Kripto para borsalarını hedef alan grup 2018’in başından beri 200 milyon dolardan fazla çaldı.
Siber güvenlik şirketi ClearSky, özellikle kripto para borsalarını ilgilendiren bir çalışma yayınladı. Çalışma raporunda farklı bölgelerde farklı isimlerle tanınan siber suç çetesine değiniliyordu. 2018’in başlarında faaliyetine başlayan grup daha çok CryptoCore adıyla biliniyor. Ancak “Leery Turtle” veya “Dangerous Password” olarak bilindiği bölgeler de mevcut. Ayrıca Crypto-gang adını kullandıkları da biliniyor.
Raporda 2018 yılı Temmuz ayında ilk saldırılarını yaptıktan sonra neredeyse 1 yıl boyunca büyük bir ara verdikleri gözleniyor. Ardından 2019 yılı Haziran ayında birçok Japon kripto para borsasına saldırı düzenledikleri gözlenmiş. Ardından direksiyonu Amerika’ya çeviren siber suç grubunun toplamda 200 milyon dolardan fazla vurgun yaptığı belirtiliyor.
Tabii bu zaman akışı sadece rapor edilen veya ulaşılabilen kripto para borsalarını kapsıyor. Bunun dışında CryptoCore tarafından hedeflenmiş ve hacklenmiş borsalar olabileceği düşünülüyor. Bununla birlikte CyptoSky, hedef alınmış bazı borsalara hizmet verdiği ve aralarında gizlilik anlaşması olduğu için hedef alınmış borsaların isimlerini veremeyeceğini iletiyor.
Peki Nasıl Başardılar? Raporda CryptoCore’u diğer siber suç gruplarından ayıran bir özelliğinden de bahsediliyordu. Pasif DNS yoluyla C&C domain’lerine bağlı özel IP adresleriyle CryptoCore’un dijital altyapısı Maltego grafiği şeklinde aşağıda veriliyor. Grafiğin uzun ve zincir benzeri yapısı, ağ indikatörleri ile arasında güçlü bir yapı geliştirdiğini gösteriyor.
CryptoCore, kripto para borsalarına ve cüzdanlara erişim sağlamak için oltalama saldırılarını kullanıyor. Hedef alınan şirkette çalışan yüksek rütbeli bir çalışan kılığında toplu e-posta atılıyor. Çalışan ve şirket hakkında yeterince bilgi toplandığı için e-postayı alan kişi veya kişiler bunun sahte bir e-posta olduğunu anlayamıyorlar.
E-postanın sahte olduğunu anlayamayan kişi veya kişiler e-postaya geri dönüyor veya içeriğe tıklıyor. İşte tam bu noktada siber saldırı başlıyor. E-posta içerisindeki kötü niyetli yazılımların aktifleşmesi ile birlikte kişi veya kuruluşların cüzdan adresleri ve giriş bilgileri de dahil olmak üzere tüm verileri siber suç grubu CryptoCore’un eline geçiyor.
Siber güvenlik konusunda kendini ispatlamış şirket CryptoSky’ın raporuna göre CryptoCore’un merkezi Doğu Avrupa’da, Ukrayna, Rusya veya Romanya’da olabilir. Ayrıca raporun yanı sıra CryptoSky, hedef alınmış kripto para borsalarının gerekli biçimde bilgilendirildiğini ve uyarıldıklarını da ekledi.
Bu makale ilk olarak Muhabbit’te yayınlanmıştır