Kuzey Koreli Hackerlar Gazeteciyi Tuzağa Düşürdü: Bilgisayarına Sızdılar
Ünlü Gazeteci Kuzey Koreli Hackerların Hedefi Oldu
Fortune dergisi yazarı, Kuzey Kore’nin devlet destekli hackerları tarafından bilgisayarının ele geçirilmesiyle sarsıldı. Yaşanan olay, gazetecinin kripto para birimi sektöründeki gelişmeleri takip etmesinden kaynaklandı.
Olayın Gelişimi
Gazeteci, Mart ayının sonlarında dergisinin BT yöneticisinden endişe verici bir mesaj aldı. Mesajda, bilgisayarında güvenlik açığına neden olabilecek bir sürecin tespit edildiği ve birilerinin sistemine girdiğinin belirtildiğini ifade etti. Gazetecinin ifadesine göre, “Panikledim.”
İncelemeler sonucunda, 11:04’te indirilen bir dosyanın klavye vuruşlarını kaydetme, ekran görüntüsü alma, şifreleri görüntüleme ve uygulamalara erişme kapasitesine sahip olduğu belirlendi. Gazeteci, yaşadığı dehşeti şöyle aktardı: “I think I may have been phished by the DPRK lol.”
Kuzey Kore’nin Kripto Odaklı Saldırıları
Kuzey Kore uzun zamandır kripto para birimi sektörünü hedef alan saldırılar düzenliyor. Küresel finansal sistemden dışlanmış olan ülke, mali ihtiyaçlarını karşılamak için devlet destekli kripto hırsızlığına yönelmiş durumda. Chainalysis adlı kripto analiz firmasının verilerine göre, 2025 yılında Kuzey Kore ordusuna bağlı hackerlar tarafından çalınan kripto para birimi miktarı 2 milyar doları aşarak geçen yıla göre %50 artış gösterdi.
Tuzak Nasıl Kuruldu?
Gazeteci, Telegram üzerinden kendisine ulaşan bir hedge fon yatırımcısı aracılığıyla “Adam Swick” adlı bir kişiyle tanıştırıldı. Swick’in, Bitcoin madenciliği şirketi MARA Holdings’in eski strateji direktörü olduğu belirtildi. Yatırımcı, Swick’in yeni bir dijital varlık hazinesi oluşturmayı düşündüğünü ve büyük bir yatırımcıyla görüşme olasılığının bulunduğunu iddia etti. Gazeteci, şüphelerine rağmen Swick ile tanışmaya karar verdi.
Swick, gazeteciye bir video konferans toplantısı ayarlaması için bir bağlantı gönderdi. Ancak bağlantıya tıklandığında programın görünümü normal Zoom’a benzese de sesin çalışmadığı tespit edildi. Aynı anda Swick, “Looks like Zoom is acting up on your end.” şeklinde bir mesaj göndererek yazılım güncellemesi yapılması talep etti.
Şüpheler ve Kaçış
Gazeteci, indirme bağlantısının Telegram’da kendisine gönderilen bağlantıyla aynı olmadığını fark edince şüphelenerek toplantıyı Google Meet üzerinden gerçekleştirmeyi teklif etti. “This is giving me scam vibes,” (Bu bana dolandırıcılık kokusu veriyor) diyerek hem Swick’e hem de hedge fon yatırımcısı kaynağına mesaj gönderdi.
Swick, ısrarını sürerken gazeteci Zoom toplantısından ayrılarak Telegram üzerinden Google Meet’i teklif etti. Kaynağının onu grup sohbetinden çıkarmasıyla olay daha da netleşti.
Uzmanların Uyarıları ve Teşhisi
Gazeteci, durumu güvenlik araştırmacısı Taylor Monahan’a bildirdi. Monahan, “That’s DPRK,” (Bu Kuzey Kore) diyerek hızlı bir şekilde yanıt verdi. İndirilen scriptin, video konferans bağlantısının ve sahte Adam Swick hesabının tümü Kuzey Kore’ye işaret ediyordu.
Monahan ve diğer güvenlik araştırmacıları, kripto sektöründe sahte video konferans aramalarıyla gerçekleştirilen yüzlerce dolandırıcılık vakasına müdahale etmişlerdir. Bu şema, gerçek bir kişinin Telegram hesabının ele geçirilmesi ve ardından o hesaptaki kişilerle iletişime geçilerek video görüşmesi yapılması şeklinde ilerliyor.
Kripto Hırsızlığı Şeması
- Gerçek bir Telegram hesabının ele geçirilmesi
- Hesap sahibiyle temas kuran kişilerin dolandırılması
- Sahte video konferans bağlantısı üzerinden kurbanın bilgisayısına zararlı yazılım yüklenmesi
- Kurbanın şifrelerinin, Telegram hesabının ve kripto para birimlerinin çalınması
Monahan, “Tell him Tay says hi lol,” (Ona Tay merhaba diyor) diyerek Kuzey Koreli hacker’a gönderme yaptı. Gazeteci, olayı yaşarken edindiği tecrübeyi paylaşarak diğerlerini de uyardı ve Kuzey Kore’nin siber saldırı yeteneklerinin derinliği hakkında önemli bir ders çıkardı.