ABD Federal Soruşturma Bürosu (FBI), şirketin CEO’su Ben Zhou olarak rekor kıran 1,5 milyar dolarlık bybit hack’i Kuzey Kore tehdit aktörlerine resmi olarak ilişkilendirdi ilan edildi “Lazarus’a Karşı Savaş”.
Ajans, Kore Demokratik Halk Cumhuriyeti’nin (Kuzey Kore), kripto para birimi borsasından sanal varlıkların çalınmasından sorumlu olduğunu ve onu Jade Sleet, Slow Buzlar ve UNC4899 olarak da adlandırılan TraderTraitor olarak izlediği belirli bir kümeye atfettiğini söyledi.
FBI, “TraderTraitor aktörleri hızla ilerliyor ve çalınan varlıkların bir kısmını Bitcoin’e ve birden fazla blok zincirdeki binlerce adrese dağılmış diğer sanal varlıklara dönüştürdüler.” söz konusu. Diyerek şöyle devam etti: “Bu varlıkların daha fazla yıkanması ve sonunda fiat para birimine dönüştürülmesi bekleniyor.”
TraderTraitor kümesinin daha önce Mayıs 2024’te kripto para şirketi DMM Bitcoin’den 308 milyon dolar değerinde kripto para birimi hırsızlığındaki Japon ve ABD yetkilileri tarafından rol oynadığını belirtmek gerekir.
Tehdit oyuncusu, Web3 sektöründeki şirketleri hedeflemekle bilinir, bu da kurbanları hırsızlığı kolaylaştırmak için kötü amaçlı yazılım bağcıklı kripto para birimi uygulamalarını indirmeye kandırır. Alternatif olarak, kötü amaçlı NPM paketlerinin konuşlandırılmasına yol açan iş temalı sosyal mühendislik kampanyalarını düzenlediği de bulunmuştur.
Bybit, bu arada, Bir ödül programı başlattı Çalınan fonları kurtarmaya yardımcı olmak için Exchange, soruşturmada işbirliği yapmayı ve varlıkların dondurulmasına yardımcı olmayı çağırıyor.
“Çalınan fonlar borsalar, mikserler veya köprüler gibi izlenemez veya dondurulabilir destinasyonlara aktarıldı veya dondurulabilen stablecoinlere dönüştürüldü.” Dedi. Diyerek şöyle devam etti: “İzlemeye devam edebilmemiz için fonları dondurmak veya hareketleri hakkında güncellemeler sağlamak için ilgili tüm taraflardan işbirliğine ihtiyacımız var.”
Dubai merkezli şirket de ortak Sygnia ve Verichains tarafından yapılan ve hack’i Lazarus Grubuna bağlayan iki soruşturmanın sonuçları.
Sygnia, “Üç imzalayan ev sahiplerinin adli tıp araştırması, saldırının temel nedeninin SAFE {cüzdan} ‘nın altyapısından kaynaklanan kötü niyetli kod olduğunu gösteriyor.” Dedi.
Verichains, “App.safe.global’ın iyi huylu javascript dosyasının 19 Şubat 2025’te 15:29:25 UTC’de kötü amaçlı kodla değiştirildiğini ve özellikle Ethereum MultiSig soğuk cüzdanı” ve “Saldırı’nın 21, 2025 tarihinde bir sonraki işlem sırasında gerçekleşecek şekilde etkinleştirilecek şekilde tasarlandığını” belirtti.
AWS S3 veya CloudFront Hesabı/API tuşunun Safe.global’ın muhtemelen sızdırıldığından veya tehlikeye atıldığından şüpheleniliyor, böylece bir tedarik zinciri saldırısına yol açıyor.
Ayrı bir açıklamada, MultiSig cüzdan platformu Safe {cüzdan}, saldırının Bybit tarafından işletilen bir hesabı etkileyen geliştiricisinin makinelerinden birinden ödün vererek gerçekleştirildiğini söyledi. Şirket ayrıca saldırı vektörünü azaltmak için ek güvenlik önlemleri uyguladığını belirtti.
Saldırı “, gizlenmiş bir kötü niyetli işlemin önerisine neden olan güvenli bir {cüzdan} geliştiricisinin tehlikeye atılmış bir makinesinden elde edildi” söz konusu. “Lazarus, bazen sıfır gün istismarlarıyla birleştirilen geliştirici kimlik bilgilerine yönelik sofistike sosyal mühendislik saldırıları ile tanınan devlet destekli bir Kuzey Koreli hacker grubudur.”
Lazarus grubunun Bybit-Değerlendirme alanını kaydettirdiğini ortaya çıkarsa da, şu anda geliştiricinin sisteminin nasıl ihlal edildiği açık değil, ancak Silent Push’dan yeni bir analiz ortaya çıktı[.]Com 22:21:57 20 Şubat 2025’te, kripto para hırsızlığının gerçekleşmesinden birkaç saat önce.
Whois Records göstermek etki alanının “trevorgreer9312@gmail e -posta adresi kullanılarak kaydedildiğini[.]com, “daha önce Lazarus Grubu tarafından kullanılan bir kişi olarak tanımlanmış bağlantı Bulaşıcı röportaj olarak adlandırılan başka bir kampanya ile.
“Bybit soygunun, Jade Sleet ve Slow Balık olarak da bilinen TraderTraitor olarak da bilinen DPRK tehdit oyuncusu Grubu tarafından yürütüldüğü anlaşılırken, kripto röportaj aldatmacası, ünlü Chollima olarak da bilinen bulaşıcı röportaj olarak bilinen bir DPRK tehdit aktör grubu tarafından yönetiliyor.” söz konusu.
“Mağdurlara tipik olarak sahte iş görüşmelerine katılmak üzere sosyal olarak tasarlandıkları LinkedIn aracılığıyla yaklaşılır. Bu görüşmeler, hedeflenen kötü amaçlı yazılım dağıtım, kimlik bilgisi hasat ve finansal ve kurumsal varlıklardan daha fazla uzlaşma için bir giriş noktası görevi görür.”
Kuzey Kore’ye bağlı aktörlerin 2017’den bu yana kripto varlıklarında 6 milyar doların üzerinde çalındığı tahmin ediliyor. Geçen hafta çalınan 1,5 milyar dolar, tehdit aktörlerinin 2024’ün tamamında 47 kripto para birimi soyağından çaldığı 1,34 milyar doları aşıyor.
