Önemli Noktalar
- Kuzey Koreli devlet destekli grup "TraderTraitor", DMM kripto para borsasına karşı sofistike bir sosyal mühendislik saldırısını başarıyla düzenleyerek, güvenliği ihlal edilmiş bir kurumsal cüzdan sağlayıcısı aracılığıyla 4.502,9 BTC (308 milyon $) çalınmasına neden oldu.
- Saldırganlar, LinkedIn üzerinden bir Ginco çalışanını hedef alarak bir işe alım testi olarak gizlenmiş kötü amaçlı Python koduyla ilk erişimi elde etmiş ve sonunda DMM'nin işlem sisteminin tehlikeye girmesine yol açmıştır.
Sofistike Sosyal Mühendislik Devasa İhlale Yol Açtı
aFBI, Savunma Bakanlığı Siber Suç Merkezi (DC3) ve Japonya Ulusal Polis Teşkilatı (NPA) tarafından yapılan ortak bir duyuruda, yetkililer 308 milyon dolarlık devasa bir kripto para hırsızlığını Kuzey Koreli devlet destekli bilgisayar korsanlarına atfetti. "TraderTraitor" (Jade Sleet, UNC4899 ve Slow Pisces olarak da bilinir) olarak izlenen grup, Mayıs 2024'te Japonya'nın önde gelen kripto para borsalarından biri olan Bitcoin.DMM.com'u başarıyla hedef aldı.
Saldırı, Mart 2024'te dikkatle hazırlanmış bir sosyal mühendislik kampanyasıyla, bilgisayar korsanlarının Japon kurumsal kripto para cüzdanı yazılımı sağlayıcısı Ginco'daki bir çalışanı hedef almak için LinkedIn'de işe alım görevlisi olarak poz vermesiyle başladı. Ginco'nun cüzdan yönetim sistemine erişimi olan kurban, istihdam öncesi bir testi tamamlama bahanesiyle bir GitHub sayfasından kötü amaçlı Python kodunu kopyalamaya ikna edildi.
Teknik İstismar ve Fon Hareketi
TraderTraitor grubu, ele geçirilen erişimi kullanarak, şirketin şifrelenmemiş iletişim sisteminde Ginco çalışanının kimliğine bürünmek için oturum çerezi bilgilerinden yararlandı. Bu konum, DMM çalışanlarından gelen meşru işlem taleplerini engellemelerine ve manipüle etmelerine olanak sağladı. Bu saldırının doruk noktası, hırsızlık sırasında 308 milyon dolar değerinde olan 4.502,9 BTC'nin tehdit aktörleri tarafından kontrol edilen cüzdanlara yetkisiz olarak aktarılmasıyla sonuçlandı.
Uluslararası Müdahale ve Devam Eden Soruşturma
Olay, FBI, NPA ve diğer devlet kurumlarının çalınan fonları izlemek ve potansiyel olarak kurtarmak için birlikte çalıştığı koordineli bir uluslararası tepkiye yol açtı. Bu saldırı, rejim için gelir elde etme aracı olarak kripto para hırsızlığına giderek daha fazla yönelen Kuzey Koreli aktörlere atfedilen en büyük kripto para soygunlarından birini temsil ediyor.
Kolluk kuvvetleri yetkilileri bu olayın Kuzey Kore siber operasyonlarının giderek karmaşıklaştığını ve yüksek değerli hedefler olarak kripto para platformlarına odaklanmaya devam ettiklerini vurgulamaktadır. Saldırı ayrıca, özellikle kripto para kuruluşlarındaki çalışan doğrulama süreçleri ve iletişim sistemleri konusunda sağlam güvenlik önlemlerinin uygulanmasının kritik öneminin altını çiziyor.
Kuzey Kore'nin yasadışı siber faaliyetlerini ortaya çıkarmaya ve bunlarla mücadele etmeye kararlı olan yetkililerle birlikte soruşturma devam etmektedir. Bu olay, kripto para sektörünün karşı karşıya olduğu sürekli tehditleri ve tüm kripto para ekosisteminde gelişmiş güvenlik önlemlerine duyulan ihtiyacı çarpıcı bir şekilde hatırlatmaktadır.
