Yeni Bybit Hack Raporu: Kuzey Kore, Sahte Borsa Simülatörünü Nasıl Kullandı?

24 okunma — 11 Mart 2025 08:12

uzmanblog

Kuzey Kore’nin devlet takviyeli hacker kümesi Lazarus, Bybit kripto para borsasından 1,4 milyar dolar çalmak için ustalıkla bir plan uyguladı. Düzmece bir borsa süreç simülatörü, bu devasa soygunun anahtarı oldu.

Bybit soygunun perde arkası

Kripto para borsası Bybit, 1,4 milyar dolarlık bir hack olayına kurban gittiğinde, kimse bu büyüklükteki bir kaybın nasıl mümkün olduğunu birinci anda anlayamadı. Müşterileri için yaklaşık 15 milyar dolarlık varlık barındıran ve güvenlik tedbirleriyle tanınan bu beşinci büyük borsa, görünüşte sağlam bir yapıya sahipti. Fakat gerçek kısa müddette ortaya çıktı: Akın, Bybit’in kendi sistemlerinden değil, bağlı olduğu tanınan kripto cüzdan sağlayıcısı Safe Wallet’tan kaynaklanıyordu.

Safe Wallet’ın sistemlerine yapılan isimli bir inceleme, soygunun gerisindeki asıl hatalıyı ortaya çıkardı: Kuzey Koreli hacker kümesi Lazarus’un geliştirdiği uydurma bir borsa süreç simülatörü.

Sahte simülatörle sızma operasyonu

Mandiant isimli siber güvenlik firmasının Safe Wallet için hazırladığı rapora nazaran, Lazarus Kümesi, Safe Wallet’tan bir geliştiriciyi kandırarak bu düzmece simülatörü indirtmeyi başardı. Simülatörün içine gizlenmiş berbat gayeli kod, hacker’ların Safe Wallet sistemlerine erişim sağlamasına imkan tanıdı. Bu olay, Kuzey Koreli hacker’ların haftalar süren bir sızma operasyonunun sırf başlangıcıydı.

Borsa süreç simülatörleri, çoklukla çevrimiçi ortamda bulunan ve kullanıcıların gerçek para riske atmadan finansal süreç pratiği yapmasına imkan tanıyan araçlardır. Lazarus, bu günahsız görünümlü yazılımı bir tuzak olarak kullanarak Safe Wallet’a sızdı. Safe Wallet sözcüsü, yaptığı açıklamada, evrakın geliştiricinin bilgisayarına nasıl ulaştığının hala araştırıldığını belirtti.

Sosyal mühendislik ve Python açığı

Lazarus’un bu atakta toplumsal mühendislik tekniklerini kullandığı iddia ediliyor. Bu yol, gaye kişiyi ruhsal olarak manipüle ederek zımnî bilgileri ifşa etmeye yahut makûs hedefli belgeleri indirmeye yönlendirmeyi içeriyor. Daha evvel 2023’te geçersiz iş teklifleriyle misal taktikler kullanan küme, artık borsa yahut kripto süreç uygulamalarını bir kılıf olarak tercih ediyor.

Saldırının muvaffakiyetinde, simülatörün Python programlama lisanında yazılmış olması ve YAML belge cinsindeki eski bir açık kritik rol oynadı. Bu açık, hacker’ların makûs emelli kodları gizlemesine ve fark edilmeden sistemde kalmasına imkan tanıdı. Güvenlik uzmanı Mikko Ohtamaa, bu çeşit uygulamaların kripto bölümündekilere doğal göründüğünü ve bu yüzden kuşku uyandırmadığını belirtti.

Büyük Bybit vurgunu

Lazarus, Safe Wallet’ın Amazon Web Services (AWS) hesabına ulaşmayı hedefledi. Planları, Safe Wallet websitesini ele geçirip Bybit’in süreçlerini berbat gayeli bir süreçle değiştirmekti. AWS anahtarlarının her 12 saatte bir yenilenmesi nedeniyle, hacker’lar bir Safe Wallet geliştiricisinin çalışma saatlerine ahenk sağlayarak gece boyunca çalıştı. Bu süreçte, Kuzey Kore’de oldukları varsayılırsa, uzun mesai saatleri harcamış olmalılar.

Tam 17 gün sonra, Lazarus 1,4 milyar doları çaldı. Soygundan dakikalar sonra ise tüm makus hedefli yazılım izlerini silerek bu tekniği tekrar kullanma ihtimalini açık bıraktılar.

Sırada ne var?

Safe Wallet hack’i geniş çapta duyulduğundan, Lazarus’un bu taktiği tekrar kullanması sıkıntı görünüyor. Lakin uzmanlar, teslim metotları değişse de temel hücum yolunun devam edebileceği konusunda uyarıyor. MetaMask’ın baş güvenlik araştırmacısı Taylor Monahan, daha evvel yaptığı açıklamada, “Bu hücum vektörüne kimse hazır değil. Bu tekrar tekrar yaşanacak,” demişti.

Lazarus’un yaratıcı ve bâtın metotları, kripto dünyasını tehdit etmeye devam ediyor. Bybit soygunu, siber güvenliğin ne kadar kırılgan olabileceğini bir kere daha gözler önüne serdi. Kriptokoin.com olarak aktardığımız son yılları Lazarus imzalı hack teşebbüslerine buradan göz atabilirsiniz.