Lazarus Grubu: Kuzey Koreli Siber Aktörler Kripto Paraları Nasıl Çalıyor?
Bir siber saldırı grubu, tarihte hiç kimsenin yapmadığı kadar çok kripto para çaldı. Üstelik bu grup bir hükümet için çalışıyor. Lazarus Grubu, Kuzey Kore'nin devlet destekli siber saldırı operasyonu ve onlar için kripto para çalmak yan iş değil. Bu, maaş bordrosu olan ulusal bir gelir kaynağı, asıl işleri. Kendi standartlarına göre iyi bir yılda, grup borsalardan, köprülerden ve sıradan cüzdanlardan iki milyar dolardan fazla para çekiyor. Bunun büyük bir kısmı, kimse rapor vermeden önce ortadan kayboluyor.
Bu rehber, bu kişilerin kim olduklarını, onlarla bağlantılı en büyük soygunları, bir saldırının nasıl gerçekleştiğini, paranın nasıl aklandığını ve ne kadarının ortadan kaybolduğunu ele alıyor. Odak noktası kripto paralar üzerinde kalıyor. Çünkü bu hikaye şu anda bu alanda ilerliyor.
Lazarus Grubu Gerçekte Kimdir?
Tek başına, kapüşonlu bir hacker imajını unutun. Lazarus Grubu, maaşlı bir devlet dairesine daha çok benziyor. Batılı kuruluşlar, grubu Kuzey Kore'nin ana dış istihbarat servisi olan İstihbarat Genel Bürosu ve bazen 121. Büro olarak adlandırılan birimlerle ilişkilendiriyor. Siber güvenlik araştırmacıları, pratikte Kuzey Kore hükümetinin saldırgan siber operasyonlarını yürüten bir ekip kümesi olmasına rağmen, grubu tek bir tehdit grubu olarak takip ediyor. Klavyenin arkasındaki kişiler eğitimli, maaşlı ve görevlendirilmiş olup, hedef listeleri devlet tarafından belirleniyor.
Grup, raporu yazana bağlı olarak birçok isimle anılıyor: APT38, Hidden Cobra, Guardians of Peace, Labyrinth Chollima. Analistler, grubu farklı görevlere sahip alt ekiplere ayırıyor. BlueNoroff bankaları ve kripto şirketlerini para için hedef alırken, Andariel casusluk ve yıkıcı faaliyetlere yöneliyor ve daha geniş kapsamlı Lazarus çatısı ise manşetlere taşınan saldırıları yönetiyor. Yaklaşık 2009 yılından beri bir şekilde aktif olan grup, dünyanın en uzun süredir faaliyet gösteren ve finansal motivasyonu en yüksek tehdit aktörlerinden biri olarak kabul ediliyor.
Lazarus'u çoğu devlet destekli hacker grubundan ayıran şey, motivasyonudur. Rusya ve Çin çoğunlukla casusluk yaparken, Kuzey Kore kendi kendini finanse etmek için hırsızlık yapar. Eylül 2019'da ABD Hazine Bakanlığı, Lazarus ve onunla bağlantılı iki grup olan BlueNoroff ve Andariel'i Kuzey Kore devletinin kolları olarak resmen yaptırıma tabi tuttu. Bir güvenlik firması grubu şu şekilde özetledi: bayraklı bir suç örgütü.
Sony'den WannaCry'a: İlk Yıllar
Kripto paralardan önce Lazarus, adını kaos üzerine kurmuştu. Sony Pictures Entertainment'ın 2014 yapımı hit filmi, Guardians of Peace ile anlaşmış, sistemleri silmiş, yayınlanmamış filmleri sızdırmış ve yıllarca süren şirket içi yazışmaları ortaya dökmüştü. Görünürdeki amaç mı? Kuzey Kore liderini alaya alan bir komedi filmi. Gürültülü, politik, yıkıcı. Henüz karlı değil.
Sıradaki adım para oldu. 2016'da grup, Bangladeş Bankası'nın New York Fed'deki hesabından 951 milyon doları çekmek için sahte SWIFT mesajları göndererek, şimdiye kadar denenmiş en büyük banka soygunlarından birini neredeyse gerçekleştirdi. Bir yazım hatası ve biraz şans, paranın büyük bir kısmını yok etti. Yaklaşık 81 milyon dolar yine de kaçtı. Bu tek siber saldırı, Lazarus'un bir klavyeden finans kurumlarını soyabileceğini kanıtladı ve devlet destekli siber suçu gerçek bir kar merkezine dönüştürdü.
Ardından 2017'de WannaCry geldi; yaklaşık 150 ülkede yüz binlerce bilgisayarı donduran ve İngiltere'deki hastaneleri de etkileyen bir fidye yazılımı solucanıydı. Özensizdi ve neredeyse hiçbir şey kazandırmadı. Ama erişim alanını gösterdi. Dolayısıyla kripto para birimleri büyüdüğünde, Lazarus zaten dokunmaya hakkı olmayan parayı hareket ettirme konusunda on yıllık bir deneyime sahipti.
Kuzey Koreli Hackerlar Neden Kripto Paraları Hedef Alıyor?
Küresel bankacılık sisteminden kopuk bir rejim için kripto para birimi neredeyse fazla elverişli. Yaptırımlar bir banka hesabını dondurabilir ve bir SWIFT transferini engelleyebilir, ancak hiç kimse bir cüzdanın para almasını engelleyemez. Kripto para birimi dakikalar içinde sınırları aşar, geri döndürülemez şekilde işlem görür ve izi bırakmak için tasarlanmış araçlar aracılığıyla kolayca transfer edilebilir.
Bu yüzden Kuzey Kore yön değiştirdi. Tek bir telefon görüşmesiyle geri alınabilecek bir banka soygununu neden riske atsın ki, bir köprü açığı on kat daha fazla kazandırıyor ve geri alınamazken? Ekonomik dengeler saldırganın lehine. Başarısız bir SWIFT transferi dondurulur ve iade edilir; başarılı bir köprü boşaltma işlemi ise blok onaylandığı anda kesinleşir. Aranacak bir karşı taraf yok, geri ödeme yok, cüzdan üzerinde yargı yetkisi olan bir mahkeme yok. Araştırmacılar ve BM, çalınan kripto paraların ülkenin dış gelirlerinin büyük bir bölümünü ve silah programının önemli bir kısmını oluşturduğunu tahmin ediyor, ancak bu kesin yüzdeler açık defterlerden ziyade istihbarat değerlendirmelerinden geliyor.
Lazarus Grubu'nun En Büyük Kripto Para Soygunları
Rakamlar artık bir süredir suç rakamlarını andırmıyor. Ulusal bütçeyi andırıyorlar. Tek seferde gerçekleşen en büyük hırsızlık olan Bybit saldırısı, sonraki birkaç saldırının toplamından ve tarihteki kripto para dışı herhangi bir banka soygunundan daha büyük.
| Soygun | Tarih | Miktar | Yöntem |
|---|---|---|---|
| Bybit | Şubat 2025 | ~1,5 milyar dolar | Çoklu imza arayüzünün manipülasyonu |
| Ronin Köprüsü (Axie) | Mart 2022 | ~625 milyon dolar | Çalınmış doğrulayıcı özel anahtarları |
| DMM Bitcoin | Mayıs 2024 | ~308 milyon dolar | Sahte işe alımcı, tehlikeye atılmış çalışan |
| WazirX | Temmuz 2024 | ~235 milyon dolar | Cüzdan altyapısı ihlali |
| Uyum Ufku | Haziran 2022 | ~100 milyon dolar | Köprü anahtarlarının tehlikeye atılması |
| Atomik Cüzdan | Haziran 2023 | >100 milyon dolar | Zararlı yazılım güncellemesi |
Yakından bakarsanız, aynı zayıf noktaların tekrar tekrar ortaya çıktığını görürsünüz. Ronin hırsızlığı, saldırganların köprüyü güvence altına alan dokuz doğrulayıcı anahtarından beşini ele geçirmesi ve kıdemli bir mühendisi tehlikeye attıktan sonra kendi para çekme işlemlerini onaylamaları sayesinde gerçekleşti. Bybit daha incelikliydi: Saldırganlar soğuk cüzdanı kırmak yerine, imzalayanların gördüğü arayüzü bozdu, böylece ekip rutin görünen ancak hiç de öyle olmayan bir transferi onayladı. Her iki durumda da kriptografi sağlam kaldı. Ancak insanlar ve etrafındaki yazılımlar sağlam kalmadı.
Miktarlar kaynağa göre değişiyor çünkü genellikle o günkü token fiyatına endeksli oluyorlar ve Lazarus, ether gibi değişken varlıkları çalma eğiliminde. Ronin rakamı, kimin saydığına bağlı olarak yaklaşık 540 milyon dolardan 625 milyon dolara kadar değişiyor ve Bybit'in değeri 1,4 ila 1,5 milyar dolar arasında belirtiliyor. Altta yatan model tutarlı: köprüleri , kripto para borsalarını ve cüzdan yazılımlarını hedef almak; tek bir arızanın büyük bir serveti serbest bırakabileceği darboğaz noktaları.
Lazarus Grubu Saldırısı Nasıl Gelişti?
İşte insanları şaşırtan kısım. Bu rekor kıran hırsızlıklar nadiren egzotik, durdurulamaz bir planla başlar. Her şey bir kişinin kandırılmasıyla başlar. Zekice ve geri döndürülemez kısım ise daha sonra, paranın ortadan kaybolması gerektiğinde gelir.
Giriş yolu: Sahte işler ve kimlik avı
Lazarus sabırlı ve sosyal bir yapıya sahip. Genellikle "Hayalinizdeki İş Operasyonu" olarak adlandırılan uzun soluklu taktiği, LinkedIn'de veya bir geliştirici topluluğunda işe alımcı gibi davranarak gerçekçi görünen bir şirkette hayalinizdeki pozisyonu sunmaktır. Görüşme sırasında bir "kodlama testi" veya PDF dosyası gelir ve açıldığında kötü amaçlı yazılım yüklenir. DMM Bitcoin hırsızlığının da tam olarak bu şekilde, sahte bir işe alımcının bağlantılı bir firmadaki bir çalışanı tehlikeye atmasıyla başladığına inanılıyor. Aynı yaklaşım, tuzaklı npm paketleri ve meşru iş örnekleri gibi gösterilen GitHub depoları aracılığıyla sektör genelindeki geliştiricileri hedef almıştır. Dosyanın bir iş ataması olduğu söylenen bir mühendisi hiçbir güvenlik duvarı durduramaz; işte bu yüzden bu kapıların çoğunu açan şey, kırılmaz bir güvenlik açığı değil, sosyal mühendisliktir.
Binanın içinde sahte bilişim çalışanları
Yeni yöntem daha da cüretkâr: Kuzey Kore, sisteme izinsiz girmek yerine, işe başvuruyor. Binlerce bilişim çalışanı, çalınmış Amerikan kimliklerini ve yerel aracıların işlettiği dizüstü bilgisayar çiftliklerini kullanarak uzaktan çalışan geliştiriciler gibi davranıyor; böylece çalışanlar Pyongyang'dan değil, Teksas'tan giriş yapıyormuş gibi görünüyor. Batılı teknoloji ve kripto şirketlerinde işe alındıktan sonra, maaşlarını evlerine aktarıyor ve bazen daha sonraki bir hırsızlık için erişim bilgileri yerleştiriyorlar. ABD Adalet Bakanlığı, bu planın her iki tarafına da yönelik adımlar attı; Aralık 2024'te on dört Kuzey Koreli hakkında dava açıldı ve 2025'te dizüstü bilgisayarları barındıran ABD merkezli aracılara karşı da işlem başlatıldı. Bu, maaş bordrosu girişi gibi görünen bir casusluk faaliyeti.
Para çekme: mikserler ve köprüler
Kripto parayı çalmak işin yarısı; daha zor olan yarısı ise onu harcamak. Lazarus, çalıntı fonları 2022'de ABD tarafından yaptırım uygulanan Tornado Cash ve 2023'ün sonlarında yaptırım uygulanan Sinbad gibi karıştırıcılar üzerinden geçiriyor, ardından izi bulanıklaştırmak için varlıklar arasında köprüler ve takaslar yoluyla parayı blok zincirleri arasında dolaştırıyor ve zayıf denetim mekanizmalarına sahip borsalar aracılığıyla nakde çeviriyor. Süreç hızlı ve otomatiktir; Bybit olayından sonra, araştırmacılar fonların saatler içinde yüzlerce cüzdana dağıldığını gözlemledi. Bu, endüstriyel ölçekte kara para aklama ve rejim bunu yapmaya devam edecek kadar sık işe yarıyor.
Lazarus Grubu Ne Kadar Para Çaldı?
Bir adım geri çekilip toplam rakamları anlamak zor. Chainalysis'e göre, Kuzey Kore bağlantılı bilgisayar korsanları 2025 yılında yaklaşık 2,02 milyar dolar değerinde kripto para çaldı; bu, bir önceki yıla göre %51'lik bir artış anlamına geliyor ve tüm zamanların toplamını 6,75 milyar doların üzerine çıkarıyor. 2025 yılında ülke, dünya genelinde kripto hizmetlerinden çalınan tüm değerin tahmini %76'sından sorumluydu. Tek bir ülke, zararın dörtte üçünü oluşturuyor.
| Dönem | Çalınmış (kripto) | Kaynak |
|---|---|---|
| 2024 (hükümetler tarafından onaylandı) | ~659 milyon dolar | ABD/Japonya/Güney Kore ortak açıklaması |
| 2024 (tam kaynak gösterimi) | ~1,19 milyar dolar | Chainalysis / Mandiant |
| 2025 | ~2,02 milyar dolar | Zincirleme Analizi |
| Tüm zamanların (alt sınırı) | ~6,75 milyar dolar | Zincirleme Analizi |
2024 rakamları, farklı şeyleri ölçtükleri için çelişiyor: hükümetler birkaç belirli soygunu doğrularken, analiz firmaları zincir içi izleme yoluyla daha fazlasını ortaya koydu. Her iki durumda da trend yukarı yönlü. Birleşmiş Milletler Uzmanlar Paneli'nin incelemesi, 2024 ve 2025 rekorları henüz kırılmadan önce, 2017 ile 2023 yılları arasında yaklaşık 3 milyar dolar değerinde 58 şüpheli Kuzey Kore kripto saldırısı saydı. Aynı kurum, bu paranın Kuzey Kore'nin silah programını finanse etmeye yardımcı olduğunu bildirdi; bu iddia, denetlenmiş hesaplardan ziyade üye devlet istihbaratına dayanıyor, ancak her borsa ihlalini jeopolitik bir olaya daha yakın bir şey olarak yeniden çerçevelendiriyor.
Yaptırımlar, İddianameler ve Yanıtlar
Peki bu konuda kim ne yapabilir ki? İsimlerini açıklayabilir, yaptırım uygulayabilir, haklarında dava açabilir. Ama neredeyse hiç tutuklayamazlar, çünkü Pyongyang'da oturuyorlar.
Artık evrak işleri çok uzadı. Hazine Bakanlığı, Lazarus'u 2019'da kara listeye aldı, ardından da güvendiği Tornado Cash ve Sinbad gibi şirketlerin peşine düştü. Savcılar da işin içine girdi ve 2021'den beri adı geçen bilgisayar korsanlarını ve son zamanlarda da sahte BT çalışanı hattını yöneten kişileri suçladı. Tutuklama emirlerini yerine getirmekte başarılar dileriz.
Parayı geri almak ise daha da nadir bir durum. Ronin hırsızlığından sonra, müfettişler FBI ve Chainalysis'in yardımıyla paranın bir kısmını geri almayı başardılar . Sadece bir kısmını. Geri kalanı gitmişti. Ve yaptırımlar sorunu sadece bir yerden bir yere kaydırma eğilimindedir: Tornado Cash'i kara listeye alırsanız para Sinbad'a gider; Sinbad'ı vurursanız grup bir sonraki suçluyu bulur. Her hamle parayı geri almayı daha pahalı ve daha çirkin hale getirir. Hiçbiri hırsızlığı kaynağında durdurmaz. Bir hükümeti iade edemezsiniz.
Lazarus Grubu Durdurulabilir mi?
Dürüst olmak gerekirse, sadece yaptırımlarla değil. Önemli olan savunma, ihlalden önce gerçekleşir ve savcılardan ziyade borsalara ve kullanıcılara düşer. Bu, büyük transferlerde donanım tabanlı onaylar, istenmeyen bir aracıyı fırsat yerine tehdit olarak ele almak ve tek bir ele geçirilmiş dizüstü bilgisayarın hazineyi teslim etmesine izin vermemek anlamına gelir. Ayrıca, ekrana güvenmek yerine gerçekten ne imzaladığınızı doğrulamak anlamına gelir; bu da Bybit'e bir milyar dolardan fazla kaybettiren tam olarak bu eksikliktir. Asimetri acımasızdır: savunmacılar her zaman haklı olmak zorundadır, oysa Lazarus'un bir dosyayı açmak için bir mühendise ihtiyacı vardır. Gerçekçi hedef, grubu ortadan kaldırmak değil, her hırsızlığı daha yavaş, daha küçük ve aklanması daha zor hale getirmektir, böylece bir sonraki milyar dolarlık fırsat bulunamaz.
Kripto Para Dünyası İçin Lazarus Grubu Neden Önemli?
Lazarus, kriptonun en çok övündüğü özelliklerini, yani sınırsız ve geri döndürülemez olmasını, alıp devlet finansmanı aracı haline getirdi. Buradaki rahatsız edici ders şu: Parayı bankalardan kurtaran aynı tasarım, onu geri alınamaz hale de getiriyor. Kripto güvenliği artık sadece kendi anahtarlarınızla ilgili kişisel bir endişe değil; aynı anda birçok ülke için ulusal güvenlik sorunu haline geldi. Denetlenmemiş her köprü ve gevşek kontrollere sahip her borsa, füze bütçesinde potansiyel bir kalemdir. Üzerinde düşünülmesi gereken soru, açık, izinsiz bir finansal sistemin, büyük ölçekli hırsızlığı dış politika meselesi olarak gören sabırlı, iyi finanse edilmiş bir rakibe karşı kendini nasıl savunacağıdır.
