Kuzey Kore Hacker Grubu Lazarus Group'un Faaliyetleri ve Kara Para Aklama Yöntemleri Analizi

Bir gizli Birleşmiş Milletler raporu, geçen yıl bir kripto para borsasının Lazarus Group tarafından saldırıya uğradığını ve yaklaşık 147.5 milyon doların çalındığını ortaya koyuyor. Bu yıl Mart ayında, bu fonlar bir sanal para platformu aracılığıyla kara para aklama sürecini tamamladı.

Birleşmiş Milletler Güvenlik Konseyi yaptırım komitesinin denetçileri, 2017 ile 2024 yılları arasında gerçekleşen 97 adet Kuzey Koreli Hacker'ın kripto para şirketlerine yönelik siber saldırı olayını araştırıyor. Bu olayların toplam miktarı 3.6 milyar doları buluyor. Bunlar arasında geçen yılın sonunda bir kripto para borsasının maruz kaldığı 147.5 milyon dolarlık soygun olayı da bulunuyor ve bu olayın Kara Para Aklama süreci bu yılın Mart ayında tamamlandı.

2022'de, Amerika Birleşik Devletleri bir sanal para platformuna yaptırımlar uyguladı. Ertesi yıl, platformun iki ortak kurucusu, Kuzey Kore ile ilgili siber suç örgütü Lazarus Group ile bağlantılı olarak 1 milyar doların üzerinde kara para aklamaya yardımcı olmakla suçlandı.

Bir kripto para analistinin araştırması, Lazarus Group'un 2020 Ağustos ile 2023 Ekim arasında 200 milyon dolarlık kripto parayı kara para aklama yoluyla yasal para birimine dönüştürdüğünü gösteriyor.

Lazarus Grubu uzun zamandır büyük ölçekli siber saldırılar ve finansal suçlar ile suçlanıyor. Hedefleri geniş bir yelpazeye yayılıyor; bankacılık sistemleri, kripto para borsaları, hükümet kurumları ve özel şirketler gibi.

Lazarus Group'un Sosyal Mühendislik ve Phishing Saldırıları

Avrupa medyası, Lazarus'un Avrupa ve Orta Doğu'daki askeri ve havacılık şirketlerini hedef alarak sosyal medya platformlarında sahte iş ilanları yayınlayarak çalışanları kandırdığını bildirdi. Adaylardan, phishing saldırısını gerçekleştirmek için yürütülebilir dosyalar içeren PDF dosyalarını indirmeleri istendi.

Bu sosyal mühendislik ve kimlik avı saldırıları, psikolojik manipülasyon kullanarak kurbanları dikkatlerini dağıtmaya ve tehlikeli davranışlar sergilemeye yönlendirmeyi amaçlamaktadır. Kötü amaçlı yazılımları, kurban sistemindeki açıkları hedef alarak hassas bilgileri çalmaktadır.

Lazarus, benzer yöntemler kullanarak bir kripto para ödeme sağlayıcısına altı aylık bir saldırı gerçekleştirdi ve bu saldırı sonucunda şirket 37 milyon dolar kaybetti. Saldırı süresince mühendislerine sahte iş fırsatları gönderdiler, dağıtık hizmet reddi gibi teknik saldırılar başlattılar ve parolaları kaba kuvvetle kırmaya çalıştılar.

Birçok Kripto Para Borsası Saldırı Olayı

2020 Ağustos'tan Ekim'e kadar, birçok kripto para borsası ve proje saldırıya uğradı:

• 24 Ağustos'ta, Kanada'daki bir kripto para borsasının cüzdanı çalındı.
• 11 Eylül'de, bir projenin özel anahtarının sızması nedeniyle, ekip tarafından kontrol edilen birden fazla cüzdanda 40.000 dolar tutarında yetkisiz transfer gerçekleşti.
• 6 Ekim'de, başka bir borsa güvenlik açığı nedeniyle sıcak cüzdanda 750.000 dolar değerinde kripto varlık çalındı.

Bu çalınan fonlar, birçok transfer ve karıştırma işlemi sonrası nihayetinde belirli adreslerde toplandı. Saldırganlar, fonları belirli mevduat adreslerine göndermek için birçok transfer ve döviz işlemi gerçekleştirdi.

Bir yardımlaşma sigorta platformunun kurucusu Hacker saldırısına uğradı

14 Aralık 2020'de, bir yardımlaşma sigorta platformunun kurucusu Hacker saldırısına uğradı, 370.000 platform token'ı kaybetti, değeri yaklaşık 8.3 milyon dolar.

Çalınan fonlar birden fazla adres arasında transfer edilip diğer varlıklara dönüştürüldü. Lazarus Group bu adresler aracılığıyla fon karıştırma, dağıtma ve toplama işlemleri gerçekleştirdi. Bazı fonlar, Bitcoin ağına çapraz zincir ile geçip, ardından Ethereum ağına geri döndü ve daha sonra karıştırma platformları aracılığıyla karıştırıldı, son olarak çekim platformuna gönderildi.

16-20 Aralık 2020 tarihleri arasında bir Hacker adresi 2500'den fazla ETH'yi bir karışım platformuna gönderdi. Birkaç saat sonra, başka bir ilişkili adres para çekme işlemlerine başladı.

2021 Mayıs'tan Temmuz'a kadar, saldırganlar 11 milyon USDT'yi bir borsa platformunun depozit adresine aktarır.

2023 Şubat'tan Haziran'a kadar, saldırganlar birden fazla adresten 11 milyon USDT'den fazla miktarı farklı depozit adreslerine gönderdi.

Son Saldırı Olayları

2023 Ağustos ayında, iki saldırı olayında çalınan ETH'ler (sırasıyla 624 ve 900 adet) bir karışık para platformuna transfer edildi. Ardından, bu fonlar birkaç belirli adrese çekildi.

12 Ekim 2023'te, bu adreslerin fonları yeni bir adreste toplandı. Kasım ayında, bu adres fonları transfer etmeye başladı ve nihayetinde ara transferler ve takaslar yoluyla bazı mevduat adreslerine gönderildi.

Özet

Lazarus Grubu, kripto varlıkları çaldıktan sonra, esasen fon kaynaklarını gizlemek için çapraz zincir işlemleri ve karıştırıcılar kullanarak fonları karıştırıyor. Karıştırdıktan sonra, çalınan varlıkları hedef adrese çekiyorlar ve çekim için sabit bir adres grubuna gönderiyorlar. Çalınan kripto varlıklar genellikle belirli bir depozito adresine yatırılır ve ardından günlük ticaret hizmetleri aracılığıyla fiat para birimine dönüştürülür.

Lazarus Group'un sürekli ve büyük ölçekli saldırılarıyla karşı karşıya kalan Web3 sektörü, ciddi güvenlik zorlukları ile mücadele ediyor. İlgili kurumlar bu hacker grubuna sürekli olarak dikkat etmekte ve onların faaliyetlerini ve kara para aklama yöntemlerini daha fazla takip ederek, proje sahipleri, düzenleyici ve kolluk kuvvetlerine bu tür suçlarla mücadelede yardımcı olmakta ve çalınan varlıkları geri almakta.