Kripto dünyasını yakından takip edenlerin son dönemde dikkatini çeken Lazarus Group, eskiden bankacılık sektörüyle özdeşleşen büyük ölçekli siber saldırıları finans ve dijital para piyasalarına taşıyor. Kuzey Kore hükümetiyle bağlantılı olarak faaliyet gösterdiği bilinen bu siber grup, 2017’den bu yana toplamda 6,7 milyar dolarlık birikmiş soygunla öne çıkıyor. Son yapılan analizlere göre Lazarus, yeni Mach-O Man isimli saldırı yöntemiyle fintech ve kripto para sektörlerinde yönetici ve şirketleri hedef aldı.
Mach-O Man ve hedeflenen sektörler
Natalie Newson, uzman bir blockchain güvenlik araştırmacısı olarak CertiK’te görev yapıyor ve Lazarus Group’un kripto ve fintech alanına yönelik faaliyetlerini yakından inceliyor. Son iki hafta içinde, grup Drift ve KelpDAO platformlarından toplamda 500 milyon doların üzerinde dijital varlık çekmeyi başardı. Yapılan açıklamada, Mach-O Man olarak adlandırılan saldırı dalgasının tesadüfi bir siber tehdit değil, Kuzey Kore’nin resmi olarak yürüttüğü ve kurumsal ölçekte planladığı bir operasyon olduğu vurgulandı.
Bu yeni saldırı yöntemiyle, özellikle kripto ve finans alanında faaliyet gösteren kurumlar ile üst düzey yöneticiler hedef alınıyor. Kuzey Kore’nin kripto para hırsızlığını sistematik bir devlet gelir modeli haline getirdiği değerlendiriliyor. Uzmanlar, Mach-O Man’ın yalnızca Lazarus tarafından değil, diğer suç örgütlerinin elinde de farklı varyasyonlarla kullanıldığına dikkat çekiyor.
Saldırı yöntemi: ClickFix ve sosyal mühendislik taktikleri
Mach-O Man saldırısının en dikkat çekici özelliği ise modüler bir macOS zararlı yazılımı olması. Lazarus’un ‘Chollima’ adlı alt birimi tarafından geliştirilen bu zararlı yazılım, Apple işletim sisteminde çalışan kripto ve fintech odaklı uygulamaları hedefliyor. Newson, Mach-O Man’ın ‘ClickFix’ adını taşıyan bir sosyal mühendislik tekniğiyle dağıtıldığını belirtiyor.
Bu yöntemde, saldırganlar yöneticilere Telegram üzerinden acil toplantı davetleri gönderebiliyor. Ardından, kurbanları Zoom, Microsoft Teams veya Google Meet gibi tanıdık platformlar üzerinde bir bağlantı üzerinden sahte bir web sitesine yönlendiriyor. Kurbanlara bağlantı sorunu olduğu ve düzeltmeleri için terminale belirli bir komutu yapıştırmaları gerektiği aktarılıyor. Aslında bu komut, saldırganlara doğrudan kurumsal sistemlere ve finansal kaynaklara erişim sağlıyor.
Newson, “Sayfa gerçek gibi görünüyor, talimatlar sıradan ve eyleme kurbanlar kendileri başlıyor; bu da klasik güvenlik önlemlerinin çoğu zaman saldırıyı fark edememesine sebep oluyor,” değerlendirmesini yaptı.
DeFi projelerine yeni tehditler
Lazarus’un geliştirdiği Mach-O Man hem kurumsal hem de bireysel düzeyde ciddi zararlar doğuruyor. Özellikle DeFi projeleri tehdit altında. Güvenlik tehdit araştırmacısı Vladimir S.’nin verdiği bilgilere göre, saldırganlar bazı merkeziyetsiz finans projelerinin alan adlarını ele geçirerek, web sitelerini sahte Cloudflare uyarılarıyla değiştirip ziyaretçilerden komutlar girilmesini talep etti.
Bu saldırılarda genelde “kimlik doğrulama adımı” görüntüsü altında zararlı komutlar çalıştırılıyor. Talimatlar gerçekçi göründüğü için, çoğu kullanıcı veya yönetici komutları sorgulamadan uyguluyor ve sonuçta platformun sistemlerine tam erişim açılmış oluyor. Zararlı yazılım ise kısa sürede kendini siliyor ve iz bırakmadan ortadan kalkıyor.
Newson, “Mağdurların çoğu saldırıya uğradıklarının farkında bile olmuyor. O an anlasalar bile, hangi saldırı varyantının sistemlerine sızdığını tespit etmeleri neredeyse imkânsız,” ifadesini kullandı.
Uzmanlara göre, son dönemde Lazarus’un saldırıları bir haber başlığı olmanın da ötesinde, kripto ekosisteminin sürekli ve yüksek riskli bir tehdit kaynağı haline geldi. Fintech ve dijital para sektörlerinde faaliyet gösterenlerin bu yeni dönemde hem teknik hem de sosyal mühendislik tabanlı saldırılara karşı ekstra dikkatli hareket etmeleri öneriliyor.
