili telefonda konuştuktan sonra işe alım görevlisi mühendise mülakat sürecinin bir parçası olarak incelemesi için bir belge vermişti.

Ancak işe alan kişi, nakit sıkıntısı çeken diktatörlüğe fon sağlamayı amaçlayan geniş bir Kuzey Kore operasyonunun parçasıydı.

Ve belge, Kuzey Korelilere mühendisin bilgisayarına erişim sağlayan ve bilgisayar korsanlarının Sky Mavis'e girmesine izin veren kötü niyetli bir bilgisayar kodu olan bir Truva Atı'ydı.

Nihayetinde 600 milyon dolardan fazla para çaldılar - çoğunlukla Sky Mavis'in dijital evcil hayvan oyunu Axie Infinity'nin oyuncularından.

Blockchain analiz firması Chainalysis'e göre bu, Kuzey Korelilere 3 milyar dolardan fazla kazandıran beş yıllık dijital soygunlarda ülkenin en büyük vurgunuydu.

ABD'li yetkililer, bu paranın Kuzey Kore'nin nükleer silahlarıyla birlikte geliştirdiği balistik füze programının yaklaşık %50'sini finanse etmek için kullanıldığını söylüyor.

Savunma, Kuzey Kore'nin genel harcamalarının çok büyük bir bölümünü oluşturuyor; Dışişleri Bakanlığı 2019'da Pyongyang'ın savunmaya yaklaşık 4 milyar dolar harcadığını ve bunun genel ekonomisinin yüzde 26'sına tekabül ettiğini tahmin ediyor.

Firmanın işletme müdürü Aleksander Larsen, Sky Mavis'in siber saldırının kurbanlarına geri ödeme yapmış olmasına rağmen, olayın o zamanlar dört yaşında olan şirketin varlığını tehdit ettiğini söyledi.

"Çalınan fonların miktarına baktığınızda, [bu] inşa ettiğiniz şey için varoluşsal bir tehdit gibi görünecektir."

Olay Beyaz Saray'ın da dikkatini çekti ve bu ve 2022 yılı boyunca Kuzey Kore'nin gerçekleştirdiği diğer kripto saldırıları ciddi endişelere yol açtı.

Başkan Biden'ın siber ve yeni teknolojilerden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger, "Geçen yılki asıl artış, dünya çapında Sky Mavis gibi büyük meblağları tutan merkezi kripto altyapısına karşı oldu ve bu da daha büyük ölçekli soygunlara yol açtı" dedi.

"Bu da bizi bu faaliyetlere karşı koymaya yoğun bir şekilde odaklanmaya itti."

Kuzey Kore'nin dijital hırsızları ilk büyük kripto saldırılarını 2018 civarında gerçekleştirmeye başladı.

James Martin Center for Nonproliferation Studies tarafından takip edilen verilere göre, o zamandan bu yana Kuzey Kore'nin füze fırlatma girişimleri ve başarıları mantar gibi çoğaldı ve 2022'de 42'den fazla başarı gözlemlendi.

ABD'li yetkililer, Batı'nın yaptırımları nedeniyle ülkenin fon kaynakları hakkında o kadar çok şey bilinmediğini ve füze denemelerinin artmasında kripto hırsızlığının oynadığı rolü tam olarak anlamanın mümkün olmadığı konusunda uyarıda bulundu.

Ancak Kim Jong Un'un münzevi rejimi tarafından yapılan testler, kripto soygunlarında endişe verici bir yükselişle aynı zamanda gerçekleşti.

Neuberger, Kuzey Kore'nin balistik füze programı için yabancı bileşenler satın almaya yönelik döviz finansmanının yaklaşık yüzde 50'sinin artık rejimin siber operasyonları tarafından sağlandığını söyledi.

Bu rakam, programların toplam finansmanının üçte birini oluşturan önceki tahminlere göre keskin bir artış.

ABD'li yetkililer, Kuzey Kore'nin Rusya ve Çin de dahil olmak üzere dünyanın dört bir yanındaki ülkelerde faaliyet gösteren ve sıradan teknoloji işlerini yaparak para kazanan -bazen yılda 300.000 dolardan fazla- binlerce BT çalışanından oluşan bir gölge işgücü oluşturduğunu söylüyor.

Ancak araştırmacılar, bu işgücünün genellikle rejimin siber suç operasyonlarıyla bağlantılı olduğunu söylüyor.

Kanadalı BT çalışanları, hükümet yetkilileri ve serbest çalışan Japon blok zinciri geliştiricileri gibi davranıyorlar.

İşe girmek için video mülakatlar yapıyorlar ya da Sky Mavis örneğinde olduğu gibi potansiyel işveren kılığına giriyorlar.

ABD'li yetkililer, Kuzey Kore ile bağlantılı bilgisayar korsanlarının iki yıl öncesinden başlayarak ABD hastanelerine fidye yazılımı (bilgisayar korsanlarının kurban şirketin dosyalarını kilitlediği ve serbest bırakılmaları için ödeme talep ettiği bir tür siber saldırı) bulaştırmaya başladığını söylüyor.

Blok zinciri izleme firması TRM Labs için çalışan eski bir FBI analisti olan Nick Carlsen, "Günümüzün korsan devleti gibi görünüyor" dedi.

Carlsen ve kripto para sektöründeki diğerleri, bu sahte BT çalışanlarını ayıklamanın sürekli bir sorun olduğunu söylüyor.

Uluslararası uzmanlar uzun zamandır Kuzey Kore'nin sert yaptırımlardan kaçınmak ve nükleer silahlar ve balistik füzeler aracılığıyla jeopolitik güç yansıtma hırsını desteklemek için dijital bir banka soyma ordusu geliştirdiğini söylüyor.

2020 tarihli Birleşmiş Milletler raporu, rejimin gelir getiren bilgisayar korsanlığının "düşük riskli, yüksek ödüllü ve tespit edilmesi zor olduğunu ve artan karmaşıklıklarının ilişkilendirmeyi engelleyebileceğini" kanıtladığını ortaya koydu.

ABD ve diğer Batılı hükümetler yıllarca Kuzey Kore'yi 2014'te Sony Pictures'ın hacklenmesinden 2017'deki devasa küresel fidye yazılımı saldırısına kadar uzanan bir dizi küstahça ve bazen de gelişigüzel gerçekleştirilen siber saldırılardan sorumlu tuttu.

Ancak ABD'li yetkililer ve güvenlik uzmanlarına göre, ülke giderek artan bir şekilde siber saldırılarını para kazanmaya odaklamaya çalışırken, büyük ölçekli hırsızlıkları gerçekleştirmek için teknik karmaşıklığını önemli ölçüde geliştirdi.

Beyaz Saray'dan Neuberger "Ulus-devlet siber programlarının çoğu geleneksel jeopolitik amaçlarla casusluk ya da saldırı kabiliyetlerine odaklanır" dedi.

"Kuzey Koreliler ise hırsızlığa ve uluslararası yaptırımların etrafından dolaşmak için para kazanmaya odaklanmış durumdalar."

2016 yılında Kuzey Kore ile bağlantılı bilgisayar korsanları, New York Federal Rezerv Bankası tarafından engellenen 1 milyar dolarlık siber soygun girişiminin bir parçası olarak Bangladeş merkez bankasından 81 milyon dolar çaldı.

Chainalysis'in araştırmalardan sorumlu başkan yardımcısı Erin Plante'ye göre Kuzey Koreliler ATM'lerden de para çaldılar ve hatta WannaCry adlı hızla yayılan bir solucandan 100.000 dolardan fazla kripto para kazandılar, ancak hiçbiri 2018'de ciddi bir şekilde başlayan kripto soygunları kadar kazançlı olmadı.

"Kriptoya çok erken başladılar ve ilk başlarda en gelişmiş kripto kullanıcılarından bazılarıydılar."

Pyongyang sosyal mühendislik konusunda daha cüretkâr davranırken, bilgisayar korsanları da teknik açıdan daha sofistike hale geliyor. Kuzey Kore'nin geçen yılki siber suç becerisi ABD'li yetkilileri ve araştırmacıları etkiledi ve bazıları ülkenin bilgisayar korsanlarının başka hiçbir yerde gözlemlenmemiş ayrıntılı manevralar yaptıklarını gördüklerini söyledi.

Bu yılın başlarında gerçekleşen kayda değer bir saldırıda, Kuzey Kore ile bağlantılı bilgisayar korsanları, güvenlik araştırmacılarının türünün ilk örneği olduğunu söylediği kademeli bir tedarik zinciri saldırısı gerçekleştirdiler.

Yazılım üreticilerine teker teker girdiler ve müşterilerinin bilgisayar sistemlerine erişim sağlamak için ürünlerini bozdular.

Saldırıyı düzenlemek için önce Trading Technologies adlı bir çevrimiçi ticaret yazılımı üreticisinin güvenliğini tehlikeye attılar.

Bu şirketin ürününün bozulmuş bir versiyonu daha sonra kendisi de bir yazılım geliştirme şirketi olan 3CX'in bir çalışanı tarafından indirildi ve daha sonra 3CX sistemlerine erişimi bu firmanın yazılımını bozmak için kullandı.

Araştırmacılara göre, Kuzey Koreliler buradan kripto para borsaları da dahil olmak üzere 3CX müşterilerine girmeye çalıştı.

Trading Technologies, olayı araştırması için bir adli tıp firması tuttuğunu, ancak söz konusu yazılımı Nisan 2020'de, 3CX'in ele geçirilmesinden yaklaşık iki yıl önce kullanımdan kaldırdığını söylüyor.

3CX, saldırıdan bu yana güvenlik önlemlerini geliştirdiğini söylüyor.

İcra Kurulu Başkanı Nick Galea, şirketin nihayetinde kaç müşterinin etkilendiğini bilmediğini, ancak hızlı bir şekilde yakalandığı için az sayıda olduğundan şüphelendiğini söyledi.

Kaynaklar

Tartışma