ABD Federal Soruşturma Bürosu (FBI), kripto para borsası Bybit’ten çalınan 1,5 milyar dolarlık rekor hırsızlığın Kuzey Koreli tehdit aktörleri tarafından gerçekleştirildiğini doğruladı. Bybit CEO’su Ben Zhou ise Lazarus Grubu’na karşı “savaş” ilan etti.
FBI, olaydan Kuzey Kore hükümetiyle bağlantılı “TraderTraitor” adlı tehdit grubunu sorumlu tuttu. TraderTraitor, aynı zamanda Jade Sleet, Slow Pisces ve UNC4899 olarak da takip ediliyor.
Fonlar Bitcoin’e Çevrildi
FBI, çalınan kripto varlıkların hızla Bitcoin ve diğer dijital varlıklara dönüştürüldüğünü ve binlerce farklı cüzdana dağıtıldığını açıkladı. Kurum, fonların daha fazla aklanacağını ve itibari paraya çevrileceğini öngörüyor.
TraderTraitor grubu, daha önce de Japonya ve ABD makamları tarafından 2024 Mayıs ayında DMM Bitcoin’den 308 milyon dolarlık kripto varlık hırsızlığıyla ilişkilendirilmişti. Grup, genellikle Web3 şirketlerini hedef alıyor ve kötü amaçlı yazılımlar içeren sahte kripto para uygulamalarıyla kullanıcıları kandırıyor. Ayrıca, sahte iş ilanları yoluyla sosyal mühendislik saldırıları düzenleyerek, kötü amaçlı npm paketleri yüklenmesini sağlıyor.
Bybit’ten Ödül Programı ve İş Birliği Çağrısı
Bybit, çalınan fonların kurtarılması için bir ödül programı başlattığını duyurdu. Şirket ayrıca, eXch adlı platformun soruşturmaya yardımcı olmayı reddettiğini belirterek, iş birliği çağrısında bulundu.
“Çalınan fonlar, izlenemez veya dondurulamaz yerlere, yani borsalara, mixer’lara, blockchain köprülerine veya dondurulabilen stabil coin’lere aktarıldı,” denildi. “Tüm tarafların iş birliği yapmasını ve fonların izlenmesi için destek sağlamasını bekliyoruz.”
Bybit’in Dubai merkezli olduğu ve saldırının detaylarını ortaya çıkarmak için Sygnia ve Verichains şirketleriyle iki farklı soruşturma yürüttüğü bildirildi.
Güvenlik Açığının Kaynağı: Safe{Wallet} Altyapısı
Sygnia tarafından yapılan incelemeler, saldırının Safe{Wallet} altyapısından kaynaklandığını ortaya koydu. Verichains ise, Safe.Global platformunun JavaScript dosyalarının 19 Şubat 2025’te değiştirilerek, Bybit’in Ethereum Multisig Cold Wallet’ını hedef alan kötü amaçlı kodla değiştirildiğini belirtti. Bu saldırının, Bybit’in bir sonraki işleminde (21 Şubat 2025) aktif hale gelecek şekilde tasarlandığı bildirildi.
Uzmanlar, Safe.Global platformunun AWS S3 veya CloudFront hesaplarının API anahtarlarının sızdırılmış olabileceğini ve bunun bir tedarik zinciri saldırısına zemin hazırlamış olabileceğini düşünüyor.
Safe{Wallet}, saldırının bir geliştiricisinin cihazının ele geçirilmesiyle gerçekleştirildiğini açıkladı. Şirket, Lazarus Grubu’nun genellikle sosyal mühendislik ve sıfır gün açıklarıyla geliştiricilerin hesaplarını ele geçirdiğini belirtti.
Yeni Bulgular: Lazarus, Sahte Alan Adı Kullanmış
Silent Push tarafından yapılan yeni analizlere göre, Lazarus Grubu saldırıdan birkaç saat önce, 20 Şubat 2025’te “bybit-assessment[.]com” adlı bir alan adını kaydettirdi. WHOIS kayıtları, alan adının daha önce Lazarus Grubu ile ilişkilendirilen “trevorgreer9312@gmail[.]com” adresiyle kaydedildiğini gösterdi.
Bu adres, Lazarus Grubu’nun “Contagious Interview” adlı bir diğer kampanyasında da kullanılmıştı. Bu kampanyada kurbanlar, LinkedIn üzerinden sahte iş görüşmelerine davet edilerek, zararlı yazılımlar yüklemeye yönlendiriliyordu.
Kuzey Kore’nin Kripto Saldırıları 6 Milyar Doları Aştı
Kuzey Kore destekli siber saldırganlar, 2017’den bu yana toplamda 6 milyar dolardan fazla kripto varlık çaldı. Geçtiğimiz hafta gerçekleşen 1,5 milyar dolarlık Bybit saldırısı, 2024 yılında 47 farklı saldırıda çalınan toplam 1,34 milyar doları aşarak yeni bir rekor kırdı.
FBI ve uluslararası kolluk kuvvetleri, Lazarus Grubu ve Kuzey Kore bağlantılı tehdit aktörlerine karşı mücadeleyi sürdürüyor.
