Son zamanlarda, siber güvenlik uzmanları tarafından yapılan araştırmalar, bazı hacker gruplarının, Kuzey Kore hükümetiyle bağlantılı olduğu düşünülen bir grubun da dahil olduğu, kötü amaçlı yazılımları dağıtmak için yeni ve maliyeti düşük bir yöntem keşfettiğini ortaya koydu. Bu yeni yöntem, halka açık kripto para blok zincirlerinin "kurşun geçirmez" barındırma hizmeti olarak kullanılması üzerine kurulu.
Google Tehdit İstihbarat Grubu'nun raporlarına göre, bu teknik hackerlara, kolluk kuvvetleri ve güvenlik araştırmacılarının müdahalesinden büyük ölçüde muaf olan, yani "kurşun geçirmez" olarak tanımlanan barındırma platformları sağlıyor. Geleneksel olarak, bu tür hizmetler genellikle ABD ve diğer ülkelerin yasal taleplerini yerine getirmeyen ülkelerde bulunuyor ve yüksek ücretler talep ederek yasa dışı içeriklerin yayılmasına olanak tanıyor.
Kurcalanamayan Yeni Nesil Kendin Yap Barındırma
Şubat ayından bu yana, Google araştırmacıları iki grubun hedef sistemlere kötü amaçlı yazılım ve kimlik bilgisi çalan yazılımlar bulaştırmak için daha yeni bir tekniğe başvurduğunu gözlemledi. EtherHiding olarak bilinen bu yöntem, kötü amaçlı yazılımları, Ethereum ve diğer kripto paraların blok zincirlerinde yer alan ve akıllı sözleşmeler olarak adlandırılan uygulamaların içine yerleştiriyor. Akıllı sözleşmeler, iki veya daha fazla tarafın bir anlaşma yapmasını sağlıyor ve belirli koşullar gerçekleştiğinde, merkezi bir otoriteye bağlı olmadan, teorik olarak değiştirilemez bir şekilde sözleşme şartlarını yerine getiriyor.
Google araştırmacıları, bu yöntemin "blok zincir teknolojisinin temel özelliklerinin kötü amaçlı kullanımlar için yeniden işlendiği yeni nesil kurşun geçirmez barındırmacılığa doğru bir kaymayı temsil ettiğini" belirtiyor. Bu teknik, siber tehditlerin sürekli evrimini ve saldırganların yeni teknolojileri kendi avantajlarına nasıl kullandıklarını vurguluyor.
EtherHiding yönteminin, barındırma hizmetleri veya ele geçirilmiş sunucular aracılığıyla kötü amaçlı yazılım dağıtmak gibi daha geleneksel yöntemlere göre birçok avantajı bulunuyor:
Blok zincirlerinin merkeziyetsiz yapısı, kötü amaçlı akıllı sözleşmelerin kaldırılmasını engelliyor çünkü blok zinciri mekanizmaları tüm sözleşmelerin kaldırılmasını yasaklıyor.
Sözleşmelerin değiştirilemezliği, kötü amaçlı yazılımların kimse tarafından silinememesini veya kurcalanamamasını sağlıyor.
Ethereum ve diğer birçok blok zincirindeki işlemler etkili bir şekilde anonimdir, bu da hackerların kimliklerini gizlemelerine yardımcı oluyor.
Kötü amaçlı yazılımların sözleşmelerden alınması, olay günlüklerinde herhangi bir erişim izi bırakmıyor, bu da gizliliği artırıyor.
Saldırganlar, kötü amaçlı yükleri istedikleri zaman güncelleyebiliyor.
Akıllı sözleşme oluşturma veya değiştirme işlemleri genellikle 2 dolardan az bir maliyetle gerçekleştirilebiliyor, bu da kötü amaçlı yazılım dağıtımı için geleneksel yöntemlere kıyasla önemli bir maliyet tasarrufu sağlıyor.
Google'ın gözlemlediği EtherHiding tekniğinin yanı sıra, dolandırıcılar sahte iş ilanlarıyla işe alım yaparak hedefledikleri kişileri, özellikle kripto para uygulamaları veya diğer çevrimiçi hizmetlerin geliştiricilerini kandıran bir sosyal mühendislik kampanyası da yürütüyor. İşe alım süreci sırasında, adaylardan kodlama veya kod inceleme becerilerini gösteren bir test yapmaları isteniyor. Testi tamamlamak için gereken dosyaların içine ise kötü amaçlı kodlar yerleştiriliyor.
Enfeksiyon süreci, aşamalar halinde kurulan bir dizi kötü amaçlı yazılıma dayanıyor. Son saldırı eylemlerini gerçekleştiren aşamalar, hackerların Ethereum ve BNB Smart Chain blok zincirlerine yüklediği ve herkese açık olan akıllı sözleşmeler aracılığıyla kuruluyor.
Google'ın gözlemlediği gruplardan biri, JadeSnow olarak takip edilen erken aşama kötü amaçlı yazılımları kullanarak hem BNB hem de Ethereum blok zincirlerinden daha sonraki aşama kötü amaçlı yazılımları çeken UNC5342 olarak bilinen Kuzey Kore destekli bir ekip.
Araştırmacılar, ayrıca, finansal motivasyonlu başka bir grup olan UNC5142'nin de EtherHiding tekniğini kullandığını tespit etti.
Kuzey Kore'nin siber saldırı yetenekleri bir zamanlar düşük seviyede görülüyordu. Ancak son on yılda ülke, artan beceri, odaklanma ve kaynakları gösteren bir dizi yüksek profilli saldırı kampanyası düzenledi. Son haftalarda yapılan analizler, ülkenin 2025 yılı itibarıyla 2 milyar doların üzerinde değere sahip kripto para çaldığını gösteriyor.
