21 Şubat'ta dünyanın en büyük kripto para borsalarından biri olan Bybit'in, büyük çaplı bir siber saldırıya uğradığı açıklandı. Bybit CEO’su Ben Zhou, hack olayını doğrulayarak soğuk cüzdanların güvende olduğunu ileri sürdü. İlk belirlemelere göre, saldırıda çalınan varlıkların büyük kısmını, Ethereum (ETH) ve ETH türevleri oluşturuyordu. Toplamda 401 binden fazla ETH'nin yanı sıra 90 bin stETH, 15 bin cmETH ve 8 bin mETH hacker'ların eline geçmiş oldu. Blok zinciri analiz şirketi Arkham, saldırının ilk dakikalarında 200 milyon dolarlık stETH’nin satıldığını açıkladı. Hack olayının ardından piyasalarda sert düşüşler yaşandı. Bitcoin, bu süreçte 99,000 dolar seviyesinden 97,177 dolara gerilerken, Ethereum ise 2,800 dolar seviyesinden 2,675 dolara kadar düştü. Kripto varlık piyasaları açısından ciddi bir güven sorunu bir kez daha gündeme oturdu. Yani mesele sadece buhar olan 1.4 milyar dolar değil, bu güven bunalımının doğuracağı kayıplar...
Peki, böylesine büyük bir kripto borsasının güvenlik sistemleri neden yetersiz kaldı?.. Hack süreci, büyük olasılıkla Zhou’nun aktardığı gibi gerçekleşti: Bybit’in çoklu imza sistemine sahip ETH soğuk cüzdanından sıcak cüzdana transfer sırasında, imza yetkisine sahip kişilere Safe şirketi kaynaklı sahte bir arayüz gösterildi. Bu sahte arayüz aracılığıyla imzalanan mesaj, soğuk cüzdanın akıllı sözleşme yapısını değiştirerek hacker'ların cüzdanı ele geçirmesine yol açtı. Zhou, para çekme işlemlerinin normal şekilde sürdüğünü ve çalınan ETH’lerin farklı adreslere bölünerek izlerinin kaybettirildiğini belirtti.
Boşaltma işleminin detaylarına gelince: Öncelikle stETH ve cmETH gibi çalınan token'lar Ethereum ile değiştirildi. Bu işlem için merkeziyetsiz borsalar (DEX) kullanıldı; böylece merkezi borsalarda yaşanabilecek varlık dondurma riskinden kaçınıldı. Karapara aklama sürecinin ikinci aşamasında ise izleri gizlemek amacıyla fonlar “katmanlandı”. Blok zincirlerinin şeffaflığı işlemlerin izlenebilirliğini artırsa da bu katmanlama yöntemleri, iz takibini karmaşıklaştırarak suçlulara zaman kazandırıyor. Bu süreç; çok sayıda cüzdan üzerinden transferler yapmak, zincirler arası köprülerle fon taşımak, farklı token’lara dönüştürmek ve Tornado Cash ya da Cryptomixer gibi karıştırıcıları kullanmak gibi çeşitli yöntemlerle yürütüldü. Çalınan fonlar, saldırının üzerinden henüz iki saat geçmeden 10.000 ETH'lik partiler hâlinde 50 farklı cüzdana aktarıldı ve bu cüzdanlar dokuz gün içinde tek tek boşaltıldı.
Yaşanan hack olayının ardından Bybit CEO'su, "Bugün tüm Bybit kullanıcıları aynı anda para çekmek istese bile, talepleri karşılayabilecek durumdayız. Bu hack olayı yaklaşık 400 bin ETH’lik bir kısmı etkilemiş olmasına rağmen, Bybit hazinesinden bu tutarı karşılayabiliyoruz. ETH açığını kapatmak için şu aşamada alım yapmıyoruz. Ortaklarımızdan aldığımız destekle çalınan ETH miktarının yaklaşık yüzde 80'ini karşılayabilecek bir köprü kredisi sağladık" demecini verdi. Peki bu güven sorununu çözmeye yeter mi? Elbette hayır.
Bu karmaşık süreç, benzer pek çok olayda olduğu gibi, çalınan yüz milyonlarca dolarlık kripto varlığın takas edilmesinde etkili oldu. Bybit’ten çalınan yüksek değerli varlıkların eXch üzerinden takas edildiği tahmin ediliyor. Bybit’in engelleme taleplerine rağmen eXch, bu işlemleri durdurmayı reddetti ve takas hizmetinden yüz binlerce dolarlık ücret elde etti. Çalınan Ethereum’un önemli bir bölümü, eXch ve benzeri hizmetler üzerinden Bitcoin’e dönüştürüldü. İşlem izlerini daha da karmaşıklaştırmak amacıyla karıştırıcı servisler kullanıldı. Bu süreçte yüz binlerce dolarlık çalıntı varlık Cryptomixer ve Wasabi Wallet aracılığıyla transfer edildi.
Cryptomixer, merkezi bir karıştırıcı olarak, kullanıcıların Bitcoin'lerini operatör tarafından kontrol edilen bir “karıştırma havuzuna” yönlendiriyor. Kullanıcılar ise bu havuzdan farklı bir kaynak aracılığıyla Bitcoin çekiyor. Wasabi Wallet ise teknik olarak bir karıştırıcı değil; işlem izini gizlemek için CoinJoin yöntemini kullanan bir gizlilik cüzdanı.
Gelelim 'olağan şüpheli'nin nasıl 'suçlu' olarak tespit edildiğine... Saldırıyı aydınlatan gelişme, blok zinciri istihbarat platformu Arkham’ın başlattığı 30,000 dolarlık ödül programı sayesinde ortaya çıktı. İlk şüpheli hareketleri fark eden isimlerden biri olan anonim blok zinciri araştırmacısı ZachXBT, elindeki delilleri Arkham ile paylaştı. Yapılan detaylı incelemeler sonucunda, saldırının Kore Demokratik Halk Cumhuriyeti (KDHC) bağlantılı Lazarus tarafından gerçekleştirildiğinin kesinleştiği iddia ediliyor. Arkham, konuyla ilgili yaptığı açıklamada şu ifadelere yer verdi, "ZachXBT, Bybit’e yönelik saldırının Lazarus tarafından düzenlendiğine dair kesin kanıtlar sundu. İncelemelerde, saldırı öncesinde gerçekleştirilen test işlemleri, bağlantılı cüzdanlar, adlî inceleme grafikleri ve zamanlama analizleri ortaya kondu. Bu bilgiler, Bybit ekibiyle de paylaşılarak soruşturmanın ilerlemesine katkı sağlandı".
Sorumlu tutulan korsan ekibi Lazarus ('APT38' diye de biliniyor), ABD hükûmetine göre, 2007'nin başlarında kuruldu. Saldırının Lazarus kaynaklı olduğu iddiasını öne süren sadece ZachXTB değil; TRM Labs, saldırganın sözleşmesi için gereken ilk finansmanın bilinen bir KDHC cüzdanından geldiğini tespit ettiğini açıkladı ve karapara aklama kalıplarını daha önce KDHC tarafından düzenlenen saldırılarla ilişkilendirdi. Dünya çapındaki işletmelere kripto varlık işlem ve cüzdan tarama çözümleri sunan önde gelen sağlayıcılardan Elliptic'in kurucu ortağı Tom Robinson, bir e-postada "Bybit'ten çalınan fonlar, KDHC'ye atfedilen çok sayıda hırsızlıktan elde edilen fonlarla karıştırılıyor" dedi.
Lazarus'un çalınan Ethereum token'larını hızla aklamasının, ulus-devlet saldırganlarının finansal sistemleri nasıl istismar ettiği konusunda tehlikeli bir evrimi işaret ettiğini ve daha güçlü sınır ötesi iş birliğine, geliştirilmiş blok zinciri izleme sistemine ve daha sıkı karapara aklama karşıtı uygulamalara acil ihtiyaç olduğunu gösterdiğini ileri sürülüyor.
Bu denli sofistike ve büyük ölçekli operasyonları gerçekleştirebilen Lazarus, gerçekten de bir efsane gibi... Elliptic’e göre, Lazarus’un hacker ekipleri 2017’den bu yana toplam 6 milyar dolar değerinde kripto varlık çalmayı başardı. Pyongyang’ın desteğiyle küresel kapitalist sistemi sarsan pek çok eylemleri tarihe geçti. Örneğin, gerçeğinden ayırt edilemeyen sahte dolar basımı… Kimine göre bu sahte dolarların toplamı 1 milyar dolar, kimine göre 5 milyar dolar seviyesinde ve hâlen küresel ticaret sisteminde dolaşımda.
Bu olaylar, klasik bir kalpazanlık örneği olarak tarihe geçerken, KDHC’nin bu tür faaliyetlerde "olağan şüpheli" olarak görülmesi, diğer ülkelerdeki kalpazanlar ve hacker’lara da adeta bir "günah keçisi" sunuyor. "Ben yapmadım, Kim yaptı!" deyip sıyrılmak mümkün olabiliyor!
Lazarus üyeleri, kendi ülkelerinde kovuşturma tehdidiyle karşılaşmadıkları için, faaliyetlerine büyük bir rahatlıkla devam edebiliyor. Bu da, grubun önümüzdeki yıllarda da etkinliğini sürdüreceğine dair güçlü bir işaret.
Bu tür gruplar genellikle “devlet aktörleri” olarak sınıflandırılıyor. Yani belirli bir devletin çıkarları doğrultusunda hareket eden siber tehdit grupları… ABD, Birleşik Krallık, Rusya ve Çin başta olmak üzere pek çok ülke, bu tür gruplarla örtük ya da açık biçimde iş birliği yapıyor. Genellikle casusluk amaçlı çalışıyorlar; ekonomik veya politik çıkarlar için hassas bilgileri hedef alıyor, bazen ulusal güvenlik stratejilerinin bir parçası olarak sabotaj operasyonları düzenliyorlar.
Distopya filmlerinde gördüğümüz elektrik kesintileri, iletişim ağlarının felç edilmesi gibi felaket senaryoları, işte bu grupların kapasitesi dahilinde.
Lazarus’un diğer devlet destekli hacker gruplarından farkı, 2009’dan itibaren sadece bilgi çalmakla kalmayıp, doğrudan maddi kazanç elde etmeye yönelik saldırılar gerçekleştirmesi. Bankaları soymak, kripto para borsalarını hedef almak ve fidye yazılımları yaymak gibi faaliyetlerle devlet kasasını doldurmaya çalışıyorlar.
Eğer olaya bir Kuzey Kore yurttaşı gözüyle bakarsanız, Lazarus bir tür “siber Robin Hood” gibi görünebilir. Yıllardır ağır ambargolar altında ezilen, izole edilmiş, şeytanlaştırılmış bir ülkenin dijital direniş savaşçıları...
Rejimin ekonomiyi ayakta tutma çabaları, siber savaşı neredeyse stratejik bir sektör hâline getirmiş durumda. Özellikle füze ve nükleer silah geliştirme gibi pahalı projeleri finanse edebilmek için Lazarus’un elde ettiği fonlara ihtiyaç duyuluyor.
Lazarus, karmaşık ve çapraz platformlu saldırılarla bugüne kadar en az 38 ülkede; bankaları, finans kuruluşlarını, kumarhaneleri, kripto para borsalarını, SWIFT sistemlerinin uç noktalarını ve ATM’leri hedef aldı.
Bu faaliyetler arasında 2009–2012 yılları arasında gerçekleştirilen Operation Troy dikkat çekiyor. Bu operasyon, Güney Kore hükûmetine yönelik DDoS (dağıtık hizmet engelleme) saldırılarıyla yürütülen bir siber casusluk kampanyasıydı. 2014’te Sony Pictures’a yapılan saldırı ise grubun evrimindeki bir sıçrama noktasıydı. Sony'nin, Kuzey Kore liderini hicveden bir filmi yayınlama planı, bu saldırıya gerekçe olarak gösterildi. “Barış Muhafızları” adını kullanan grup, filmi izlemeye gidenleri tehdit etti. Pyongyang ise olayla bağlantısı olduğunu reddetti. Ancak saldırının karmaşıklığı, arkasında Lazarus’un olduğu ihtimalini güçlendirdi. Bazı iddialara göre saldırı, KDHC’nin isteğiyle Rus hacker'lara yaptırılmıştı.
2015’te Ekvador’daki Banco del Austro’dan 12 milyon dolar, Vietnam’daki Tien Phong Bank’tan ise 1 milyon dolar çalan Lazarus, aynı yıl Polonya ve Meksika’daki bankaları da hedef aldı. 2016’da Bangladeş Merkez Bankası’na düzenledikleri saldırı ise en dikkat çekici operasyonlardan biri oldu. Hacker’lar, New York Fed’deki 951 milyon dolarlık fonu transfer etmeye çalıştı ve bu paranın 81 milyon doları başarıyla çalındı.
Tayvan’daki Far Eastern International Bank’tan çalınan 60 milyon dolar da aynı yılın bilançosuna yazıldı.
Lazarus’un Mayıs 2017’de başlattığı WannaCry fidye yazılımı saldırısı, grubu küresel çapta tanınan bir tehdit hâline getirdi. 150 ülkeye yayılan saldırı, 200 binden fazla bilgisayarı etkiledi. Kurbanlardan 300 ila 600 dolar arasında Bitcoin fidye talep edildi. Elde edilen toplam gelir yaklaşık 150.000 dolar olsa da saldırının toplam zararı milyarlarca dolara ulaştı.
Birleşik Krallık’taki Ulusal Sağlık Sistemi (NHS) saldırıdan ciddi şekilde etkilendi; acil servisler kapatıldı, randevular iptal edildi. NHS’ye verilen zararın 5.9 milyon sterlin olduğu tahmin ediliyor.
Lazarus’un saldırı geçmişi, onu devlet destekli hacker grupları arasında benzersiz kılıyor. Ancak analizler, grubun aslında farklı beceri seviyelerine sahip alt ekiplerden oluştuğunu gösteriyor. Üst düzey operasyonlar oldukça profesyonelce yürütülürken, bazı eylemlerin daha az yetkin operatörlerce gerçekleştirildiği düşünülüyor. Ayrıca Lazarus’un zaman zaman başka hacker gruplarını kendi adına çalıştırdığı da iddialar arasında.
Grup, kendi saldırı araçlarını ve kötü amaçlı yazılımlarını geliştiriyor, güvenlik sistemlerinden kaçınmak için yenilikçi teknikler kullanıyor. Amaç, hedef sistemde mümkün olduğunca uzun süre gizli kalabilmek... Ve bunda fazlasıyla başarılılar.
Korkusuzca hareket ediyorlar çünkü Kuzey Kore'de herhangi bir kovuşturma tehdidiyle karşı karşıya değiller. Ülke dışından operasyon yapılması da neredeyse imkânsız. Bu özgürlük, Lazarus’un benzer gruplara kıyasla daha geniş bir hareket alanına sahip olmasına neden oluyor.
KDHC’de internet hizmeti yalnızca devlet kontrolü altında. Bu nedenle bireysel hareket mümkün değil. Lazarus üyeleri rejim tarafından işe alınıyor ve özel olarak eğitiliyor. İddiaya göre, yetenekli çocuklar 11 yaş civarında seçiliyor; askerliğe gitmeden muaf tutuluyor, lüks dairelerde yaşıyor, Çin’e gönderilip özgür internet ortamını tanımaları sağlanıyor ve ardından rejime hizmet etmeleri bekleniyor.
Kimilerine göre Lazarus, bir “siber terör örgütü”, kimilerine göre “özgürlük savaşçısı”, kimine göreyse “yeteneği ülkesine adayan birer yurtsever.”
Ama nasıl adlandırılırsa adlandırılsın, her eylemleriyle küresel kapitalist sistemin zayıf noktalarına sert darbeler indiriyorlar. Sadece finans sistemlerini değil, kritik altyapıları da tehdit edebilecek kapasiteleriyle dünya devletlerinin gözünde “en tehlikeli düşmanlar” arasında yer alıyorlar.
