Kuzey Kore destekli Lazarus hacker grubunun yasadışı olarak elde ettiği 900 milyon dolar değerindeki kripto parayı akladığı ortaya çıktı.
Blockchain analiz firması Elliptic’in yayımladığı yeni bir raporda Temmuz 2022-2023 arasında yedi milyar dolar tutarındaki kripto paranın aklandığı, bunun 900 milyon dolarlık kısmını da Kuzey Kore bağlantılı Lazarus Grubu’nun akladığını açıkladı.
Uzun süredir kripto paralara yönelik siber saldırılar düzenlediği bilinen Lazarus’un, çaldığı kripto paralarla Pyongyang yönetiminin nükleer ve balistik füze programının “önemli gelir kaynaklarını” oluşturduğu iddia edilmişti.
DÖRT AYDA 240 MİLYON DOLAR KRİPTO PARA ÇALDILAR
Geçtiğimiz yıl temmuz ayından bu yılın temmuz ayına dek toplam yedi milyar dolarlık kara para aklandığını duyuran Elliptic, bu paranın 900 milyon dolarını Lazarus’un akladığını açıkladı.
Kripto para birimi karıştırıcılar (mixer) gibi hizmetlere el koyma ve yaptırım incelemeleri sonucunda kara para aklamanın tipolojisinin değiştiğini söyleyen Elliptic, suçluların artık zincir ve varlık atlama yöntemlerini kullandığını belirtti.
Bu yöntemler, çalınan paraların kaynağını gizlemek ve varlıkların izini sürmeyi ciddi şekilde zorlaştırmak için çeşitli dönüştürme hizmetleri kullanarak fonların bir blok zincirinden veya token’dan diğerine hızlı bir şekilde dönüştürülmesini içeriyor.
Elliptic’in verileri, Lazarus Grubu’nun bu tür dönüştürme hizmetleri aracılığıyla işlenen fonlardaki yüzde 111’lik artışın arkasındaki baskın güç olduğunu ortaya çıkardı.
Kuzey Koreli hack ekibinin Atomic Wallet (100 milyon dolar), CoinsPaid (37,3 milyon dolar), Alphapo (60 milyon dolar), Stake.com (41 milyon dolar) ve CoinEx’i (31 milyon dolar) hedef alan bir dizi saldırının ardından Haziran 2023’ten bu yana yaklaşık 240 milyon dolar kripto para çaldığı tahmin ediliyor.
BEYAZ SARAY: “KUZEY KORE’NİN FÜZE PROGRAMINA KAYNAK OLUŞTURUYORLAR”
BT güvenlik şirketi ESET’in geçen ay yayımladığı raporda Lazarus hakkında “Bu grubu tanımlayan şey kampanyalarının çeşitliliği, sayısı ve uygulanmasındaki eksantriklik. Lazarus, siber suç faaliyetlerinin üç ayağını da gerçekleştiriyor: Siber casusluk, siber sabotaj ve finansal kazanç arayışı.” ifadesinde bulunmuştu.
Uzun süredir dijital varlık piyasasına saldıran ve şimdiye dek milyonlarca dolar kripto para çalan ve aklayan tehdit aktörünün, Beyaz Saray tarafından Pyongyang yönetiminin nükleer ve balistik füze programının “önemli gelir kaynaklarını” oluşturduğu iddia edilmişti.
Kuzey Kore hükûmetiyle ilişkilendirilen siber casusluk gruplarının, Rusya’nın en iyi füze teknolojisi geliştiricisinin ağına sızdığı ortaya çıktı.
Güvenlik araştırmacılarının raporlarına göre, casuslar Rusya Devlet Başkanı Vladimir Putin’in ses hızının dokuz katına çıkan “Zircon” hipersonik füzesini tanıtmasıyla da bilinen şirketin sisteminde beş ay kadar kaldı.
ŞİRKET, SOVYET DÖNEMİNDEN BERİ DEVLET VE ORDUYLA ÇALIŞIYOR
Kuzey Kore hükûmetiyle ilişkilendirilen ScarCruft ve Lazarus adlı gruplar, Rusya’nın en iyi füze teknolojisi geliştiricisi NPO’nın ağına sızdığı belirlendi.
Rusya merkezli bir savunma sanayi şirketi olan NPO Mashinostroyeniya’nın, füze sistemleri, uçaklar, uzay araçları ve diğer askerî ekipmanların tasarımı ve üretimi gibi savunma teknolojilerinde uzmanlaştığı biliniyor.
Sovyetler Birliği döneminde, 1944 yılında kurulmuş olan şirketin Rus devleti ve ordusuyla birlikte çalıştığı biliniyor.
Füze uzmanlarına göre hedef alınan şirketin faaliyet gösterdiği alanlar, ABD anakarasını vurabilecek bir Kıtalararası Balistik Füze (ICBM) yaratma misyonuna başladığından beri Kuzey Kore’nin yoğun ilgisini çekiyordu.
SİSTEMLERDE BEŞ AY KALDILAR
İhlal haberi, Rusya Savunma Bakanı Sergei Shoigu’nun geçen ay Kore Savaşı’nın 70. yıldönümü dolayısıyla Pyongyang’a yaptığı ziyaretten kısa bir süre sonra gerçekleşti. Ziyaret, 1991’de Sovyetler Birliği’nin dağılmasından bu yana bir Rus savunma bakanı tarafından Kuzey Kore’ye ilk kez düzenleniyordu.
ABD’li siber güvenlik firması SentinelOne’da güvenlik araştırmacısı olarak görev yapan ve sızıntıyı ilk keşfeden Tom Hegel’e göre, tehdit grupları şirketin BT ortamına girerek e-posta trafiğini okuma, ağlar arasında geçiş yapma ve veri elde etme becerisi kazandı.
Araştırmacılar yaşanan ihlal sırasında herhangi bir verinin alınıp alınmadığını ya da hangi bilgilerin görüntülenmiş olabileceğini belirleyemedi.
Teknik verilere göre, ihlal kabaca 2021’in sonlarında başladı ve incelenen şirket içi yazışmalara göre, BT mühendislerinin tehdit gruplarının faaliyetlerini tespit ettiği Mayıs 2022’ye kadar devam etti.
Sistemin ihlalini takip eden aylarda Pyongyang, yasaklı balistik füze programında bazı gelişmeler olduğunu duyursa da bunun sızmayla ilgili olup olmadığı net değil.
Uzmanlar bu olayın, Kuzey Kore’nin kritik teknolojileri elde etmek amacıyla Rusya gibi müttefiklerini bile nasıl hedef alabileceğini gösterdiğini ifade ediyor.
“BUNLAR ANCAK FİLMLERDE OLUR”
2019 yılında Rusya Devlet Başkanı Vladimir Putin, NPO Mash’ın ses hızının yaklaşık dokuz katına çıkabilen “Zircon” hipersonik füzesini “umut verici yeni bir ürün” olarak duyurmuştu.
Kuzey Kore’nin füze programlarını araştıran füze uzmanı Markus Schiller, Kuzey Koreli bilgisayar korsanlarının Zircon hakkında bilgi edinmiş olmalarının aynı kabiliyete hemen sahip olacakları anlamına gelmediğini söyledi.
Schiller, “Bunlar ancak filmlerde olur. Planları alıp bu tür şeyleri inşa etmede bu bilgiler size pek yardımcı olmaz. İşin içinde çizimlerden fazlası var.” dedi.
Bununla birlikte Schiller, NPO Mash’ın en iyi Rus füze tasarımcısı ve üreticisi olarak konumu göz önüne alındığında, şirketin değerli bir hedef olduğunu da sözlerine ekledi.
HEDEF FÜZE YAKIT VE İKMAL YÖNTEMİ OLABİLİR
Öte yandan Kuzey Kore’nin ilgisini çekmiş olan bir başka konunun NPO Mash’ın kullandığı yakıt ve ikmal yöntemi olduğu iddia edildi.
NPO Mash’in Kıtalararası Balistik Füzesi olan SS-19’un kullandığı yakıt ve ikmal yöntemi, savaş sırasında füzelerin daha hızlı konuşlandırılmasını sağlıyor.
Geçtiğimiz aylarda Kuzey Kore, katı yakıt kullanan ilk Kıtalararası Balistik Füzesi olan Hwasong-18’i test amaçlı fırlatmıştı.
Füze araştırmacısı olan Jeffrey Lewis, “2021’in sonlarında Kuzey Kore hemen hemen benzer bir şeyi yaptığını açıklamıştı. NPO Mash’ta onlar için yararlı bir şey olacaksa, bu yöntem listenin başında olurdu.” dedi.
NPO Mashinostroyeniya, Rusya’nın Washington’daki büyükelçiliği ve Kuzey Kore’nin New York’taki Birleşmiş Milletler elçisi de konuyla alakalı yorum talebine yanıt vermedi.
Siber suç dünyasında gazeteci kılığına girerek düzenlenen kimlik avı saldırıları kullanıcıları tehdit ediyor.
Google’ın Tehdit Analiz Grubu (TAG), Kuzey Koreli siber aktör APT43’ün bir alt kümesi olan Archipelago’nun operasyonlarını analiz ettiği raporunu paylaştı.
TAG’ın yayımladığı raporda Archipelago’nun, insan hakları ve nükleer silah konularında Kuzey Kore özelinde uzmanlığı bulunan kişilere gazeteci gibi davranarak kimlik avı saldırıları düzenlediği belirtildi.
Tehdit Analiz Grubu araştırmacıları geçtiğimiz günlerde yıllarca Güney Kore ve ABD’deki hükûmet ve ticari kuruluşları hedef alarak siber casusluk saldırıları yürüten Kuzey Koreli ve hükûmet destekli siber aktör APT43’ün bir alt kümesi olan Archipelago’nun çalışmalarını ortaya çıkardı.
APT43 KİMDİR?
Kimsuky veya Thallium olarak da bilinen APT43, Kuzey Kore rejiminin çıkarlarını destekleyen bir siber tehdit aktörü olarak biliniyor.
Kuzey Kore’nin ana yabancı istihbarat servisi RGB ile uyumlu olarak çalışan APT43, kimlik avı saldırıları düzenleyerek stratejik istihbarat toplamaya çalışıyor.
ARCHIPELAGO KİMDİR?
TAG raporunda çalışmaları analiz edilen Archipelago’nun APT43’ün bir alt kümesi olarak izlendiği ifade edildi.
Rapora göre Archipelago, Güney Kore ve ABD başta olmak üzere hükûmet, askerî personel, düşünce kuruluşları, politikacılar, akademisyenler ve araştırmacıları hedef alıyor.
Ayrıca raporda kimlik avı saldırılarından zararlı Chrome uzantılarına kadar çeşitli taktikler uygulayarak hedeflerini kandırmaya çalışan grubun bunlara ek olarak gazeteci kılığında davrandığı paylaşıldı.
GAZETECİ KILIĞINA GİRİYORLAR
TAG araştırmacıları, Archipelago’nun genellikle bir medya kuruluşu veya düşünce kuruluşunun temsilcisi gibi davrandığını ve Kuzey Kore uzmanlarından bir röportaja katılmalarını istedikleri kimlik avı e-postaları gönderdiğini belirtti.
Söz konusu e-postalar, kurbanları sözde onları röportaj sorularına götürecek bir bağlantıya tıklamaya teşvik ediyor.
Kurbanlar, Google parolalarının girilmesinin istendiği ve grubun klavye vuruşlarını izleyebildiği bir kimlik avı sitesine yönlendiriliyor.
Şifre girildikten sonra kurbanlar, sorular ve diğer bilgilerin yer aldığı bir Google dokümanına yönlendiriliyorlar.
Söz konusu raporda ayrıca Archipelago üyelerinin, hedeflerine saldırmadan önce kurbanlarla bağ kurmaya çalıştığı ve zararlı bağlantı ya da dosyayı göndermeden önce günler ya da haftalar boyunca kurbanlarla e-postalaştıkları belirtildi.
ZAMAN İÇERİSİNDE GELİŞTİLER
Araştırmacılar, Archipelago aktörlerinin kimlik avı taktiklerini zaman içinde geliştirdiklerini ve Google hesabı güvenlik uyarısı e-postaları gibi görünen oldukça standart mesajlardan daha sofistike taktiklere geçtiklerini vurguladı.
Raporda Archipelago’nun zararlı yazılım dağıtmak için farklı yollar bulmaya devam ettiği ifade edilirken siber suçlular tarafından kullanılan teknikleri benimsediğinin de altı çizildi.
Zararlı yazılım dağıtmak için ISO dosyaları kullanan Acrhipelago’nun, “Interview_with_Voice_of_America” başlıklı bir ISO dosyasıyla BabyShark zararlı yazılımı dağıttığı belirtildi.
CHROME UZANTILARI KULLANIYORLAR
Rapora göre Archipelago 2018 yılına kadar kullanıcı adlarını, şifreleri ve tarayıcı çerezlerini çalmak için zararlı Chrome uzantıları kullandı.
Grubun son zamanlarda kurbanlarını “Sharpext” olarak bilinen zararlı Chrome uzantısını indirmeye teşvik ettiği belirtilirken grubun Chrome uzantılarının sık sık kötüye kullanımı nedeniyle Google’ın, uzantı sisteminde önemli değişiklikler yapmak zorunda kaldığı paylaşıldı.
Kuzey Koreli hackerların Sony’ye yönelik siber saldırısı hakkındaki “Lazarus Soygunu” adlı kitap olayın perde arkasını tüm ayrıntılarıyla ele alıyor.
Foreign Policy’de çıkan kitap incelemesi şöyle başlıyor: “11 Eylül 2001’i hatırlayın! Tüyler ürpertici bu tehdit, Kuzey Kore lideri Kim Jong Un’un hayali bir versiyonunun ölümüyle sona eren bir filmin yayınlanmasını önlemek amacıyla Sony Pictures Entertainment’a yönelik düzenlenen siber saldırıdan sonra internette yayımlandı.”
Araştırmacı gazeteci Geoff White, Lazarus Soygunu adlı yeni kitabında Pyongyang’ın siber faaliyetlerinin terörizmden, yaptırımları delmeye ve diğer suç faaliyetlerine kadar büyüleyici evrimini araştırıyor. Kitap tipik bir Hollywood suç draması izlenimi verse de sonunda iyi adamlar kazanamıyor.
White’ın ilgi çekici eseri, Kuzey Kore yönetiminin siber saldırılarını ve diğer yasadışı faaliyetlerini belgelemek için okuru dünyanın dört bir yanına (İrlanda, Makao, Güney Kore, Bangladeş, Çin, Filipinler, Slovenya, Malta, Birleşik Krallık, Kanada ve Amerika Birleşik Devletleri) götürüyor. White özellikle, ABD hükümeti araştırmacıları tarafından Lazarus Group kod adlı Kuzey Koreli hacker ekibinin siciline kapsamlı bir şekilde ışık tutuyor.
White’ın kitabının çoğu, halihazırda kamuya açık olan bilgilere dayanıyor ve Kuzey Kore’nin geride bıraktığı suç ortaklarının ve mağdurların izini sürüyor. ABD kolluk kuvvetleri, FBI’ın “En Çok Aranan Siber Suçlular” listesinde yer alan üç Kuzey Koreli de dahil olmak üzere Kuzey Koreli hackerları kovuşturma çabalarını sürdürüyor. Ancak White’ın da belirttiği gibi “Suç ortakları (ya da en azından bir kısmı) ağa yakalanırken, Kuzey Kore’nin iddia edilen hackerları, paçayı sıyırıyor.”
White, kitabın başlarında Pyongyang’ın superdollars veya Supernotes olarak da bilinen 100 dolarlık banknotların sahteciliğine bir bölüm ayırmış. Kuzey Kore’nin siber faaliyetleri ile sahte 100 dolarlık banknotlar arasındaki bağlantı net olmayabilir. Ancak White, döviz sahteciliğinin uzun zamandır Pyongyang’ın yasadışı faaliyetlerinin odak noktası olduğunu açıklayarak iki olayı birbirine bağlıyor.
Ülkede gerçekleşen finansal devrim fiziksel para biriminden çevrimiçi bankacılığa geçişi hızlandırırken bir dizi Kuzey Kore siber faaliyetini de tetiklemiş oldu. ABD Gizli Servisi 2006 yılında Senato’nun bir alt komitesine verdiği demeçte Supernote’ların ilk kez 1989 yılında tespit edildiğini ve dünya çapında yaklaşık 50 milyon dolarlık banknot ele geçirildiğini belirtmişti. George W. Bush yönetiminin Kim rejiminin yasadışı faaliyetlerini (sahte sigara, uyuşturucu ve ABD para birimi) durdurma çabaları Kuzey Kore için maliyetleri artırdı. Bu da siber faaliyetlere geçişi açıklayan sebeplerden biri.
AMAÇ KUZEY KORE REJİMİNE PARA KAZANDIRMAK
Kitabın başlarında White, Pyongyang’ın nükleer silahları ve balistik füze programları nedeniyle uluslararası yaptırımlar göz önüne alındığında Kuzey Kore’nin hackerlarının asıl amacının sabit para kazanmak için oldukça az meşru fırsata sahip olan rejim için para kazanmak olduğunu da vurguluyor.
Yasadışı fonlar, Kim Jong-Un’un yaşam tarzından Pyongyang’ın nükleer silah ve füze programlarına kadar her şeyi finanse etmek için kullanılıyor. Ancak kitabın sonunda White, Güney Kore’ye iltica eden ve şu anda orada yasa koyucu olan İngiltere’deki eski Kuzey Kore büyükelçi yardımcısı Thae Yong-ho’dan bir uyarıya da yer veriyor kitabında “Barış zamanlarında, hackleme yeteneklerini gelir yaratmak için kullanabilirler.” Bununla birlikte Thae, savaş zamanında Güney Kore’ye zarar vermek için “kolayca” bir siber saldırı yapabileceklerini de iddia ediyor.
White, kitabında ayrıca bilgisayar korsanlığının Kuzey Kore’nin cephaneliğinde kilit bir silah haline geldiğini ve şimdilerde küresel güvenlik ve istikrar için önemli bir tehdit oluşturduğunu dile getirdi.
KIM JONG’UN KİŞİSEL MESELESİ DE SİBER SALDIRILARA GEREKÇE OLDU
White, Pyongyang’ın daha basit nedenlerle hedefleri terörize etmek için de siber saldırıları kullandığını anlatıyor ve ekliyor: “Rejimin en eski büyük hack operasyonlarından biri olan Sony saldırısı durumunda, Kim kişisel meselenin intikamını almaya çalıştı.”
Sony’nin “The Interview” adlı programı Randall Park’ın oynadığı sahte Kim Jong Un ile röportaj yapan Seth Rogen ve James Franco’nun sırasıyla yapımcı ve gazeteci olarak oynadığı orta halli bir komedi. CIA Rogen ve Franco’nun karakterlerini Kuzey Kore liderini zehirleyerek öldürmeleri için işe alıyor. Kim bu durumdan hiç memnun kalmıyor. Sebebi hayali ölümü mü yoksa soytarı muamelesi görmesi mi belli değil.
Eylül 2014’te, filmin planlanan Aralık gösteriminden üç ay önce, bir Sony çalışanı video dosyalarına gömülü bir virüs içeren bir e-posta açtı. White, bunun saldırganların Sony’nin bilgisayar sistemine erişmesine izin verdiğini ve tespit edilmekten, veri çalmaktan ve daha fazla virüs yerleştirmekten kaçınmak için bilgisayardan bilgisayara dikkatlice taşındıklarını” açıklıyor.
Şükran Günü’nde, Kuzey Koreli siber saldırılar virüsleri şirketin bilgisayar sistemlerini tahrip etmeye tetikledi. Sony yöneticileri fidye ödemesi talep eden e-postalar aldı. Şirket belirtilen süreye uymadığında, hackerlar yöneticilerin maaşları ve aktörler ve aktrisler için sözleşmeler de dahil olmak üzere özel bilgileri muhabirlere gönderdiler. Ardından Sony Eşbaşkanı Amy Pascal’ın hesabından 5.000 e-posta sızdırdılar. White, bazılarının utanç verici detaylar içerdiğini de sözlerine ekliyor.
Filmin galasından sonra, hackerlar 11 Eylül’ü hatırlatan bir terör tehdidi yayımladılar ve Amerikalıları filmi gösteren sinemalardan uzak durmaya çağırdılar. White’e göre Sony bir ikilemle karşı karşıya kalmıştı: Filmin yayınlanmasına devam edebilir veya filmi geri çekebilirdi. Sonunda büyük sinema zincirleri filmin gösterimini reddetmek durumunda kaldı.
Dönemin ABD Başkanı Barack Obama, Sony ve sinemaların “hata yaptığını” söyledi.” Ayrıca, Pyongyang’ın planına öfkesini dile getirerek, “Bir diktatörün burada ABD’de sansür uygulamaya başlayabileceği bir topluma sahip olamayız.” dedi.
Obama, Ocak 2015’te ABD Hazine Bakanlığı’nın üç kuruluşa ve Pyongyang adına tüzel kişi, temsilci veya yetkili olarak görev yapan 10 kişiye yaptırım uygulamak için kullandığı Kuzey Kore hükümetine karşı ek yaptırımlara izin veren bir kararname yayınlamıştı. Bununla birlikte, bu yaptırımların hack operasyonları üzerindeki etkisi önemsiz kaldı zira Lazarus Grubunu denetleyen kuruluş da dahil olmak üzere üç taraf zaten yaptırımlar altındaydı. Hazine Bakanlığı’nın Lazarus Grubu’na yaptırım uygulaması ancak Eylül 2019’da gerçekleşebildi.
ABD kurumları, Kim Jong rejimi için uzaktan çalışan BT profesyonellerinin istihdam edilmesinin risk oluşturduğunu ve bunun yaptırımları ihlal anlamına geleceğini belirtti.
Ülkedeki yetkililer, sahtekarlık yapan freelance çalışanların gerçek kimliklerini gizlemek ve Pyongyang için para kazanmak adına uzaktan çalışma fırsatlarından yararlandıklarını söyleyerek işletmeleri yanlışlıkla Kuzey Kore’den BT personeli almaya karşı uyardılar.
Devlet ve Hazine Bakanlıkları ile FBI tarafından yayınlanan bir raporda bu tür kişilerin girişimlerinin ABD ve BM yaptırımlarını atlatmayı ve Kuzey Kore’nin nükleer silahları ve balistik füze programları için para getirmeyi amaçladığı belirtildi. Yetkililer, bu tür kişileri işe alan ve kendilerine ücret ödeyen şirketlerin yaptırım ihlalleri nedeniyle yasal sonuçlara maruz kalabileceklerini söyledi.
KAZANDIKLARI PARALARI KUZEY KORE HÜKÜMETİNE GÖNDERİYORLAR
Raporda şu ifadeler yer aldı: “Hem yurtdışına gönderilen hem de Kuzey Kore içinde bulunan ve gelir elde edip bunu Kuzey Kore hükümetine ileten binlerce Kuzey Koreli BT çalışanı bulunmakta. Bu BT çalışanları, Kuzey Amerika, Avrupa ve doğu Asya dahil olmak üzere dünyanın dört bir yanından yazılım ve mobil uygulama geliştirme gibi belirli BT becerilerine sahip freelance çalışanlara yönelik mevcut taleplerden yararlanıyor.”
KENDİLERİNİ GÜNEY KORELİ VE JAPON GİBİ TANITIYORLAR
Raporda, Kuzey Koreli işçilerin Güney Kore, Japonya veya diğer Asya ülkelerinden geliyormuş gibi davrandığı açıklandı. Ayrıca video görüşmelerine katılmayı reddetme ve sanal para birimi cinsinden ödeme alma talep etme eğilimleri bulunuyor.
ABD’li yetkililer, Kuzey Korelilerin çoğunlukla Çin ve Rusya’da bulunduğunu ve daha az sayıda kişinin Afrika ve Güneydoğu Asya dışında faaliyet gösterdiğini söyledi. Bu kişilerin kazandıkları paranın çoğu Kuzey Kore hükümeti tarafından alınıyor.
Gizli iş arayışının çoğunun döviz kazanmak veya kripto para borsasına erişmek amaçlı olmasına rağmen, çalışanların bir kısmının Pyongyang’ın hükümet destekli hack operasyonlarına yardım ettiğini belirtiliyor.
Raporda, Kuzey Korelilerin işe alınmasının “fikri mülkiyet, veri ve fon hırsızlığından itibar zedelenmesine ve hem ABD hem de Birleşmiş Milletler yetkilileri altındaki yaptırımlar da dahil olmak birçok risk oluşturduğu” belirtildi.
