Kore Demokratik Halk Cumhuriyeti’nden (DPRK) tehdit aktörleri, ülkeye uygulanan yaptırımları aşmak için en az 2017’den bu yana önemli bir gelir yaratma mekanizması olarak kripto para birimi sektörünü giderek daha fazla hedef alıyor.
“Ülkenin içine, dışına ve ülke içinde hareket ciddi şekilde kısıtlanmış ve genel nüfusu dünyanın geri kalanından izole edilmiş olsa da, rejimin yönetici seçkinleri ve onun yüksek eğitimli bilgisayar bilimi profesyonelleri kadrosu, yeni teknolojilere ve bilgilere erişim imtiyazına sahip” Siber güvenlik firması Recorded Future, The Hacker News ile paylaştığı bir raporda şunları söyledi.
“Matematik ve bilgisayar bilimlerinde gelecek vaadeden seçilmiş küçük bir grup birey için kaynaklara, teknolojilere, bilgilere ve bazen uluslararası seyahatlere ayrıcalıklı erişim, onları kripto para birimi endüstrisine karşı siber saldırılar gerçekleştirmek için gerekli becerilerle donatıyor.”
Açıklama, ABD Hazine Bakanlığı’nın, Kuzey Kore bağlantılı Lazarus Grubu tarafından haksız elde edilen gelirleri aklamak için kullanılan sanal para birimi karıştırıcısı Sinbad’a yaptırım uygulaması sonrasında geldi.
Ülkedeki tehdit aktörlerinin son altı yılda 3 milyar dolar değerinde kripto varlığını çaldığı, yalnızca 2022 yılında ise yaklaşık 1,7 milyar doların yağmalandığı tahmin ediliyor. Çalınan bu varlıkların çoğunluğu, münzevi krallığın kitle imha silahları (KİS) ve balistik füze programlarını doğrudan finanse etmek için kullanılıyor.
Chainalytics, bu Şubat ayının başlarında, “Bu toplamın 1,1 milyar doları DeFi protokollerinin hacklenmesiyle çalındı ve bu da Kuzey Kore’yi 2022’de yoğunlaşan DeFi hackleme eğiliminin arkasındaki itici güçlerden biri haline getirdi.” dedi.
ABD İç Güvenlik Bakanlığı (DHS) tarafından Analitik Değişim Programı (AEP) kapsamında bu Eylül ayının başlarında yayınlanan bir raporda da Lazarus Grubunun DeFi protokollerinden yararlandığı vurgulandı.
Raporda, “DeFi değişim platformları, geçişi kolaylaştırmak amacıyla platform müşterinin fonlarını hiçbir zaman gözetim altına almadan, kullanıcıların kripto para birimleri arasında geçiş yapmasına olanak tanıyor” denildi. “Bu, Kuzey Kore siber aktörlerinin çalınan kripto para birimini bir tür kripto para biriminden diğerine tam olarak ne zaman geçireceklerini belirlemelerine olanak tanıyor ve bu da atıfın belirlenmesinin ve hatta izlenmesinin daha zor olmasını sağlıyor.”
Kripto para sektörü, son aylarda gerçekleştirilen sayısız kampanyanın da defalarca kanıtladığı gibi, devlet destekli Kuzey Koreli siber tehdit aktörlerinin en önemli hedefleri arasında yer alıyor.
Kuzey Kore korsanları, çevrimiçi kripto para birimi borsalarının çalışanlarını hedef almak için sosyal mühendislik hilelerini ustalıkla kullandıkları ve daha sonra kurbanlarını, şirketin ağına uzaktan erişim sağlayan kötü amaçlı yazılım dağıtmak için kazançlı işler vaadiyle kandırarak, sonuçta mevcut tüm varlıkları tüketmelerine ve bunları DPRK kontrollü çeşitli cüzdanlara taşıyın.
Diğer kampanyalar, kullanıcıları, varlıklarını çalmak için truva atı haline getirilmiş kripto para birimi uygulamalarını indirmeye ve ilk erişim vektörü olarak sulama deliği saldırılarına (başka bir deyişle stratejik web ihlalleri), airdrop dolandırıcılığı ve kilim çekme işlemlerine katılmaya ikna etmek için benzer kimlik avı taktikleri kullandı.
Grup tarafından benimsenen bir diğer dikkate değer taktik, mali takip ve bulut ilişkilendirme çabalarını gizlemek için hizmetlerin karıştırılmasıdır. Bu tür hizmetler genellikle müşterinizi tanıyın (KYC) politikalarını veya kara para aklamayı önleme (AML) düzenlemelerini uygulamayan kripto para birimi değişim platformlarında sunulur.
“Kripto para firmaları için daha güçlü düzenlemeler, siber güvenlik gereklilikleri ve siber güvenlik yatırımları olmadığında, Kuzey Kore’nin yakın vadede ek gelir kaynağı olarak madencilikteki geçmiş başarısı nedeniyle neredeyse kesinlikle kripto para endüstrisini hedeflemeye devam edeceğini değerlendiriyoruz. Rejimi destekliyoruz” diye tamamladı Recorded Future.