TRM Labs’ın yeni bulgularına göre, 2022 LastPass veri ihlalinden çalınan şifreli kasa yedekleri, 2025’in sonlarına doğru kötü niyetli kişilerin zayıf ana parolalardan yararlanarak bunları kırarak kripto para varlıklarını tüketmesine olanak sağladı.
Blockchain istihbarat firması, kanıtların Rus siber suç aktörlerinin faaliyete dahil olduğuna işaret ettiğini ve Rus borsalarından birinin Ekim ayı gibi yakın bir tarihte LastPass bağlantılı fonlar aldığını söyledi.
Bu değerlendirmenin “Rusya ile ilişkili altyapı ile tekrarlanan etkileşim, karışım öncesi ve sonrası faaliyetlerde kontrolün sürekliliği ve yüksek riskli Rus borsalarının çıkış rampası olarak tutarlı kullanımı dahil olmak üzere zincir üstü kanıtların bütünlüğüne dayandığı” ifade edildi.
LastPass, 2022’de saldırganların, kripto para birimi özel anahtarları ve tohum ifadeleri gibi kimlik bilgilerini içeren şifrelenmiş şifre kasaları da dahil olmak üzere müşterilerine ait kişisel bilgilere erişmesine olanak tanıyan büyük bir saldırıya uğradı.
Bu ayın başlarında şifre yönetimi hizmeti, olayı önlemek için yeterince sağlam teknik ve güvenlik önlemlerini uygulamadığı için Birleşik Krallık Bilgi Komisyonu Ofisi (ICO) tarafından 1,6 milyon dolar para cezasına çarptırıldı.
Bu ihlal aynı zamanda şirketin, kötü niyetli kişilerin ana şifreleri tahmin etmek ve çalınan kasa verilerinin şifresini çözmek için kaba kuvvet tekniklerini kullanabileceğini belirten bir uyarı yayınlamasına da yol açtı. TRM Laboratuvarlarından elde edilen son bulgular, siber suçluların tam da bunu yaptığını gösteriyor.
Şirket, “Zayıf bir ana şifreyle korunan herhangi bir kasanın şifresi eninde sonunda çevrimdışı olarak çözülebilir ve bu da 2022’deki tek bir izinsiz girişin, saldırganların şifreleri sessizce kırması ve zaman içinde varlıkları tüketmesi için çok yıllı bir pencereye dönüşmesine neden olabilir.” dedi.
“Kullanıcılar şifreleri değiştirmede veya kasa güvenliğini iyileştirmede başarısız oldukça, saldırganlar yıllar sonra da zayıf ana şifreleri kırmaya devam etti ve bu da 2025’in sonlarına doğru cüzdan tükenmelerine yol açtı.”
Rusya’nın 2022 LastPass ihlalinden çalınan kripto parayla bağlantısı iki temel faktörden kaynaklanıyor: Aklama hattında Rus siber suç ekosistemiyle yaygın olarak ilişkilendirilen borsaların kullanılması ve karıştırma ve aklama sürecinden önce ve sonra karıştırıcılarla etkileşime giren cüzdanlardan toplanan operasyonel bağlantılar.
35 milyon dolardan fazla sifonlanan dijital varlık takip edildi ve bunun 28 milyon doları Bitcoin’e dönüştürüldü ve 2024’ün sonları ile 2025’in başları arasında Wasabi Cüzdan aracılığıyla aklandı. Diğer 7 milyon doların ise Eylül 2025’te tespit edilen bir sonraki dalgayla bağlantılı olduğu belirtildi.
Çalınan fonların Cryptomixer.io aracılığıyla yönlendirildiği ve yasa dışı faaliyetlerle bağlantılı iki Rus borsası olan Cryptex ve Audia6 aracılığıyla sınır dışı edildiği tespit edildi. Burada Cryptex’in, fidye yazılımı saldırılarından elde edilen 51,2 milyon doların üzerinde yasa dışı fon elde ettiği için Eylül 2024’te ABD Hazine Bakanlığı tarafından yaptırıma tabi tutulduğunu belirtmekte fayda var.
TRM Labs, fon akışının harici gözlemcilere izlenmesini zorlaştırmak için CoinJoin tekniklerinin kullanılmasına rağmen, kümelenmiş para çekme işlemlerini ve karışık Bitcoin’i iki borsaya yönlendiren soyma zincirlerini ortaya çıkararak aktiviteyi ayrıştırmayı başardığını söyledi.
TRM Labs küresel politika başkanı Ari Redbord, “Bu, tek bir ihlalin nasıl çok yıllı bir hırsızlık kampanyasına dönüşebileceğinin açık bir örneğidir” dedi. “Karıştırıcılar kullanıldığında bile operasyonel modeller, altyapının yeniden kullanımı ve rampa dışı davranışlar, faaliyetin arkasında kimin olduğunu hala ortaya çıkarabilir.”
“Rusya’daki yüksek riskli borsalar, küresel siber suçlar için kritik geçiş noktaları olarak hizmet etmeye devam ediyor. Bu vaka, ayrıştırma ve ekosistem düzeyindeki analizlerin neden artık ilişkilendirme ve uygulama için temel araçlar olduğunu gösteriyor.”