Siber suçlardan söz ederken yeni bir sayfa açtıran Lazarus, gölgeler içinde yürüttüğü saldırılarına bir yenisini ekledi. Bugüne kadarki en büyük kripto para soygununu gerçekleştiren hackerlar, yaklaşık 1,5 milyar dolar değerinde hırsızlık yaptı.
Hayatın gitgide daha fazla dijital ortama kaydığı bir dönemde, siber suçların etkisinin de daha şiddetli olması kaçınılmaz. Ancak dünyanın en yoksul ülkelerinden birinin 10 yıldan uzun süredir dev şirketlerin sistemlerini ele geçirip parasını çalması, teknolojinin dengeleri nasıl alt üst edebileceğinin kanıtı niteliğinde.
Pek çok kişi hacker grubu Lazarus'un Kuzey Kore devleti tarafından desteklendiğini, hatta Lazarus'un bizzat Kuzey Kore olduğunu savunsa da Asya ülkesi iddiaları reddediyor.
Logos'un bu sayısında, Hollywood filmlerini aratmayacak bir talihsizlikle 1 milyar doları elinden kaçıran, dünyanın en büyük eğlence şirketlerinden birini avucunun içine alan ve kripto para piyasasını sarsan Lazarus'u masaya yatırıyoruz.
1) Dünyanın dikkatini nasıl çektiler?
İlk faaliyetlerinin izi 2007 veya 2009'a kadar sürülen Lazarus, büyük ölçüde ABD ve Güney Kore sitelerini hedef alıyordu.
Örneğin Amerikan Bağımsızlık Günü olan 4 Temmuz 2009'da, iki ülkenin devlet kurumları, bankaları ve gazeteleri gibi internet sitelerini devre dışı bırakmaya yönelik bir dizi saldırı düzenlenmişti.
Ancak Kuzey Kore'yle ilişkilendirilen örgütün büyük yankı uyandıran ilk eylemi Kasım 2014'te Sony Pictures Entertainment'ı hacklemesiydi.
Şirket bu dönemde Kuzey Kore lideri Kim Jong-un'a suikast düzenlenmesini konu alan komedi filmi Diktatörle Görüşme'yi (The Interview) çıkarmaya hazırlanıyordu.
Asya ülkesinin tepkisini çeken filmin yayımlanmasından kısa süre önce Sony çalışanları, bilgisayar ekranlarında kırmızı bir iskelet görüntüsün üstünde yazan şu ifadelerle karşılaştı:
Sizi önceden uyardık ve bu sadece başlangıç. Taleplerimiz karşılanana kadar durmayacağız. Sırlar ve çok gizli bilgiler de dahil tüm şirket içi verilerinizi ele geçirdik.
Kendilerine Guardians of Peace (Barış Muhafızları) diyen grup, taleplerini açıkça yazmamıştı.
Daha sonra yöneticilerin maaşları, şirket içi gizli e-postalar ve henüz gösterime girmemiş filmlerin ayrıntıları internete sızdırıldı, bilgisayarlara virüs bulaştı ve Sony Pictures siber saldırıyı kontrol altına almaya çalışırken e-posta ve mesajlaşma sistemlerini bir hafta kapattı. Şirketin merkezinin bulunduğu alandaki bir kafe 6 hafta boyunca kredi kartı kabul etmedi.
BBC'nin aktardığı üzere hackerların fiziksel şiddet tehditlerinin ardından Sony, filmi ülke çapında gösterime sokmaktan vazgeçti ve sadece dijital ortamda ve bazı bağımsız sinemalarda yayımladı.
İncelemeler sonucunda daha önce Güney Kore'ye yapılan ve Kuzey Kore'yle ilişkilendirilen siber saldırılardaki araçların kullanıldığı anlaşıldı. Saldırı sonucu Sony'nin yaklaşık 150 milyon dolar kayba uğradığı tahmin ediliyor.
2) 1 milyar dolarlık soygun nasıl başarısız oldu?
Lazarus'un eylemlerinde uzmanları belki de en çok etkileyen şey, çalınan parayı aklama kısmını özenle planlamaları.
Bir yıla yayılan bu türden dikkatli bir çalışmanın en meşhur örneği de 2016 Şubat'ta Bangladeş Merkez Bankası'na düzenlenen soygun.
Örgüt Ocak 2015'te bankaya gönderilen zararsız görünümlü bir CV'yle sisteme sızmış ve paranın Filipinler ve Sri Lanka'da nerelere aktarılacağını belirlemişti.
RCBC bankasının, Manila'nın Jüpiter Caddesi'nde yer alan şubesinde 4 ayrı hesap açılmıştı. Eğer başka bir caddede yer alan bir şubeyi seçselerdi, muhtemelen çalınması planlanan paranın tamamını ele geçireceklerdi.
Banka yetkililerine göre hackerlar, sistemine sızdıkları Bangladeş Bankası'dan ödeme transferleri için kimlik bilgilerini çaldı. Ardından şubatın ilk günlerinde New York Merkez Bankası'ndan, Bangladeş Bankası'nın hesabından Filipinler ve Sri Lanka'daki hesaplara 951 milyon dolar aktarmasını talep ettiler. Aynı zamanda Bangladeş Bankası'nın kendi hesaplarından yapılan işlemlerin kaydını tutan yazıcıyı da devre dışı bıraktılar.
Soygun, Asya ve Amerika arasındaki saat farkından yararlanarak para aktarımının mümkün olduğunca geç öğrenilmesini sağlayacak şekilde tasarlanmıştı. Para transferi, Bangladeş'in hafta sonuna gireceği perşembe akşamı başlamıştı.
New York'takiler ilk başta hiçbir şeyden şüphelenmeden 101 milyon değerinde transferi gerçekleştirdi. Ancak banka adreslerinde "Jüpiter" ismini görünce geri kalan miktarın aktarımına izin vermediler. Şans eseri Jüpiter, ABD'nin yaptırım uyguladığı, İran'a ait bir petrol tankeri ve bir nakliye şirketinin adıydı.
Lazarus, 101 milyon doların 20 milyonluk kısmını da yazım hatası yüzünden elinden kaçırdı. Sri Lanka'daki Shalika Vakfı'na (Shalika Foundation) yapılması planlanan transferde, kuruluşun adının "foundation" yerine "fandation" diye yazılması sonucu işlem durduruldu.
Reuters'ın aktardığı üzere 81 milyon doların sadece 15 milyonu geri alındı.
3) Lazarus ismi nereden geliyor?
Bangladeş soygunundan kısa süre sonra çıkan kapsamlı bir çalışmada, 2007-2009'dan Sony'ye kadar yapılan çeşitli saldırıların aynı örgüt tarafından gerçekleştirildiği bulundu.
Siber güvenlik şirketi Novetta'nın liderliğinde, eğlence şirketinin hacklenmesini araştırmak için yürütülen çalışmada farklı kötü amaçlı yazılımların, aynı kod temellerinden çıktığı tespit edildi.
Bu sayede araştırmacılar, farklı isimlerle saldırılar gerçekleştiren grupların aslında aynı örgüt olduğu sonucuna varmış ve İncil'de ölümden geri dönen kişiye ithafen Lazarus ismini uygun görmüştü.
Novetta'dan Andre Ludwig, "Bir saldırı bitiyor, bu grup ortadan kayboluyor ve bir daha haber alınamıyor ancak aynı araçları kullanan aynı grup olduğunu biliyoruz" demişti.
Lazarus, 2017'de dünya çapında 200 binden fazla bilgisayarı etkileyen WannaCry fidye yazılımından, Kovid-19 aşısı geliştiren AstraZeneca cihazlarına erişmeye çalışan 2020 saldırısına kadar çeşitli olaylarla ilişkilendiriliyor.
4) Bybit soygunu nasıl gerçekleşti?
ABD merkezli blok zincir analiz şirketi Chainalysis'in raporuna göre 2024'te gerçekleşen 2,2 milyar değerindeki kripto para soygununun yaklaşık 1,3 milyar doları Kuzey Kore'yle ilişkilendiriliyor. Rapora göre ABD ve diğer ülkelerden yetkililer, çalınan kripto paranın kitle imha silahları ve balistik füze programlarına harcandığını düşünüyor.
Kripto para hırsızlığında bir rekora işaret eden raporun yayımlanmasından birkaç ay sonra, tek seferde bu değerin üzerine çıkılan bir soygun gerçekleşti.
Dubai merkezli kripto para borsası Bybit, 21 Şubat'ta 1,46 milyar dolarlık bir hırsızlığın hedefi oldu. 2021'de Poly Network'ten çalınan 611 milyon doların aşıldığı bu olay, tüm zamanların en büyük kripto para soygunu.
Bybit CEO'su Ben Zhou, saldırının arkasında Lazarus olduğunu söyleyerek kaybedilen paranın geri getirilmesine yardım edecek kişilere para ödülü vereceğini açıkladı. FBI da grubun adını vermeden soygundan Kuzey Kore'yi sorumlu tuttu.
Hırsızlık, bir Ethereum (ETH) soğuk cüzdanından, yani çevrimdışı hesaptan, çevrimiçi bir sıcak cüzdana yapılan transfer sırasında gerçekleşti.
Zhou, olayın yaşandığı gün yaptığı açıklamada "İşlemi gördüğümüzde her zamanki gibi bir şeydi" dedi:
Bu işlemi son imzalayan bendim ve geldiğinde normal bir URL'ydi.
Ancak kodla gizlenmiş hedef adresini tam olarak kontrol etmeden bağlantıya tıkladığını söyleyen Zhou "İmzaladıktan 30 dakika sonra soğuk Ethereum cüzdanımızın boşaltıldığına dair acil durum çağrısı aldık" diye ekledi.
CEO ayrıca Bybit'in hazinesinin çalınan fonları karşılayabileceği güvencesi vererek başka hiçbir bakiyenin tehlikeye atılmadığını belirtti.
5) Parayı nasıl aklıyorlar?
Kripto suç analistleri, kolluk kuvvetleri ve ulusal güvenlik kurumları, çalınan fonları dondurmak veya ele geçirmek amacıyla Bybit'e destek olsa da ellerini çabuk tutmaları gerekiyor.
2 Mart Pazar günü itibarıyla çalınan 499 bin ETH'nin neredeyse yüzde 70'inin başka hesaplara aktarılarak aklandığı ve geri kalanının da üç gün içinde taşınacağı tahmin ediliyor.
Blok zincir şirketi TRM Labs'e göre hackerler ilk 48 saatte 160 milyon dolar değerinde parayı aklamayı başardı.
Şirketin küresel politika başkanı Ari Redbord "Bu saldırıyı diğerlerinden ayıran şey, sonrasında paranın olağanüstü bir hızda aklanması" diyor.
Bu hızın bir yıl önce hayal edilemeyeceğini söyleyen Redbord şöyle ekliyor:
Bu değişim, Kuzey Kore'nin aklama kapasitesinin genişleyip genişlemediğine dair endişe verici soruları akla getiriyor. Kriminal finans ağları fonları hiçbir zaman bu kadar hızlı işlememişti.
Hackerlar parayı aklamak için bunu farklı cüzdanlara gönderiyor, diğer kripto para birimlerine dönüştürüyor, merkezi olmayan borsaları kullanarak izinin sürülmesini engellemeye çalışıyor.
Bybit saldırısında paranın büyük bir kısmı Bitcoin'e dönüştürülürken, Britanya merkezli blok zincir analiz şirketi Elliptic'e göre, en az 120 milyon dolar değerindeki kripto para, eXch kullanılarak el değiştirdi. Bu borsa, kullanıcılarının kripto varlıkları anonim bir şekilde takas etmesine izin vermesiyle öne çıkıyor.
Elliptic, Kuzey Kore'nin halihazırda en gelişmiş kripto para aklayıcısı olduğunu ve tekniklerini sürekli güncellediğini öne sürüyor.
Ayrıca Birleşmiş Milletler Uyuşturucu ve Suç Ofisi'nin geçen yılki raporuna göre Kuzey Koreli hackerlar, kripto veya geleneksel paraları Güneydoğu Asya'daki kumarhaneler aracılığıyla aklıyor.
Hatta Bangladeş soygunundaki 81 milyon doların önemli bir kısmının da bu şekilde aklandığı söyleniyor.
6) Kuzey Kore nasıl böyle bir güce sahip?
Kuzey Kore son yıllarda dijitalleşmeye ayrı bir önem vermeye başlamasına karşın, teknoloji denince akla ilk gelen ülke olduğu söylenemez.
İnternete erişimin büyük ölçüde kısıtlandığı, iki binden fazla yaptırım uygulanan ve dünyanın en yoksul ülkeleri arasında sayılan Kuzey Kore, son derece izole bir halde.
Peki nasıl oluyor da benzeri görülmemiş siber saldırı ve soygunların arkasında bu Asya ülkesinin olduğu söyleniyor?
Lazarus'a ismini veren rapora göre aslında bu saldırıların gerçekten Kuzey Kore devleti tarafından gerçekleştirildiğine dair yeterince güçlü kanıtlar yok.
Diğer yandan raporda "Lazarus operasyonlarının ölçeği şoke edici" ifadeleri yer alıyor:
Bu, operasyonun tüm aşamalarında sıkı bir organizasyon ve kontrol gerektiren bir şey... Böyle bir işin devam etmesi için çok fazla para gerekir.
Örgüt hakkında pek bilgi olmasa da Park Jin-hyok isimli bir bilgisayar programcısı baş şüpheliler arasında yer alıyor ve FBI tarafından aranıyor.
Park'ın çocukluktan itibaren "siber savaşçı olmak için yetiştirilen binlerce genç Kuzey Koreliden biri" olduğu tahmin ediliyor.
Devletin bu amaçla Çin'e gönderdiği en yetenekli programcılarının beraber yaşayıp çalıştığı düşünülüyor. BBC'nin Lazarus'la ilgili detaylı haberinde şu ifadelere yer veriliyor:
Orada dünyanın geri kalanı gibi bilgisayar ve interneti, alışveriş yapmak, kumar oynamak, ağ kurmak ve eğlenmek için kullanmayı öğreniyorlar. Uzmanlar, matematik dehalarından hackerlara dönüştüklerini söylüyor.
Diğer yandan bazı uzmanlara göre Kuzey Kore'nin izolasyonu, böyle saldırılar gerçekleştirmesini kolaylaştırıyor olabilir.
Siber casusluk uzmanı Fred Plan, "Kuzey Koreli aktörleri diğer ülkelerdeki operasyonlardan nispeten daha tehlikeli kılan şeylerden biri, Pyongyang rejiminin izole edilmiş ve küresel ekonomik ticaret ve diplomatik ilişkilerden kopmuş olması" diyor:
Bunun sonucunda Kuzey Kore 'kurallara göre oynamaya' teşvik edilmiyor ve ülke, diğer ulus devletlerin kabul edilebilir davranışlarını tanımlayan sınırları aşmayı sürdürüyor.
Ancak arkalarında kim olursa olsun bütün bu saldırılar, aslında kritik sistemlerin ne kadar savunmasız olduğunu gösteriyor. Cyber Statecraft Initiative'den Beau Woods "Riskler bu kadar yüksek olduğunda, daha fazla özen göstermeliyiz" ifadelerini kullanıyor.
Independent Türkçe
ABD Başkanı Donald Trump, Davos'taki Dünya Ekonomik Forumu'nun yıllık toplantısında konuşma yapıyor (AFP)
Colón'daki Panama Kanalı'nın havadan görünümü, 1 Şubat 2025 (Reuters)
ABD Başkan Yardımcısı J.D. Vance, Grönland'daki ABD Ordusu’na ait Pituffik Uzay Üssü’nde, 28 Mart 2025 (AFP)
