Editör notu: Kuzey Koreli hackerlar, kripto para piyasası için büyük bir tehdit olmaya devam ediyor. Geçmişte, mağdurlar ve sektördeki güvenlik uzmanları, Kuzey Koreli hackerların davranış kalıplarını her dönemle ilgili güvenlik olaylarını tersine analiz ederek tahmin etmek zorunda kalıyordu. Ancak dün, ünlü zincir dedektifi ZachXBT, son tweetinde bir beyaz şapka hackerın Kuzey Koreli hackerları tersine hacklediği araştırma analizini alıntılayarak, Kuzey Koreli hackerların "çalışma" yöntemlerini proaktif bir bakış açısıyla ilk kez ortaya koydu. Bu durum, sektördeki projelerin önceden güvenlik önlemleri alması açısından belirli bir olumlu anlam taşıyabilir.
Aşağıda ZachXBT'nin tam içeriği, Odaily Planet Daily tarafından çevrilmiştir.
Kimliğini açıklamak istemeyen bir anonim hacker, son zamanlarda bir Kuzey Koreli IT çalışanın cihazını hackledi ve böylece beş kişilik bir teknik ekibin 30'dan fazla sahte kimlik kullanarak nasıl faaliyet gösterdiğine dair gizli bilgileri ortaya çıkardı. Bu ekip yalnızca hükümet tarafından verilen sahte kimlik belgelerine sahip olmakla kalmayıp, aynı zamanda Upwork/LinkedIn hesapları satın alarak çeşitli geliştirme projelerine sızıyor.
Araştırmacılar, Google Drive verilerini, Chrome tarayıcı profilini ve cihaz ekran görüntülerini elde etti. Veriler, ekibin iş programı, görev dağılımı ve bütçe yönetimini koordine etmek için Google serisi araçlara yüksek derecede bağımlı olduğunu gösteriyor, tüm iletişim İngilizce olarak gerçekleştiriliyor.
2025 yılına ait bir haftalık rapor dosyası, bu hacker ekibinin çalışma tarzını ve bu süre zarfında karşılaştıkları zorlukları ortaya koydu. Örneğin, üyelerden biri "iş taleplerini anlayamıyorum, ne yapmam gerektiğini bilmiyorum" şeklinde şikayette bulunmuştu. İlgili çözüm önerileri kısmında ise "özen göster, iki kat daha fazla çalış" yazıyordu...
Harcamalar detaylı kayıtları, harcama kalemlerinin Sosyal Güvenlik Numarası (SSN) alımı, Upwork, LinkedIn hesap alım satımı, telefon numarası kiralama, AI hizmeti aboneliği, bilgisayar kiralama ve VPN / proxy hizmeti alımları gibi şeyleri içerdiğini göstermektedir.
Bir elektronik tablo, sahte kimlikle "Henry Zhang" olarak toplantıya katılma zamanlaması ve konuşma metnini ayrıntılı olarak kaydediyor. İşlem süreci, bu Kuzey Koreli IT çalışanlarının önce Upwork ve LinkedIn hesapları satın alacağını, bilgisayar ekipmanları kiralayacağını ve ardından AnyDesk uzaktan kontrol aracıyla dış kaynaklı işleri tamamlayacağını gösteriyor.
Onlar, para gönderip almak için kullandıkları cüzdan adreslerinden biri şudur:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Bu adres, 2025 yılının Haziran ayında gerçekleşen 680,000 dolarlık Favrr protokolü saldırı olayıyla yakın bir zincir içi ilişkiye sahiptir. Olaydan sonra, CTO'sunun ve diğer geliştiricilerin sahte belgelerle çalışan Kuzey Koreli IT işçileri olduğu doğrulandı. Bu adres aracılığıyla diğer sızma projelerindeki Kuzey Koreli IT personeli de tespit edilmiştir.
Ekipin arama kayıtları ve tarayıcı geçmişinde aşağıdaki önemli kanıtlar da bulundu.
Bazı insanlar "Nasıl Kuzey Kore'den geldiklerini doğrulayabilirim?" diye sorabilir. Yukarıda ayrıntılı olarak açıklanan tüm sahte belgelerin yanı sıra, arama geçmişleri sık sık Google Çeviri kullandıklarını ve Rus IP'si kullanarak Korece'ye çevirdiklerini gösteriyor.
Şu anda, şirketlerin Kuzey Koreli BT çalışanlarına karşı önlem alma konusundaki temel zorlukları şu alanlarda yoğunlaşmaktadır:
Sistematik işbirliği eksikliği: Platform hizmet sağlayıcıları ile özel sektör arasında etkili bir bilgi paylaşımı ve işbirliği mekanizması yok.
İşverenin dikkatsizliği: İnsan kaynakları ekibi, risk uyarısı aldıktan sonra genellikle savunmacı bir tutum sergiliyor ve hatta soruşturmaya iş birliği yapmayı reddediyor;
Miktar avantajı etkisi: Teknolojik yöntemleri karmaşık olmasa da, büyük iş arayan havuzuyla küresel iş piyasasına sürekli olarak sızıyor;
Fon dönüşüm kanalları: Payoneer gibi ödeme platformları, geliştirici işlerinden elde edilen fiat gelirlerini kripto para birimine dönüştürmek için sıkça kullanılmaktadır;
Dikkat edilmesi gereken göstergeleri birkaç kez tanıttım, ilgilenenler benim geçmiş tweetlerime göz atabilir, burada tekrar etmeyeceğim.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
ZachXBT: Ters bir şekilde Kuzey Koreli hacker cihazlarını hackledikten sonra, onların "çalışma" modelini anladım.
Yazar: ZachXBT
Çeviri: Azuma, Gezegen Gazetesi
Editör notu: Kuzey Koreli hackerlar, kripto para piyasası için büyük bir tehdit olmaya devam ediyor. Geçmişte, mağdurlar ve sektördeki güvenlik uzmanları, Kuzey Koreli hackerların davranış kalıplarını her dönemle ilgili güvenlik olaylarını tersine analiz ederek tahmin etmek zorunda kalıyordu. Ancak dün, ünlü zincir dedektifi ZachXBT, son tweetinde bir beyaz şapka hackerın Kuzey Koreli hackerları tersine hacklediği araştırma analizini alıntılayarak, Kuzey Koreli hackerların "çalışma" yöntemlerini proaktif bir bakış açısıyla ilk kez ortaya koydu. Bu durum, sektördeki projelerin önceden güvenlik önlemleri alması açısından belirli bir olumlu anlam taşıyabilir.
Aşağıda ZachXBT'nin tam içeriği, Odaily Planet Daily tarafından çevrilmiştir.
Kimliğini açıklamak istemeyen bir anonim hacker, son zamanlarda bir Kuzey Koreli IT çalışanın cihazını hackledi ve böylece beş kişilik bir teknik ekibin 30'dan fazla sahte kimlik kullanarak nasıl faaliyet gösterdiğine dair gizli bilgileri ortaya çıkardı. Bu ekip yalnızca hükümet tarafından verilen sahte kimlik belgelerine sahip olmakla kalmayıp, aynı zamanda Upwork/LinkedIn hesapları satın alarak çeşitli geliştirme projelerine sızıyor.
Araştırmacılar, Google Drive verilerini, Chrome tarayıcı profilini ve cihaz ekran görüntülerini elde etti. Veriler, ekibin iş programı, görev dağılımı ve bütçe yönetimini koordine etmek için Google serisi araçlara yüksek derecede bağımlı olduğunu gösteriyor, tüm iletişim İngilizce olarak gerçekleştiriliyor.
2025 yılına ait bir haftalık rapor dosyası, bu hacker ekibinin çalışma tarzını ve bu süre zarfında karşılaştıkları zorlukları ortaya koydu. Örneğin, üyelerden biri "iş taleplerini anlayamıyorum, ne yapmam gerektiğini bilmiyorum" şeklinde şikayette bulunmuştu. İlgili çözüm önerileri kısmında ise "özen göster, iki kat daha fazla çalış" yazıyordu...
Harcamalar detaylı kayıtları, harcama kalemlerinin Sosyal Güvenlik Numarası (SSN) alımı, Upwork, LinkedIn hesap alım satımı, telefon numarası kiralama, AI hizmeti aboneliği, bilgisayar kiralama ve VPN / proxy hizmeti alımları gibi şeyleri içerdiğini göstermektedir.
Bir elektronik tablo, sahte kimlikle "Henry Zhang" olarak toplantıya katılma zamanlaması ve konuşma metnini ayrıntılı olarak kaydediyor. İşlem süreci, bu Kuzey Koreli IT çalışanlarının önce Upwork ve LinkedIn hesapları satın alacağını, bilgisayar ekipmanları kiralayacağını ve ardından AnyDesk uzaktan kontrol aracıyla dış kaynaklı işleri tamamlayacağını gösteriyor.
Onlar, para gönderip almak için kullandıkları cüzdan adreslerinden biri şudur:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Bu adres, 2025 yılının Haziran ayında gerçekleşen 680,000 dolarlık Favrr protokolü saldırı olayıyla yakın bir zincir içi ilişkiye sahiptir. Olaydan sonra, CTO'sunun ve diğer geliştiricilerin sahte belgelerle çalışan Kuzey Koreli IT işçileri olduğu doğrulandı. Bu adres aracılığıyla diğer sızma projelerindeki Kuzey Koreli IT personeli de tespit edilmiştir.
Ekipin arama kayıtları ve tarayıcı geçmişinde aşağıdaki önemli kanıtlar da bulundu.
Bazı insanlar "Nasıl Kuzey Kore'den geldiklerini doğrulayabilirim?" diye sorabilir. Yukarıda ayrıntılı olarak açıklanan tüm sahte belgelerin yanı sıra, arama geçmişleri sık sık Google Çeviri kullandıklarını ve Rus IP'si kullanarak Korece'ye çevirdiklerini gösteriyor.
Şu anda, şirketlerin Kuzey Koreli BT çalışanlarına karşı önlem alma konusundaki temel zorlukları şu alanlarda yoğunlaşmaktadır:
Dikkat edilmesi gereken göstergeleri birkaç kez tanıttım, ilgilenenler benim geçmiş tweetlerime göz atabilir, burada tekrar etmeyeceğim.