Rus siber güvenlik firması Kaspersky, bozuk yazılım kullanan bilgisayar korsanları tarafından “cerrahi hassasiyetle” gerçekleştirildiğini söylediği kripto para şirketlerine yönelik yeni bir saldırı biçimi konusunda uyarıda bulundu.
Kaspersky’nin araştırma, kripto odaklı birkaç şirketin geçen hafta 3CX yazılım tedarik zinciri saldırısının kurbanı olduğunu belirledi.
Hedeflenen firmaların isimlerini vermemekle birlikte, “Batı Asya” merkezli olduklarını ortaya koydu.
Kuzey Kore hükümeti adına gerçekleştirildiğine inanılan saldırı, bilgisayar korsanlarının kodunu kurbanların makinelerine iletmek için yaygın olarak kullanılan VoIP uygulaması 3CX’i bozmayı içeriyordu.
Hackerlar başarısız oldu
Kaspersky’nin GReAT güvenlik analistleri ekibinde araştırmacı olan Georgy Kucherin, bu saldırı türünün “çok yaygın hale geldiğini” söyledi ve şu açıklamayı yaptı:
“Tedarik zinciri saldırıları sırasında, tehdit aktörü kurbanlar üzerinde keşif yürütür, bilgi toplar ve ardından bu bilgileri filtreleyerek ikinci aşama kötü amaçlı yazılım dağıtmak için kurbanları seçer.”
İkinci aşama kötü amaçlı yazılımı birçok kurbana dağıtmanın tespit edilmesinin daha kolay hale geldiği göz önüne alındığında, filtreleme, saldırganların tespit edilmekten kaçınmasına yardımcı olmayı amaçlamaktadır.
Ancak, burada bir şeyler ters gitmiş gibi görünüyor.
Kucherin, 3CX tedarik zinciri saldırısının en azından diğerlerine kıyasla hızlı bir şekilde tespit edildiğini söyledi. Güvenlik şirketleri gibi kitle grevi Ve SentinelOne ilk kötü amaçlı yazılımın kurulumunu, dağıtılmasının üzerinden bir aydan kısa bir süre sonra geçen hafta tespit etti.
Kucherin, “Gizli olmaya çalıştılar ama başarısız oldular” diyor. “İlk aşama implantları keşfedildi.”
CrowdStrike ve SentinelOne, Wired’e göre dünya çapında 600.000 kuruluş tarafından kullanılan 3CX yükleyici yazılımının güvenliğini ihlal eden saldırganların Kuzey Koreli bilgisayar korsanları olduğunu belirledi.
Kaspersky ayrıca, bilgisayar korsanlarının kripto şirketlerine bağlı “10’dan az makineyi” tespit etmek ve kasıtlı olarak hedeflemek için virüs bulaştırdıkları kurbanları incelediklerini de buldu. En azından şu ana kadar toplanan veriler bu kadar.
Devlet destekli bilgisayar korsanlarının binlerce kuruluşa virüs bulaştırmak için yazılım tedarik zincirlerini kullanmaları, ancak daha sonra yalnızca birkaç kurbana odaklanmaları giderek yaygınlaşıyor gibi görünüyor.
Kusherin’in şu sözleri aktarıldı:
“Bütün bunlar sadece küçük bir şirket grubunu tehlikeye atmak içindi, belki sadece kripto para biriminde değil, ama gördüğümüz şey, saldırganların çıkarlarından birinin kripto para şirketleri olduğu. […] Kripto para şirketleri, olası hedefler oldukları için bu saldırıdan özellikle endişe duymalı ve daha fazla uzlaşma için sistemlerini taramalılar.”
Ancak saldırganlar yakalandığı için harekatın başarılı olup olmadığı henüz belli değil. Kucherin, Kaspersky’nin şimdiye kadar bu özel kötü amaçlı yazılımla hedeflendiği tespit edilen şirketlerden gerçek kripto hırsızlığına dair herhangi bir kanıt görmediğini söyledi.
Kripto endüstrisinin dışındakiler de dahil olmak üzere daha fazla şirket muhtemelen gelecekteki hedeflerdir. SentinelOne’da güvenlik araştırmacısı olan Tom Hegel şunları ekledi:
“Bu noktada mevcut teori, saldırganların başlangıçta bu yüksek değerli kuruluşlara girmek için kripto firmalarını hedef aldığı yönünde. […] Bunun başarısını ve içinde bulundukları ağ türlerini gördüklerinde, muhtemelen başka hedeflerin devreye girdiğini tahmin edeceğim.”
Durumun “çok hızlı geliştiğini” ve kurbanlar ve potansiyel hedefler hakkında öğrenilecek daha çok şey olduğunu da sözlerine ekledi. Hegel, “Ancak bir saldırgan açısından,” dedi, “Yaptıkları tek şey kripto firmalarını hedef almaksa, bu dramatik bir şekilde boşa harcanmış bir fırsattı.”
Kripto kullanıcılarının üçte biri dolandırıcılığın kurbanı oldu
Bu arada Kaspersky, geçen yıl Ekim ayında 2.000 Amerikalıyla anket yaptı ve kripto para sahibi olanların üçte birinin çalındığını da deneyimlediğini ortaya çıkardı. Hırsızlığın ortalama değeri 97.583 dolardı.
Üçüncüsü, kriptoyla ilgili sahte bir web sitesine veya yatırım dolandırıcılığına kurban gittiklerini söyledi. Kurbanların %19’u kimliklerinin çalındığını görürken, %27’si kişisel bilgilerinin ve banka hesaplarındaki paranın çalındığını gördü.
Kaspersky GReAT kıdemli güvenlik araştırmacısı Marco Rivero, “Bu anket verileri, birçok kişinin kripto paralarını çaldırdığını ve hatta kimlik hırsızlığı yaşadığını gösteriyor” dedi.
Rivero, kullanıcıların kimlik avı dolandırıcılıklarına ve sahte web sitelerine karşı dikkatli olmaları, çok faktörlü kimlik doğrulama gibi kendilerine sunulan tüm ekstra güvenlik önlemlerini almaları ve tüm hesaplarda güçlü, benzersiz şifreler kullanmaları gerektiğini tavsiye etti.
Bu arada, bilgisayar korsanlarının Kuzey Kore rejimi için kripto para çalması yeni bir fenomen değil. Bununla ilgili daha fazla bilgiyi aşağıda okuyabilirsiniz.
____
Daha fazla bilgi edin:
– Yeni Rapor, Kuzey Koreli Bilgisayar Korsanlarının Kripto Yağmalarını Aklamak için Bulut Bilişimi Nasıl Kullandığını Açıklıyor – Endişelenmeli Misiniz?
– 200 Milyon Dolarlık Euler İstismarı ve Axie Infinity Hack’iyle Bağlantılı Cüzdan Adresleri Gizemli Bir Şekilde Etkileşim – Kuzey Koreli Hackerlar İşin İçinde mi?
– Seul: Yaptırımlar Kuzey Kore’nin Kripto Hack’lerine Karşı Etkisiz Olabilir
– ‘Büyük Kurumlara’ Yönelik Yeni Kuzey Kore Fidye Yazılımı Tehdidi Tespit Edildi, Say Güney Kore, ABD
– Web 3 Hacker’ları Daha Akıllı Oluyor: İşte Nasıl Güvende Kalınır?
– Kripto Para Birimi 2023’te Yatırım Yapmak İçin Güvenli mi? Kripto Dolandırıcılıklarından Nasıl Kaçınılır?
