Kuzey Koreli hacker grubu TraderTraitor, Japonya merkezli Bitcoin.DMM.com şirketinden 308 milyon dolar değerinde kripto para çalarak siber suç dünyasında yankı uyandıran bir saldırıya imza attı. Bu olay, sosyal mühendislik ve siber saldırıların ne kadar tehlikeli boyutlara ulaşabileceğini bir kez daha gözler önüne serdi. FBI, Japonya Ulusal Polis Ajansı ve diğer uluslararası kurumlar, bu saldırının detaylarını ve Kuzey Kore'nin yasa dışı faaliyetlerini ortaya çıkarmak için çalışmalarını sürdürüyor.

TraderTraitor ve Sosyal Mühendislik Taktikleri

TraderTraitor, aynı zamanda Jade Sleet, UNC4899 ve Slow Pisces isimleriyle de bilinen bir hacker grubu. Bu grup, sosyal mühendislik yöntemlerini ustalıkla kullanarak hedef aldığı şirketlerin çalışanlarını manipüle ediyor. Mart 2024'te, bir Kuzey Koreli hacker, LinkedIn üzerinden Japonya merkezli Ginco şirketinin bir çalışanıyla iletişime geçti. Ginco, kurumsal kripto para cüzdanları için yazılım geliştiren bir şirket olarak biliniyor. Bu sebeple bu tip bir operasyon açısından bir çalışanın hedef alınması şarşırtıcı değil.

Hacker, kendisini bir işe alım uzmanı olarak tanıtarak Ginco çalışanına ön mülakat aşamasında bir iş başvurusu testi sundu. IT sektöründe oldukça yaygın olan bu uygulama, bu alanda çalışan pek çok insan için oldukça bilinen birşey. Bu sebeple kurban Gİnco çalışanı da bu durumu oldukça normal karşılamış olmalı. Ancak bu test, aslında zararlı bir Python koduydu ve GitHub üzerinden paylaşıldı. Çalışan, bu kodu kendi GitHub hesabına kopyaladığında sistem enfekte oldu ve hackerlar Ginco'nun sistemine erişim sağladı.

Saldırının İlerleyişi ve 4502,9 Bitcoin'in Çalınması

Mayıs 2024'te, TraderTraitor grubu Ginco'nun iletişim-Doğrulama sistemine yetkisiz erişim elde etti. Bu erişim, çalınan oturum çerezleri sayesinde mümkün oldu. Hackerlar, Ginco çalışanlarının kimliğine bürünerek sistemde hareket etti. Aynı ayın sonunda, DMM şirketinden gelen yasal bir işlem talebine müdahale ederek 4502,9 Bitcoin'i kendi kontrol ettikleri cüzdanlara aktardılar. Bu miktar, saldırı sırasında 308 milyon dolar değerindeydi.

DMM Bitcoin Hizmeti'ni Durdurma Kararı Aldı

Bu büyük saldırının ardından, DMM şirketi Kasım 2024'te DMM Bitcoin hizmetini kapatma kararı aldı. Şirket, tüm müşteri hesaplarını ve varlıklarını SBI Group'un bir yan kuruluşu olan SBI VC Trade platformuna devredeceğini duyurdu. Bu geçişin Mart 2025'te tamamlanması planlanıyor.

Siber Güvenlikte Alınacak Dersler

Bu olay, siber güvenlikte insan faktörünün ne kadar kritik olduğunu bir kez daha gösteriyor. Sosyal mühendislik saldırıları, teknik güvenlik önlemlerini aşarak çalışanların dikkatsizliğinden faydalanıyor. Şirketlerin, çalışanlarını bu tür saldırılara karşı eğitmesi ve farkındalık yaratması büyük önem taşıyor.

FBI ve diğer uluslararası kurumlar, Kuzey Kore'nin yasa dışı faaliyetlerini durdurmak için çalışmalarını sürdürüyor. Ancak bu tür saldırılar, siber güvenlik önlemlerinin sürekli olarak güncellenmesi ve güçlendirilmesi gerektiğini hatırlatıyor.

Sonuç olarak, Kuzey Koreli hackerların gerçekleştirdiği bu saldırı, kripto para dünyasında güvenlik açıklarının ne kadar büyük kayıplara yol açabileceğini gözler önüne seriyor. Şirketler ve bireyler, bu tür tehditlere karşı daha dikkatli olmalı ve güvenlik önlemlerini artırmalıdır ve insanın ne bu yapıdaki en büyük güvenlik açığı olduğu unutulmamalıdır.

Kaynak : https://www.securitylab.ru/news/555074.php