- ABD merkezli Silent Push’un ortaya çıkardığı yeni bulgular, Kuzey Kore destekli Lazarus hacker grubunun kripto geliştiricilerine yönelik yeni bir hack kampanyası başlattığını gösteriyor.
- “Contagious Interview” adlı alt grup, BlockNovas LLC ve SoftGlide LLC gibi sahte ABD şirketleri kurarak sosyal mühendislik saldırılarıyla kötü amaçlı yazılım yaymayı ve geliştiricilerin kripto cüzdan verilerine erişmeyi hedefliyor.
- Türkiye’deki kripto para topluluğu için de önemli uyarılar içeren bu kampanya, siber güvenlik önlemlerinin gerekliliğini bir kez daha gözler önüne seriyor.
ABD’li siber güvenlik şirketi Silent Push tarafından ortaya çıkarılan yeni bir kampanya, Kuzey Kore bağlantılı ünlü Lazarus hacker grubunun alt kolu “Contagious Interview” tarafından kripto para geliştiricilerine yönelik hack saldırıları düzenlendiğini gösteriyor. Bu alt grup, ABD’de sahte şirketler kurarak ve yapay zekâ destekli yöntemlerle sosyal mühendislik kullanarak kripto sektörü çalışanlarını hedef alıyor. Amaçları, kurbanların cihazlarına kötü amaçlı yazılım bulaştırıp kripto cüzdan verilerini, şifreleri ele geçirmek ve nihayetinde şirket altyapılarına sızmak. Türkiye’deki kripto para topluluğu için de uyarı niteliği taşıyan bu gelişmenin detayları şöyle:
Sahte Şirketlerle Yürütülen Sosyal Mühendislik Kampanyası
Silent Push analistleri, Lazarus’un Contagious Interview adlı alt grubunun kripto para sektöründe üç danışmanlık şirketi görünümlü paravan yapı oluşturduğunu tespit etti. Bu sahte şirketler şunlar:
- BlockNovas LLC: New Mexico, ABD’de sahte kimlik ve adresle kaydedilmiş danışmanlık şirketi.
- SoftGlide LLC: New York, ABD’de benzer şekilde kurulmuş başka bir sahte şirket.
- Angeloper Agency: Üçüncü paravan oluşum. Diğer ikisinin aksine ABD’de resmi bir kaydı bulunmuyor.
Bu düzmece şirketler, profesyonel görünen web siteleri ve iş ilanlarıyla kripto geliştiricilerini kendine çekmeye çalışıyor. Özellikle GitHub, LinkedIn gibi platformlarda ve freelancer sitelerinde iş ilanları vererek kurban aradıkları belirtiliyor. Yapay zekâ ile üretilmiş sahte profil fotoğrafları ve hatta gerçek kişilere ait çalıntı görseller kullanarak kadrolarında “çalışanlar” varmış izlenimi yaratıyorlar. Bu sayede, iş başvurusu yapacak adayların şüphelenmeden iletişime geçmesi hedefleniyor.
Sosyal mühendislik taktiği olarak, sahte iş görüşmeleri sırasında kurbanı kandırmak için özel yöntemler kullanılıyor. Örneğin, aday çevrimiçi görüşme yaparken bir noktada “video kaydı yapılamıyor” şeklinde sahte bir hata mesajı ekranda beliriyor. Ardından güya sorunu çözmek için adaya bir “tıklama ve yapıştırma” işlemi öneriliyor. İşte bu masum görünen adım, aslında kötü amaçlı programların sisteme sızmasına yol açıyor. Yani kurban, farkında olmadan kendi cihazına zararlı yazılım yüklemiş oluyor.
Kötü Amaçlı Yazılımlar ve Hedef Aldıkları Veriler
Lazarus’un bu kampanyasında, tespit edilen üç farklı zararlı yazılım (malware) çeşidi kullanılıyor. Silent Push uzmanlarına göre bu zararlılar şunlardır:
- BeaverTail: Bilgi çalma amacıyla tasarlanan ve ileride kurulacak diğer kötü amaçlı yazılımların yüklenmesine zemin hazırlayan bir trojan türü.
- InvisibleFerret: Kullanıcının cihazındaki kritik verileri hedefleyen, özellikle kripto cüzdan anahtarları, metin panosu (clipboard) verileri gibi hassas bilgileri çalmaya odaklı bir zararlı yazılım.
- OtterCookie: InvisibleFerret ile benzer şekilde hassas bilgileri toplayan ve kullanıcı etkinliklerini izleyen başka bir kötü amaçlı yazılım.
Bu yazılımlar genellikle sahte iş görüşmesi sürecindeki tuzak aracılığıyla kurbanın bilgisayarına sızdırılıyor. Örneğin, “hata düzeltme” adı altında kurbanın kopyalayıp çalıştırdığı kod veya indirdiği dosya, arka planda bu zararlıları sisteme kuruyor. Kurulum gerçekleştiğinde saldırganlar, kurbanın makinesini uzaktan kontrol edebilecek konuma geliyor.
Hedeflenen bilgiler arasında özellikle kripto para cüzdanlarına ait veriler, özel anahtarlar, kullanıcıların tarayıcılarında saklanan şifreler ve 2FA gibi güvenlik detayları bulunuyor. Ayrıca geliştiricilerin GitHub hesap bilgileri veya proje kaynak kodları da tehlikede. Saldırganlar, ele geçirdikleri bu bilgiler sayesinde hem kişisel dijital varlıklara (kriptolar, NFT’ler) el koymayı hem de kurbanın çalıştığı şirketin ağlarına sızarak daha büyük çapta şirket varlıklarını ele geçirmeyi amaçlıyor. Örneğin, bir geliştiricinin yetkileri kullanılarak ilgili şirketin kripto cüzdanlarına veya borsa hesaplarına erişim sağlanabilir.
Lazarus Grubunun Geçmiş Hack Saldırıları ve Milyar Dolarlık Vurgunlar
Lazarus, son yıllarda gerçekleştirdiği sansasyonel kripto hack saldırılarıyla bilinen bir grup. “Contagious Interview” alt grubu da, Lazarus’un genel stratejisinin bir parçası olarak benzer amaçlar güdüyor. Kuzey Kore devletine bağlı bu hacker yapılanması, daha önce de büyük kripto soygunlarına imza attı:
- Axie Infinity Ronin Köprüsü Saldırısı (2022): Lazarus hacker’ları, popüler Axie Infinity oyununun blokzincir köprüsünü hedef alarak yaklaşık 625 milyon dolar değerinde kripto para çaldı. Bu, o dönem DeFi dünyasının en büyük hırsızlıklarından biri olarak kayda geçti. ABD Hazine Bakanlığı, saldırının arkasındaki Ethereum cüzdanını Lazarus ile ilişkilendirerek yaptırım listesine aldı.
- Harmony Horizon Köprüsü Saldırısı (2022): Haziran 2022’de gerçekleşen bir diğer büyük vurgunda, Harmony protokolünün Horizon adlı köprüsünden yaklaşık 100 milyon dolar değerinde kripto varlık çalındı. FBI, 2023 başlarında yaptığı açıklamada bu saldırının da doğrudan Lazarus (APT38) grubu tarafından gerçekleştirildiğini teyit etti.
Bu iki olay, Lazarus’un kripto sektörüne yönelik ne denli büyük oynadığını gösteren çarpıcı örnekler oldu. Özellikle Ronin saldırısı, tek seferde yarım milyar dolardan fazla kayıpla sonuçlanarak rekor kırdı. Horizon köprüsü olayı ise Kuzey Koreli hackerların farklı blokzincir ekosistemlerini hedef alabildiğini kanıtladı.
Güvenlik araştırmaları, Kuzey Kore’nin son yıllarda kripto para hırsızlıklarını devlet politikası haline getirdiğine işaret ediyor. Çeşitli raporlara göre Lazarus ve bağlı gruplarının toplam çaldığı kripto varlık miktarı 3 milyar ABD dolarını aşmış durumda. Sadece 2022 yılında gerçekleştirilen saldırılarda 1,7 milyar dolardan fazla kripto paranın çalındığı belirtiliyor. Ele geçirilen bu fonların büyük bölümünün Kuzey Kore’nin nükleer silah ve balistik füze programlarına finansman sağlamak üzere kullanıldığı, Birleşmiş Milletler ve güvenlik kurumlarınca vurgulanıyor.
Bu bağlamda, Contagious Interview alt grubunun ortaya çıkardığı yeni tehdit, Lazarus’un küresel kripto piyasalarını hedef alan bitmek bilmeyen saldırı kampanyalarının son halkası olarak dikkat çekiyor. FBI, operasyon kapsamında BlockNovas sahte şirketinin alan adına el koyarak altyapıyı çökertmeye yönelik adımlar attı. Ancak diğer sahte platformlar (örneğin SoftGlide) faaliyet göstermeye devam ediyor. Küresel çapta süren bu hack girişimlerine karşı hem bireysel kullanıcıların hem de şirketlerin tetikte olması gerekiyor.
Türkiye’deki Kripto Topluluğuna Uyarılar ve Önlemler
Türkiye’de de sayısı hızla artan kripto para geliştiricileri ve bu sektörde çalışan profesyoneller, uluslararası çapta yürütülen bu tür sosyal mühendislik saldırılarına karşı dikkatli olmalı. Uzmanlar, benzer tuzaklara düşmemek ve dijital varlıkları korumak için şu önlemleri tavsiye ediyor:
- Şirketlerin Gerçekliğini Sorgulayın: Yurt dışından gelen cazip iş tekliflerinde şirketin resmî kaydını, web sitesinin güvenilirliğini ve iletişim bilgilerinin tutarlılığını kontrol edin. Özellikle yeni kurulmuş, geçmişi olmayan veya yalnızca çevrimiçi varlık gösteren firmalara karşı temkinli yaklaşın.
- Görüşme Sırasında Yazılım İndirmeyin: İş görüşmesi veya işe alım sürecinde herhangi bir ek yazılım, uygulama veya dosya indirme talebi alırsanız iki kere düşünün. Meşru şirketler genellikle adaylardan sistemlerine bir şey yüklemesini istemez. Bu tür istekler bir aldatmaca olabilir.
- Hata Mesajlarına Şüpheyle Yaklaşın: Görüşme platformlarında beklenmedik hata mesajları (örneğin video kaydı hatası) alırsanız paniğe kapılmayın. Karşınızdaki kişi çözüm olarak size kod, link veya dosya gönderiyorsa bunu çalıştırmadan önce iyice doğrulayın. Gerekirse bu durumu bağımsız bir uzmana danışın.
- Siber Hijyen ve Güncellemeler: Cihazlarınızda daima güvenilir bir antivirüs yazılımı bulundurun ve yazılımlarınızı güncel tutun. İş görüşmeleri gibi kritik anlarda, mümkünse kişisel verilerinizin olmadığı sanal bir makine veya temiz bir bilgisayar kullanın. Böylece olası bir zararlı yazılım bulaşması durumunda ana cihaza zarar verme riski azalır.
- Kripto Varlıkları Güvende Tutun: Kripto para cüzdanlarınızı ve özel anahtarlarınızı donanım cüzdanı (hardware wallet) gibi çevrimdışı ortamlarda saklayın. Tarayıcı üzerinde kullanılan cüzdan uzantılarında minimum miktarda varlık tutun ve önemli hesaplarınızda çok faktörlü kimlik doğrulamayı etkinleştirin.
Son olarak, kripto para sektöründe çalışanlar topluluk içinde iletişimi güçlü tutmalı. Şüpheli iş teklifleri, olası dolandırıcılık yöntemleri hakkında meslektaşlarınızla bilgi paylaşın. Unutulmamalı ki, Lazarus gibi gruplar sürekli taktik değiştirebiliyor; bugün sahte şirket ve iş ilanı kılığında gelen saldırı, yarın farklı bir senaryo ile karşımıza çıkabilir. Bu nedenle siber farkındalık ve temkinli hareket etmek, hem bireysel kullanıcıların hem de sektörün genel sağlığı için kritik önem taşıyor.
Uyarı: Paylaşılan haberler, veri ve grafikler bilgi amaçlı olup yatırım tavsiyesi ya da danışmanlığı kapsamında değerlendirilemez. Bunun yanı sıra haber ve materyallerin al ya da sat yönünde bir telkinde bulunmak gibi bir işlevi ve misyonu da bulunmamaktadır. Kişilerin kişisel araştırma yapmaları kendi sorumlulukları olup, detaylı araştırmanın yatırım öncesi önemli bir şart olduğunu öneririz.
İçerik ve görseller YZ yardımıyla oluşturulmaktadır.
Ayrıca, kripto paraların doğası gereği yüksek risk barındırdığı göz önünde bulundurularak hareket edilmelidir. Risksiz kazanç hiçbir sektörde olmadığı gibi, kripto paralar özelinde de yoktur.