ABD Federal Soruşturma Bürosu (FBI), şirketin CEO’su Ben Zhou’nun “Lazarus’a karşı savaş” ilan ettiği için rekor kıran 1,5 milyar dolarlık Bybit hack’ini Kuzey Kore tehdit aktörlerine resmi olarak ilişkilendirdi.
Ajans, Kore Demokratik Halk Cumhuriyeti’nin (Kuzey Kore), kripto para birimi borsasından sanal varlıkların çalınmasından sorumlu olduğunu ve onu jade sleet, yavaş Balık ve UNC489 olarak da izlenen belirli bir kümeye atfettiğini söyledi.
FBI, “TraderTraitor aktörleri hızla ilerliyor ve çalınan varlıkların bir kısmını Bitcoin’e ve diğer sanal varlıklara birden fazla blok zincirdeki binlerce adrese dağılmıştır.” Dedi. Diyerek şöyle devam etti: “Bu varlıkların daha fazla yıkanması ve sonunda fiat para birimine dönüştürülmesi bekleniyor.”
TraderTraitor kümesinin daha önce Mayıs 2024’te kripto para şirketi DMM Bitcoin’den 308 milyon dolar değerinde kripto para birimi hırsızlığındaki Japon ve ABD yetkilileri tarafından rol oynadığını belirtmek gerekir.
Tehdit oyuncusu, Web3 sektöründeki şirketleri hedeflemekle bilinir, bu da kurbanları hırsızlığı kolaylaştırmak için kötü amaçlı yazılım bağcıklı kripto para birimi uygulamalarını indirmeye kandırır. Alternatif olarak, kötü amaçlı NPM paketlerinin konuşlandırılmasına yol açan iş temalı sosyal mühendislik kampanyalarını düzenlediği de bulunmuştur.
Bu arada Bybit, çalıntı fonların kurtarılmasına yardımcı olmak için bir ödül programı başlattı ve Exch’yi soruşturmada işbirliği yapmayı ve varlıkları dondurmaya yardımcı olduğu için çağırdı.
“Çalınan fonlar borsalar, mikserler veya köprüler gibi izlenemez veya dondurulabilir destinasyonlara aktarıldı veya dondurulabilen stablecoinlere dönüştürüldü.” Dedi. Diyerek şöyle devam etti: “İzlemeye devam edebilmemiz için fonları dondurmak veya hareketleri hakkında güncellemeler sağlamak için ilgili tüm taraflardan işbirliğine ihtiyacımız var.”
Dubai merkezli şirket, Hack’i Lazarus Grubuna bağlayan Sygnia ve Verichains tarafından yürütülen iki soruşturmanın sonuçlarını da paylaştı.
Sygnia, “Üç imzalayan ev sahiplerinin adli tıp araştırması, saldırının temel nedeninin SAFE {cüzdan} ‘nın altyapısından kaynaklanan kötü niyetli kod olduğunu gösteriyor.” Dedi.
Verichains, “App.safe.global’ın iyi huylu javascript dosyasının 19 Şubat 2025’te 15:29:25 UTC’de kötü amaçlı kodla değiştirildiğini ve özellikle Ethereum MultiSig soğuk cüzdanı” ve “Saldırı’nın 21, 2025 tarihinde bir sonraki işlem sırasında gerçekleşecek şekilde etkinleştirilecek şekilde tasarlandığını” belirtti.
AWS S3 veya CloudFront Hesabı/API tuşunun Safe.global’ın muhtemelen sızdırıldığından veya tehlikeye atıldığından şüpheleniliyor, böylece bir tedarik zinciri saldırısına yol açıyor.
Ayrı bir açıklamada, MultiSig cüzdan platformu Safe {cüzdan}, saldırının Bybit tarafından işletilen bir hesabı etkileyen SAFE {cüzdan} geliştirici makinesinden ödün verilerek gerçekleştirildiğini söyledi. Şirket ayrıca saldırı vektörünü azaltmak için ek güvenlik önlemleri uyguladığını belirtti.
“Saldırı”, gizlenmiş bir kötü niyetli işlemin teklifiyle sonuçlanan güvenli bir {cüzdan} geliştiricisinin tehlikeye atılmış bir makinesiyle gerçekleştirildi “dedi. “Lazarus, bazen sıfır gün istismarlarıyla birleştirilen geliştirici kimlik bilgilerine yönelik sofistike sosyal mühendislik saldırıları ile tanınan devlet destekli bir Kuzey Koreli hacker grubudur.”
Lazarus grubunun Bybit-Değerlendirme alanını kaydettirdiğini ortaya çıkarsa da, şu anda geliştiricinin sisteminin nasıl ihlal edildiği açık değil, ancak Silent Push’dan yeni bir analiz ortaya çıktı[.]Com 22:21:57 20 Şubat 2025’te, kripto para hırsızlığının gerçekleşmesinden birkaç saat önce.
Whois kayıtları, etki alanının “trevorgreer9312@gmail e -posta adresi kullanılarak kaydedildiğini gösteriyor[.]com, “daha önce Lazarus Grubu tarafından bulaşıcı röportaj olarak adlandırılan başka bir kampanya ile bağlantılı olarak kullanılan bir kişi olarak tanımlanmıştı.
Şirket, “Bybit soygunun, Jade Sleet ve Slow Balık olarak da bilinen TraderTraitor olarak bilinen DPRK tehdit oyuncusu Grubu tarafından yürütüldüğü anlaşılırken, kripto röportaj aldatmacası, ünlü Chollima olarak da bilinen bulaşıcı röportaj olarak bilinen bir DPRK tehdit aktör grubu tarafından yönetiliyor.”
“Mağdurlara tipik olarak sahte iş görüşmelerine katılmak üzere sosyal olarak tasarlandıkları LinkedIn aracılığıyla yaklaşılır. Bu görüşmeler, hedeflenen kötü amaçlı yazılım dağıtım, kimlik bilgisi hasat ve finansal ve kurumsal varlıklardan daha fazla uzlaşma için bir giriş noktası görevi görür.”
Kuzey Kore’ye bağlı aktörlerin 2017’den bu yana kripto varlıklarında 6 milyar doların üzerinde çalındığı tahmin ediliyor. Geçen hafta çalınan 1,5 milyar dolar, tehdit aktörlerinin 2024’ün tamamında 47 kripto para birimi soyağından çaldığı 1,34 milyar doları aşıyor.