Radiant Capital, bilgisayar korsanlarının 16 Ekim’de gerçekleşen siber saldırıda sistemlerini ihlal etmesinin ardından meydana gelen 50 milyon dolarlık kripto para birimi soygununun arkasında Kuzey Koreli tehdit aktörlerinin olduğunu söylüyor.
Bu atıf, saldırının “UNC4736 ve AppleJeus” olarak da bilinen Citrine Sleet olarak bilinen Kuzey Kore devletine bağlı bilgisayar korsanları tarafından gerçekleştirildiğini söyleyen Mandiant’taki siber güvenlik uzmanlarının yardımıyla olayın araştırılmasının ardından geldi.
ABD daha önce Kuzey Koreli tehdit aktörlerinin, ülkenin operasyonlarını desteklemek için fon üretmek ve aklamak amacıyla kripto para firmalarını, borsaları ve oyun şirketlerini hedef aldığı konusunda uyarmıştı.
Radiant, kullanıcıların birden fazla blockchain ağında kripto para yatırmasına, ödünç almasına ve yönetmesine olanak tanıyan merkezi olmayan bir finans (DeFi) platformudur.
Platform, Arbitrum Layer 2 ölçeklendirme sistemi aracılığıyla Ethereum blockchain güvenliğini kullanıyor ve kullanıcıların RDNT dolapları aracılığıyla yönetime katılmasına, teklif göndermesine ve aktif girişimlere oy vermesine olanak tanıyan topluluk odaklı bir sistem altında çalışıyor.
16 Ekim 2024’te Radiant, yetkisiz işlemleri yürütmek üzere cihazları ele geçirilen üç güvenilir geliştiriciyi hedef alan “karmaşık kötü amaçlı yazılımların” neden olduğu 50 milyon dolarlık bir ihlale uğradığını duyurdu.
Bilgisayar korsanlarının, işlem hataları kisvesi altında geçerli imzalar toplayarak ve Arbitrum ve Binance Smart Chain (BSC) pazarlarından fon çalarak rutin çoklu imza sürecinden yararlandıkları görülüyor.
Saldırı, donanım cüzdanı güvenliğini ve çoklu doğrulama katmanlarını atladı ve manuel ve simülasyon kontrolleri sırasında işlemler normal göründü, bu da yüksek düzeyde karmaşıklığın göstergesiydi.
Parmak Kuzey Kore’yi işaret etti
Saldırıya ilişkin Mandiant’ın yardımıyla yapılan dahili soruşturmanın ardından Radiant, artık kullanılan kötü amaçlı yazılım ve bunun arkasındaki failler hakkında daha fazla bilgi paylaşabilir.
Saldırı, 11 Eylül 2024’te bir Radiant geliştiricisinin eski bir yükleniciyi kandıran ve onu kötü amaçlı bir ZIP dosyası indirmeye yönlendiren bir Telegram mesajı almasıyla başladı.
Arşiv, yem olarak kullanılacak bir PDF dosyası ve virüslü cihazda bir arka kapı oluşturan ‘InletDrift’ adlı bir macOS kötü amaçlı yazılım yükünü içeriyordu.
Kaynak: Radyant
Radiant, saldırının o kadar iyi tasarlandığını ve kusursuz bir şekilde yürütüldüğünü, dolayısıyla mevcut tüm güvenlik önlemlerini atladığını söyledi.
Radiant, “Bu aldatmaca o kadar sorunsuz bir şekilde gerçekleştirildi ki, Tenderly’de işlemlerin simüle edilmesi, yük verilerinin doğrulanması ve her adımda endüstri standardı SOP’ların takip edilmesi gibi Radiant’ın standart en iyi uygulamalarıyla bile, saldırganlar birden fazla geliştirici cihazını tehlikeye atmayı başardı” diye açıkladı. .
“Ön uç arayüzler, arka planda kötü amaçlı işlemler imzalanırken zararsız işlem verilerini gösteriyordu. Geleneksel kontroller ve simülasyonlar hiçbir belirgin tutarsızlık göstermedi ve bu da tehdidin normal inceleme aşamalarında neredeyse görünmez olmasını sağladı.”
Mandiant, saldırının, bu yılın başlarında Google Chrome’daki sıfır gün güvenlik açığından yararlandığı ortaya çıkan aynı tehdit grubu olan UNC4736 tarafından gerçekleştirildiğini büyük bir güvenle değerlendirdi.
Güvenlik önlemlerinin başarılı bir şekilde aşılması göz önüne alındığında Radiant, işlem güvenliğini artırmak için daha sağlam, cihaz düzeyinde çözümlere olan ihtiyacın altını çiziyor.
Çalınan fonlara gelince, platform mümkün olan her miktarı kurtarmak için ABD kolluk kuvvetleri ve ZeroShadow ile işbirliği yaptığını söylüyor.