Kuzey Koreli Bilgisayar Korsanları, Kimlik Avı Grupları ve Kara Para Aklama Araçlarına İlişkin Rapor Yorumlama Analizi

Lazarus Grubu

2023'teki güncellemeler

2023'teki kamuya açık bilgilere göre, Haziran ayı itibarıyla Kuzey Koreli hacker grubu Lazarus Group'a atfedilen hiçbir büyük kripto para hırsızlığı vakası bulunmuyor. Zincir içi faaliyetlere dayanarak Lazarus Group, 23 Haziran 2022'de Harmony çapraz zincir köprüsüne yapılan saldırıda kaybedilen yaklaşık 100 milyon dolar da dahil olmak üzere, esas olarak 2022'den itibaren çalınan kripto para birimi fonlarını akladı.

Ancak daha sonraki gerçekler, Lazarus Group'un 2022'den itibaren çalınan kripto para birimi fonlarını aklamanın yanı sıra karanlıkta da aktif olduğunu ve APT ile ilgili saldırı faaliyetlerine giriştiğini gösterdi. Bu faaliyetler, 3 Haziran'dan itibaren kripto para sektöründe doğrudan "Karanlık 101 Gün"ün yaşanmasına yol açtı.

“Karanlık 101 Günleri” sırasında, ağırlıklı olarak merkezi hizmet platformlarını hedef alan toplam 5 platform hacklendi ve toplam çalınan tutar 300 milyon doları aştı.

12 Eylül civarında SlowMist, ortaklarıyla birlikte Lazarus Group hacker grubu tarafından kripto para birimi endüstrisini hedef alan büyük ölçekli bir APT saldırısını keşfetti. Saldırı yöntemi şu şekildedir: Öncelikle doğrulama personelini kandırıp gerçek müşteri haline gelmek için gerçek kişi doğrulamayı kullanarak kimlik aldatmacasına girişirler. Daha sonra gerçek para yatırma işlemleri yaparlar. Bu müşteri kimliğini bir kılıf olarak kullanarak, iletişim sırasında resmi personele ve müşterilere (saldırganlara) özel Mac veya Windows truva atlarını seçici olarak dağıtırlar ve dahili ağ içinde yanal olarak hareket etme izinleri elde ederler. Para çalma hedefine ulaşmak için uzun süre gizlenirler.

ABD FBI da kripto para ekosistemindeki büyük hırsızlıklardan endişe duyuyor ve bir basın açıklamasında bunun Kuzey Koreli hackerlar Lazarus Group tarafından manipüle edildiğini kamuoyuna açıkladı. Aşağıda, Kuzey Koreli hacker Lazarus Group ile ilgili olarak FBI'ın 2023 yılında yayınladığı ilgili basın açıklaması yer almaktadır:

• 23 Ocak'ta FBI bunu doğruladı (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) Harmony Hack olayından Kuzey Koreli hackerlar Lazarus Group sorumlu olmalı.

• 22 Ağustos'ta FBI bir bildirim yayınladı (https://www.fbi.gov/news/press-releases/fbi-identifications-cryptocurrency-funds-stolen-by-dprk) Atomic Wallet, Alphapo ve CoinsPaid'i içeren Kuzey Koreli hacker organizasyonu Hacks'in toplam 197 milyon dolarlık kripto para çaldığını belirtti.

• 6 Eylül'de FBI bir basın açıklaması yayınladı (https://www.fbi.gov/news/press-releases/fbi-identifier-cryptocurrency-funds-stolen-by-dprk) Kuzey Koreli bilgisayar korsanları Lazarus Group'un, Stake.com kripto para birimi kumar platformundan 41 milyon dolarlık hırsızlıktan sorumlu olduğunu doğruladı.

Kara para aklama yöntemlerinin analizi

Analizimize göre Kuzey Koreli hackerlar Lazarus Group'un kara para aklama yöntemleri de zaman içinde gelişmeye devam etti. Arada bir yeni kara para aklama yöntemleri ortaya çıkacak. Kara para aklama yöntemlerinde değişiklik takvimi aşağıdaki gibidir:

Çete profili analizi

InMist istihbarat ağı ortaklarının istihbaratla ilgili güçlü desteğine dayanarak SlowMist AML ekibi, bu çalınan olaylarla ve hacker grubu Lazarus Group ile ilgili verileri takip edip analiz etti ve ardından hacker grubu Lazarus Group'un kısmi bir portresini elde etti:

• Çoğunlukla Avrupalı veya Türk kimliğini kılık değiştirmek için kullanıyorlar.
• Onlarca IP bilgisi, çok sayıda e-posta adresi bilgisi ve bazı duyarsızlaştırılmış kimlik bilgileri elde edildi:
  • 111.. 0,49
  • 103.. 0,162
  • 103.. 0,205
  • 210.. 0,9
  • 103.. 0,29
  • 103.. 0,163
  • 154.. 0,10
  • 185.. 0,217

Cüzdan Süzgeçleri

Not: Bu bölüm Scam Sniffer tarafından yazılmıştır, bunun için şükranlarımı sunmak isterim.

Genel Bakış

Kripto para birimiyle ilgili bir tür kötü amaçlı yazılım olan Cüzdan Süzgeçleri, geçtiğimiz yıl dikkate değer bir "başarı" elde etti. Bu yazılım programları, kullanıcıları kötü amaçlı işlemleri imzalamaya ikna etmek ve böylece kripto para birimi cüzdanlarındaki varlıkları çalmak için kimlik avı web sitelerine dağıtılır. Bu kimlik avı faaliyetleri sürekli olarak çeşitli biçimlerde sıradan kullanıcıları hedef almakta ve farkında olmadan bu kötü amaçlı işlemleri imzalayan birçok kişi için önemli mali kayıplara yol açmaktadır.

Çalınan fon istatistikleri

Geçtiğimiz yıl boyunca Scam Sniffer, Wallet Drainers'ın yaklaşık 324.000 kurbandan yaklaşık 295 milyon dolar çaldığını tespit etti.

Trendler

Özellikle 11 Mart'ta USDC döviz kurundaki dalgalanmalar ve Circle'ı taklit eden kimlik avı siteleri nedeniyle yaklaşık 7 milyon dolar çalındı. Arbitrum's Discord'un tehlikeye atılması ve ardından gelen airdrop etkinlikleriyle aynı zamana denk gelen 24 Mart civarında hırsızlıklarda da önemli bir artış yaşandı.

Hırsızlıklardaki her zirve, havadan yardım veya bilgisayar korsanlığı olayları olabilecek topluluk çapındaki olaylarla ilişkilidir.

Dikkate Değer Cüzdan Süzgeçleri

ZachXBT, Monkey Drainer'ı ifşa ettikten sonra 6 ay aktif kaldıktan sonra çıkışlarını duyurdu. Venom daha sonra müşterilerinin çoğunu devraldı. Daha sonra Mart ayı civarında MS, Inferno, Angel ve Pink ortaya çıktı. Venom'un Nisan ayı civarında faaliyetlerini durdurmasıyla çoğu kimlik avı grubu diğer hizmetleri kullanmaya yöneldi. %20 Drainer ücretiyle bu hizmetleri satarak en az 47 milyon dolar kazandılar.

Cüzdan Süzgeçleri Trendleri

Eğilimin analizi, kimlik avı faaliyetlerinin sürekli olarak arttığını gösteriyor. Üstelik, bir Drainer'ın her çıkışında, onun yerine yenisi gelir; örneğin Inferno'nun ayrıldığını duyurmasının ardından Angel'ın onun yerine geçmesi gibi.

Kimlik avı faaliyetlerini nasıl başlatıyorlar?

Bu kimlik avı web siteleri esas olarak çeşitli yöntemlerle trafik elde eder:

• Hacker Saldırıları:
  • Resmi proje Discord ve Twitter hesapları hackleniyor
  • Resmi projelerin ön uçlarına veya kullandıkları kütüphanelere yönelik saldırılar
• Organik Trafik
  • NFT'leri veya Tokenları Airdrop'lamak
  • Süresi dolmuş Discord bağlantılarından yararlanma
  • Twitter'da spam hatırlatıcıları ve yorumlar
• Ücretli Trafik
  • Google reklam arama
  • Twitter Reklamları

Bilgisayar korsanlarının saldırılarının geniş bir etkisi olmasına rağmen topluluk genellikle 10-50 dakika içinde hızlı bir şekilde tepki verir. Buna karşılık, airdrop'lar, organik trafik, ücretli reklamlar ve süresi dolmuş Discord bağlantılarından yararlanma daha az fark edilir.

Yaygın Kimlik Avı İmzaları

Farklı varlık türlerinin, kötü amaçlı kimlik avı imzalarını başlatmanın farklı yolları vardır. Yukarıda farklı varlık türleri için yaygın olarak kullanılan bazı kimlik avı imza yöntemleri verilmiştir. Süzgeçler, kurbanın cüzdanında bulunan varlık türlerine göre ne tür kötü amaçlı kimlik avı imzası başlatılacağına karar verecek.

Örneğin, Reward LP belirteçlerini çalmak için GMX'in signalTransfer'ından yararlanılması durumunda, kimlik avı tekniklerinin son derece karmaşık hale geldiği ve belirli varlıklar için özel olarak tasarlandığı açıktır.

Akıllı Sözleşmelerin Kullanımını Artırın

1）Çoklu

Inferno'dan başlayarak sözleşme teknolojisinin kullanılmasına daha fazla odaklanıldı. Örneğin işlem ücretlerinin bölünmesinin iki ayrı işlem gerektirdiği durumlarda süreç yeterince hızlı olamayabilir. Bu, mağdurun ikinci aktarımdan önce yetkiyi iptal etmesine olanak tanıyabilir. Verimliliği artırmak amacıyla daha etkili varlık aktarımları için çoklu aramayı kullanmaya başladılar.

2）YARAT2 & YARAT

Bazı cüzdan güvenlik kontrollerini atlamak için, dinamik olarak geçici adresler oluşturmak üzere create2 veya create ile denemeler yapmaya da başladılar. Bu yaklaşım, cüzdan tabanlı kara listeleri etkisiz hale getiriyor ve kimlik avı faaliyetlerine ilişkin araştırmaları karmaşık hale getiriyor. İmzalamadan varlıkların nereye aktarılacağını bilemeyeceğiniz ve geçici adresler çok fazla analitik değer sunmayacağı için bu önemli bir zorluk teşkil ediyor. Bu geçen yıla kıyasla önemli bir değişime işaret ediyor.

Kimlik Avı Web Sitesi

Kimlik avı web sitelerinin sayısı analiz edildiğinde, kimlik avı faaliyetlerinde istikrarlı bir aylık artış olduğu ortaya çıkıyor ve bu durum, istikrarlı cüzdan boşaltma hizmetlerinin varlığıyla yakından bağlantılı.

Bu kimlik avı web siteleri tarafından kullanılan alan adları çoğunlukla belirli alan adı kayıt şirketlerine kayıtlıdır. Sunucu adreslerinin analizi, çoğu kişinin gerçek sunucu konumlarını gizlemek için Cloudflare kullandığını gösteriyor.

Kara Para Aklama Araçları

Sinbad

Sinbad, 5 Ekim 2022'de kurulmuş bir Bitcoin karıştırıcısıdır. Blockchain üzerindeki fon akışını gizlemek için işlem ayrıntılarını gizler.

ABD Hazine Bakanlığı, Sinbad'ı "OFAC tarafından belirlenen Kuzey Koreli hack grubu Lazarus için birincil kara para aklama aracı olan sanal para karıştırıcı" olarak tanımlıyor. Sinbad, Horizon Bridge ve Axie Infinity hack olaylarından elde edilen fonları yönetti ve aynı zamanda "yaptırımlardan kaçınmak, uyuşturucu kaçakçılığı, çocukların cinsel istismarıyla ilgili materyallerin satın alınması ve karanlık web pazarında diğer yasa dışı satışlara dahil olmak" gibi faaliyetlerle ilgili fonları da aktardı. ”

Alphapo bilgisayar korsanları (Lazarus Grubu), aşağıdaki gibi işlemlerde görüldüğü gibi kara para aklama sürecinde Sinbad'ı kullandı:

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)

Kasırga Nakit

(https://dune.com/misttrack/mixer-2023)

Tornado Cash, kaynak ve hedef adresler arasındaki zincir içi bağlantıyı keserek işlem gizliliğini artıran, tamamen merkezi olmayan, gözetimsiz bir protokoldür. Gizliliği korumak için Tornado Cash, bir adresten ETH ve diğer token depozitolarını kabul eden ve bunların farklı bir adrese çekilmesine izin veren, yani ETH ve diğer tokenleri gönderen adresi gizleyecek şekilde herhangi bir adrese gönderen akıllı bir sözleşme kullanır. .

2023 yılında kullanıcılar Tornado Cash'e toplam 342.042 ETH (yaklaşık 614 milyon dolar) yatırdı ve Tornado Cash'ten toplam 314.740 ETH (yaklaşık 567 milyon dolar) çekti.

eXch

(https://dune.com/misttrack/mixer-2023)

2023 yılında kullanıcılar eXch'e toplam 47.235 ETH (yaklaşık 90,14 milyon dolar) yatırdı ve eXch'e toplam 25.508.148 ERC20 stabilcoin (yaklaşık 25.5 milyon dolar) yatırıldı.

Demiryolu silahı

Railgun, işlemleri tamamen görünmez kılmak için zk-SNARK'ın şifreleme teknolojisini kullanır. Railgun, kullanıcının tokenlarını kendi gizlilik sistemi içerisinde “korur”, böylece her işlem, blok zincirindeki Railgun sözleşme adresinden gönderiliyormuş gibi görünür.

2023'ün başlarında FBI, Kuzey Koreli hacker grubu Lazarus Group'un, Harmony's Horizon Bridge'den çalınan 60 milyon doların üzerinde parayı aklamak için Railgun'u kullandığını açıkladı.

Çözüm

Bu makale, Kuzey Koreli hacker grubu Lazarus Group'un 2023 yılındaki faaliyetlerini tanıtmaktadır. SlowMist güvenlik ekibi bu hacker grubunu sürekli olarak izliyor ve grubun bir profilini oluşturmak için dinamiklerini ve kara para aklama yöntemlerini özetleyip analiz ediyor. 2023 yılında balıkçı çeteleri yaygınlaştı ve blockchain endüstrisinde büyük mali kayıplara neden oldu. Bu çeteler koordineli bir şekilde faaliyet gösteriyor ve saldırıların "aktarma" modelini sunuyorlar. Sürekli ve büyük ölçekli saldırıları sektörün güvenliği açısından önemli zorluklar teşkil ediyor. Kimlik avı çetesi Wallet Drainers'ı ifşa ettikleri için Web3 dolandırıcılıkla mücadele platformu Scam Sniffer'a şükranlarımızı sunmak isteriz. Bu bilgilerin çalışma yöntemlerini ve kâr durumlarını anlamak açısından büyük önem taşıdığına inanıyoruz. Son olarak, bilgisayar korsanları tarafından yaygın olarak kullanılan kara para aklama araçlarına da bir giriş sağlıyoruz.

Raporun tamamını indirin:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf

Yasal Uyarı:

1. Bu makale [SlowMist Technology]'den yeniden basılmıştır. Tüm telif hakları orijinal yazara [yavaş sis güvenliği ekibine] aittir. Bu yeniden basıma itirazlarınız varsa lütfen Gate Learn ekibiyle iletişime geçin; onlar konuyu hemen halledeceklerdir.
2. Sorumluluk Reddi: Bu makalede ifade edilen görüş ve görüşler yalnızca yazara aittir ve herhangi bir yatırım tavsiyesi teşkil etmez.
3. Makalenin diğer dillere çevirileri Gate Learn ekibi tarafından yapılır. Aksi belirtilmedikçe tercüme edilen makalelerin kopyalanması, dağıtılması veya intihal edilmesi yasaktır.