Haberler 
Coin Bilgisi 
Hakkımızda 
Bitcoin(BTC) ve diğer kripto paralarla ödeme ve hediye kartı hizmeti sunan Bitrefill(Bitrefill), 1 Mart’te (yerel saatle) yaşanan siber saldırının arkasında Kuzey Kore bağlantılı Lazarus(Lazarus) grubunun bulunduğunu açıkladı. Şirketin açıklamasına göre saldırı sonucunda bazı altyapı bileşenleri ve kripto para cüzdanları zarar gördü, ayrıca 18 bin 500 adetlik alışveriş kaydı dışarıya sızdı.
Bitrefill, X (eski adıyla Twitter) üzerinden yayımladığı detaylı raporda, saldırganın ‘prodüksiyon anahtarına’ erişim sağladıktan sonra sıcak cüzdanlardaki fonları harici adreslere aktardığını belirtti. Ayrıca bazı satın alma verilerinde yer alan e-posta adresleri, ödeme adresleri ve IP adresleri gibi bilgilerin de ele geçirildiğini duyurdu. Şirket, etkilenen kullanıcılara bireysel bildirimde bulunduğunu ve oluşan zararı işletme sermayesinden tamamen karşılayacağını vurguladı. Bitrefill’e göre ödeme, stok ve hesap yönetimi gibi kritik sistemlerin büyük kısmı normale dönmüş durumda ve satış hacmi de saldırı öncesi seviyelere yaklaşmaya başladı.
Yorum Bitrefill’in raporunda Lazarus bağlantısının kamuoyuna açık şekilde dile getirilmesi, hem regülatörler hem de kripto güvenlik şirketleri açısından önemli bir işaret olarak öne çıkıyor. yorum
Şirket, saldırının taktik ve tekniklerinin daha önce Lazarus çatısı altında faaliyet gösterdiği bilinen Bluenoroff(Bluenoroff) gibi alt grupların yöntemleriyle benzerlik taşıdığını ifade etti. Bitrefill’in analizine göre süreç, kötü amaçlı yazılım bulaşmasıyla başladı, ardından iç sistemlerdeki yetkiler kademeli olarak genişletildi. On-chain (blokzincir üzerindeki) hareketlerin izlenmesi, yeniden kullanılan IP ve e-posta adresleri gibi dijital izler de geçmiş Lazarus operasyonlarıyla örtüşen işaretler arasında yer aldı.
Lazarus, daha önce de kripto sektöründe çok sayıda yüksek profilli saldırıyla gündeme gelmişti. Ronin Network(Ronin Network), Harmony(Harmony) ağının Horizon Bridge(Horizon Bridge) köprüsü, WazirX(WazirX) borsası ve Atomic Wallet(Atomic Wallet) gibi hedeflere yönelik saldırılar bunlar arasında sayılıyor. Sektördeki güvenlik uzmanları, Lazarus’un özellikle borsalar, köprüler ve cüzdan sağlayıcılar gibi ‘kritik altyapılara’ ve bunların operasyonel anahtarlarına odaklandığı görüşünde birleşiyor.
Bitrefill’in aktardığına göre bu olayda saldırının çıkış noktası, belirli bir çalışana ait dizüstü bilgisayarın ele geçirilmesi oldu. Bu süreçte geçmişte kullanılan ‘eski (legacy) yetkilendirme bilgileri’ sızdırıldı ve saldırganlar bu zayıf noktayı kullanarak Bitrefill’in daha geniş altyapısına erişim sağladı. Şirket, saldırganların böylece bazı veritabanı bölümlerine ve kripto para cüzdanlarına kadar ilerlediğini değerlendiriyor.
Saldırı, tedarikçiler tarafında tespit edilen olağan dışı satın alma hareketleriyle gün yüzüne çıktı. Bitrefill, saldırganların hediye kartı stoklarını ve tedarik zincirini manipüle ederek ürünleri sistem dışına çekmeye çalıştığını, ayrıca sıcak cüzdanlardan kendi adreslerine fon aktarma girişimlerinin gözlemlendiğini belirtti. Bunun üzerine şirket, zararın büyümesini engellemek için sistemlerini acil olarak çevrimdışı moda alarak operasyonları geçici olarak durdurdu.
Bitrefill, dünya çapında e-ticaret işlemleri yürüttüğünü, onlarca tedarikçi, binlerce ürün ve çok sayıda ülkenin farklı ödeme yöntemleriyle çalıştığını hatırlatarak, “Böyle bir yapıyı tamamen ve güvenli bir şekilde kapatıp sonra yeniden faaliyete geçirmek hiç de basit bir süreç değil” ifadesini kullandı.
Müşteri verileri açısından bakıldığında Bitrefill, tüm veritabanının toplu şekilde dışarıya çıkarıldığına dair bir bulguya rastlanmadığını açıkladı. İç log kayıtları incelendiğinde saldırganların sorgularının ağırlıklı olarak ‘kripto para bakiyeleri’ ve ‘hediye kartı stokları’ gibi operasyonel çekirdek bilgilere yöneldiği, yani genel müşteri veri tabanı dökümlerinden kaçınıldığı görüldü.
Yine de yaklaşık 18 bin 500 adetlik satın alma kaydına erişim sağlandığı doğrulandı. Bu kayıtlarda e-posta adresleri, kripto ödeme adresleri ve IP adresleri gibi çeşitli metadata alanları bulunuyor. Bunların içinden yaklaşık 1.000 kadar kayıtta, belirli ürünlerle ilişkili ‘şifrelenmiş kullanıcı adları’ yer alıyordu. Bitrefill, bu grubu potansiyel olarak yüksek riskli gördüğünü, ilgili kullanıcılara durum hakkında doğrudan e-posta ile bilgilendirme yaptığını belirtti.
Platform, tasarım gereği ‘yalnızca asgari seviyede kişisel veri’ sakladığını ve zorunlu KYC (müşterini tanı) prosedürü uygulamadığını özellikle vurguladı. Şirket, mevcut durumda kullanıcıların ek bir acil aksiyon almasını gerektirecek bir durum görmediğini, buna rağmen Bitrefill veya kripto para ödemeleriyle ilişkili beklenmedik iletişim girişimlerine karşı dikkatli olunmasını istedi. Bu uyarı, olası kimlik avı (phishing) ve sahte destek taleplerine karşı önleyici bir adım olarak yorumlanıyor.
Bitrefill, saldırının ardından güvenlik mimarisini baştan aşağı gözden geçirdiklerini bildirdi. Dış bağımsız güvenlik ekipleriyle kapsamlı sızma testleri yürütülüyor, iç erişim kontrolleri sıkılaştırılıyor ve loglama-izleme altyapısı geliştirilerek tehdit tespit sürelerinin kısaltılması hedefleniyor. Ayrıca olay müdahale süreçleri güncelleniyor ve gerektiğinde hizmetlerin otomatik ‘kapatılmasını’ sağlayacak protokoller daha ayrıntılı hale getiriliyor.
Yorum Saldırı, kripto ödeme ve ticaret platformlarının yalnızca on-chain güvenliğe değil, aynı zamanda anahtar yönetimi, çalışan cihazlarının korunması ve tedarik zinciri izleme gibi alanlara da eşit derecede önem vermesi gerektiğini bir kez daha hatırlattı. yorum
Uzmanlara göre blokzincir üzerindeki işlemler izlenebilir olsa da, bir kez özel anahtarlar çalındığında fonları geri almak neredeyse imkansız hale geliyor. Bu nedenle sıcak cüzdan yönetimi ve anahtar operasyonu, kripto şirketleri için en kritik risk alanları arasında konumlanıyor.
Bitrefill, yaşanan olayı “son derece sofistike ve yıpratıcı” olarak nitelendirirken, “Buna rağmen ayakta kaldık ve müşterilerimizin güvenini hak ettiğimizi göstermeye devam edeceğiz” mesajını verdi. Şirket, 10 yılı aşan faaliyet süresi boyunca ilk kez bu ölçekte bir saldırıyla karşılaştığını, ancak yeterli sermaye gücü ve kârlılığı sayesinde oluşan zararı operasyonel olarak absorbe edebileceğini ekledi.
Yorum 0