kripto para biriminde ekosistem, madeni paraların ekonomilerinin temelini oluşturan değişmez blok zincirlerinde izlenen bir hikayesi vardır. Bir anlamda tek istisna, sahibinin hesaplama gücü tarafından yeni üretilmiş kripto para birimidir. Dolayısıyla, Kuzey Koreli bilgisayar korsanlarının dünyanın dört bir yanındaki kurbanlardan çaldıkları madeni paraları aklamak için yeni bir numara benimsemeye başladıkları anlaşılıyor: Kirli, çalıntı madeni paralarını, masum yenilerini çıkarmalarına izin veren hizmetlere ödeyin.
Bugün, siber güvenlik firması Mandiant, Kuzey Kore devlet destekli üretken bir bilgisayar korsanlığı grubu hakkında bir rapor yayınladı ve şimdi APT43 olarak adlandırılıyor, bazen Kimsuky ve Thallium adlarıyla da biliniyor. Faaliyetleri, üyelerinin Kuzey Kore’nin Genel Keşif Bürosu casus teşkilatının hizmetinde çalıştığını gösteriyor. en az 2018, çoğunlukla kurbanlardan kimlik bilgilerini toplamak ve makinelerine kötü amaçlı yazılım yerleştirmek için tasarlanmış kimlik avı kampanyalarıyla.
Mandiant’a göre, birçok Kuzey Koreli bilgisayar korsanı grubu gibi APT43 de kâr odaklı siber suçlarda bir kenar çizgisini koruyor ve Kuzey Kore rejimini zenginleştirebilecek veya hatta bilgisayar korsanlarının kendi operasyonlarını finanse edebilecek herhangi bir kripto para birimini çalıyor. Ve dünya çapındaki düzenleyiciler, hırsızların ve bilgisayar korsanlarının suçlu olarak lekelenmiş madeni paraları nakde çevirmek için kullandıkları borsalar ve aklama hizmetleri üzerindeki denetimlerini sıkılaştırırken, APT43 çaldığı fonları nakde çevirmek ve bunların ele geçirilmelerini veya dondurulmalarını önlemek için yeni bir yöntem deniyor gibi görünüyor: Çalınan kripto para birimini, herhangi birinin kripto para birimi madenciliği için kullanılan bilgisayarlarda zaman kiralamasına ve suç faaliyetleriyle görünür bir bağı olmayan yeni madeni paraları toplamasına izin veren “hashing hizmetlerine” öder.
Bu madencilik hilesi, APT43’ün kripto para biriminin çalınmasının nispeten kolay olduğu gerçeğinden yararlanmasına olanak tanırken, blokaj zincirlerinde bıraktığı ve hırsızların nakde çevirmesini zorlaştırabilen adli kanıt izinden kaçınıyor. Mandiant tehdit istihbaratı analisti Joe Dobson, “Zinciri kırar” diyor. “Bu, bir banka soyguncusunun bir banka kasasından gümüş çalmasına ve ardından bir altın madencisine gidip madenciye çalınan gümüşle ödeme yapmasına benzer. Banka soyguncusu taze, yeni çıkarılmış altınla ortalıkta dolaşırken herkes gümüşü arıyor.”
Mandiant, APT43’ün madenciliğe dayalı çamaşır yıkama tekniğinin ilk işaretlerini Ağustos 2022’de görmeye başladığını söylüyor. O zamandan beri, herkesin bilgi işlem gücü alıp satmasına izin veren NiceHash ve Hashing24 gibi karma hizmetlerine on binlerce dolar değerinde kripto akışı görüldü. APT43 kripto cüzdanları olduğuna inandığından, çoğu kripto para birimini madencilik yapmak için gerekli olan “karma” olarak bilinen matematiksel dizileri hesaplamak için. Mandiant, madencilik “havuzlarından” APT43 cüzdanlarına, madencilerin toplu olarak madencilik yaptığı herhangi bir kripto para biriminin payını ödeyen bir gruba hash kaynaklarına katkıda bulunmalarına izin veren hizmetlerden benzer miktarların aktığını da gördüğünü söylüyor. (Mandiant, APT43’ün katıldığı karma hizmetleri veya madencilik havuzlarını adlandırmayı reddetti.)
Teorik olarak, bu havuzlardan elde edilen ödemeler temiz olmalı ve APT43’ün bilgisayar korsanlarıyla hiçbir bağı olmamalıdır – sonuçta grubun kara para aklama çalışmasının amacı bu gibi görünüyor. Ancak bazı operasyonel özensizlik vakalarında Mandiant, fonların yine de APT43 hackleme kampanyalarının yıllarca süren takibinden tespit ettiği cüzdanlarda kripto ile karıştırıldığını bulduğunu söylüyor.