Kuzey Kore rejimi adına çalıştığı düşünülen hacker’lar, rekor seviyedeki 1,5 milyar dolarlık kripto hırsızlığının en az 300 milyon dolarını geri alınamaz hale getirdi.
Lazarus grubunun, geçtiğimiz Şubat ayında kripto para borsası ByBit’e düzenledikleri saldırıyla büyük miktarda dijital varlık ele geçirmesi sonrası, hacker’ların çaldıkları kripto paraları kullanılabilir nakde çevirmelerini engellemek için bir kovalamaca yaşanıyor.
Uzmanlara göre, ünlü hacker ekibi neredeyse 24 saat boyunca çalışarak parayı Kuzey Kore rejiminin askeri gelişimine aktarmaya çalışıyor. Kripto soruşturma şirketi Elliptic’in kurucu ortağı Dr. Tom Robinson, hacker’ların her dakikanın önemli olduğunun bilincinde olduklarını ve paranın izini kaybettirmek için son derece farklı yöntemler kullandıklarını söylüyor.
Dr. Robinson, Kuzey Kore’nin kripto para aklama konusunda en başarılı suçlu aktör olduğunu belirtirken, Lazarus Grubu’nun bu iş için özel bir ekibi olduğunu, otomatik araçlar ile yılların deneyimini kullanarak çalıştıklarını dile getirdi. Aktivite analizlerine göre, hacker’lar günde sadece birkaç saatlik ara vererek vardiyalar halinde çalıştıkları da ortaya çıktı.
Elliptic’in analizleri, ByBit’in açıklamalarıyla örtüşmekle birlikte şirket, çalınan fonların %20’sinin “karartıldığını”, yani artık geri alınmasının pek mümkün olmadığını belirtti.
Saldırı Nasıl Gerçekleşti?
Peki ByBit saldırısı nasıl gerçekleşti? Kripto para hırsızlarının en yaygın taktiklerinden biri, çalınan varlıkların izini kaybettirerek bunları nakde çevirerek hesaplara geçiriyorlar. ByBit saldırısının ardından Lazarus Grubu da hızla harekete geçerek ele geçirdiği fonları Ethereum’a dönüştürdü. Bunun asıl nedeni, bazı token ihraççılarının çalıntı varlıkları dondurabilmesi ancak Ethereum gibi merkeziyetsiz varlıkların bu tür müdahalelere karşı korunaklı olması.
Hacker’lar, çalınan fonları merkeziyetsiz borsalar (DEX) aracılığıyla kısa sürede Ether’e çevirdi. Takip eden saatler içinde, bu varlıklar 50’den fazla farklı cüzdana dağıtıldı ve her cüzdanda yaklaşık 10.000 ETH bulunduğu belirlendi. Bir sonraki aşamada ise saldırganlar, Ether’leri Bitcoin’e dönüştürerek kimlik doğrulaması gerektirmeyen platformlar üzerinden aklamaya başladı.
Bu süreçte özellikle eXch adlı kripto borsasının büyük bir rol oynadığı ifade ediliyor. eXch, kullanıcılarından kimlik doğrulaması talep etmediği için kara para aklama faaliyetlerinde sıkça tercih ediliyor. ByBit yetkilileri, çalıntı fonların bloke edilmesi için borsaya çağrıda bulunsa da herhangi bir yanıt alamadı.
Kripto Para Borsaları Hacker’larla Mücadele Ediyor
ByBit, Lazarus Bounty adlı programıyla halkı çalınan fonların izini sürmeye ve bloke edilmesini sağlamaya teşvik ediyor. Tüm kripto işlemleri halka açık bir blok zincirinde görüntülenebildiğinden, Lazarus Grubu’nun parayı nasıl hareket ettirdiği takip edilebiliyor. Hacker’lar, ana akım bir kripto hizmeti aracılığıyla çalınan varlıkları nakde çevirmeye çalıştığında, şirketler bu işlemi tespit edip dondurabiliyor.
Şu ana kadar 20 kişi, çalınan 40 milyon dolarlık fonun izini sürüp transferlerin bloke edilmesini sağladıkları için toplamda 4 milyon dolar ödül kazandı. Ancak uzmanlar, Kuzey Kore’nin kripto para aklama konusundaki uzmanlığı nedeniyle geri kalan fonların kurtarılma şansının düşük olduğunu düşünüyor.
Kuzey Kore’nin Siber Suçları ve ABD’nin Suçlamaları
ABD ve müttefikleri, Kuzey Kore’yi son yıllarda birçok siber saldırı gerçekleştirerek rejimin askeri ve nükleer programlarını finanse etmekle suçluyor.
21 Şubat’ta hacker’lar, ByBit’in tedarikçilerinden birini hackleyerek 401.000 Ethereum’un dijital cüzdan adresini gizlice değiştirdi. ByBit, fonları kendi cüzdanına aktardığını sanırken, tüm kripto paralar hacker’ların hesabına geçti.
ByBit CEO’su Ben Zhou, müşterilerinin fonlarının güvende olduğunu ve zarar görmediğini açıkladı. Şirket, çalınan kripto varlıkları yatırımcılardan aldığı kredilerle yerine koydu ve şu anda Lazarus Grubu’na karşı savaş verdiğini belirtiyor.
Kuzey Kore’nin Kapalı Ekonomisi ve Siber Suç Stratejisi
Siber güvenlik şirketi Check Point’ten Dr. Dorit Dor, Kuzey Kore’nin kapalı bir ekonomi olduğunu ve siber suçlardan elde ettiği gelire yönelik bir endişe taşımadığını belirtiyor. Kuzey Kore’nin bu alanda oldukça başarılı bir sistem kurduğunu ve dış dünyadaki olumsuz imajını umursamadığını ifade ediyor.
Ancak, tüm kripto para borsaları hacker’larla mücadelede aynı istekliliği göstermiyor. ByBit ve diğer bazı firmalar, eXch adlı kripto borsasının hacker’ların parayı nakde çevirmesine engel olmadığını öne sürüyor. ByBit, eXch üzerinden 90 milyon dolardan fazla paranın aklandığını iddia ediyor.
eXch’in sahibi Johann Roberts, bu suçlamaları reddediyor. ByBit ile uzun süredir bir anlaşmazlık içinde olduklarını belirten Roberts, başlangıçta çalınan fonların hackten geldiğinden emin olmadıklarını söylüyor. Ancak şu anda iş birliği yaptığını ifade ediyor. Ayrıca, büyük kripto şirketlerinin müşterilerini tespit ederek kripto paraların özel ve anonim doğasına ihanet ettiğini savunuyor.
Kuzey Kore ve Lazarus Grubu’nun Kripto Saldırıları
Kuzey Kore, Lazarus Grubu ile herhangi bir bağlantısı olduğunu asla kabul etmemekle birlikte, dünyanın siber saldırıları doğrudan finansal kazanç elde etmek için kullanan tek ülkesinin Kuzey Kore olduğu düşünülüyor.
Lazarus Grubu, geçmişte bankaları hedef alırken, son beş yılda kripto para şirketlerine yönelik saldırılarda uzmanlaştı. Kripto sektörü, geleneksel finans sektörüne kıyasla daha az koruma sağladığı için hacker’ların bu alana yöneldiği belirtiliyor.
Son yıllarda Kuzey Kore ile bağlantılı bazı büyük kripto saldırıları arasında 2019 yılında UpBit borsasından 41 milyon dolarlık kripto hırsızlığı yer alıyor. 2020’de KuCoin borsasından 275 milyon dolarlık kripto çalındı ancak fonların çoğu geri alındı. 2022’de Ronin Bridge saldırısıyla 600 milyon dolarlık kayıp yaşandı. 2023’te ise Atomic Wallet’a yapılan saldırıda yaklaşık 100 milyon dolarlık kripto çalındı.
2020 yılında ABD, Lazarus Grubu üyelerini ‘En Çok Arananlar Siber Suçlular’ listesine ekledi. Ancak, bu kişilerin tutuklanma şansının çok düşük olduğu, çünkü Kuzey Kore’den çıkmadıkları sürece yakalanmalarının neredeyse imkânsız olduğu belirtiliyor.