Kuzey Kore’nin Drift platformuna yönelik altı ay süren sızma operasyonu, milyar dolarlık saldırıların ardından zaten sarsılmış olan kripto sektöründe yeni bir endişe dalgası yarattı.
Ancak haberlerin ardından, daha büyük bir soru gündeme geldi: Kuzey Kore neden sürekli olarak kriptoya yöneliyor ve neden bu ülkenin yaklaşımı, diğer devlet destekli siber saldırı operasyonlarından bu kadar farklı görünüyor?
Güvenlik uzmanlarına göre, kısa cevap şu: Kripto, rejime gelir akışı sağlıyor ve ayakta kalmasına yardımcı oluyor.
SVRN operasyon direktörü ve Yeshiva Üniversitesi siber güvenlik yüksek lisans programı kurucusu Dave Schwed, Kuzey Kore’nin sabır lüksüne sahip olmadığını belirtiyor. Ülkenin kapsamlı uluslararası yaptırımlar altında olduğunu ve silah programlarını finanse etmek için dövize ihtiyaç duyduğunu vurgulayan Schwed, Birleşmiş Milletler ve çeşitli istihbarat kurumlarının, kripto hırsızlığının nükleer ve balistik füze geliştirme faaliyetlerinin başlıca finansman kaynağı olduğunu doğruladığını aktarıyor.
Bu aciliyet, araştırmacıların uzun süredir yanıt aradığı bir dinamiği açıklıyor: Kuzey Koreli hacker’lar, diğer devlet aktörlerinin yaptırımları aşmak için kriptoyu sessizce kullanmasının aksine, neden kamuya açık blok zincirlerinde büyük ve izlenebilir soygunlar gerçekleştiriyor?
Schwed’e göre, bunun nedeni yapısal farklar. Rusya’nın hâlâ bir ekonomisi var; petrol, gaz, emtia ihracatı ve alternatif yolları kullanmaya istekli ticaret ortakları mevcut. Rusya, kriptoyu esas olarak bir ödeme altyapısı olarak kullanıyor. İran da benzer şekilde, yaptırıma tabi petrol ve Orta Doğu genelinde aracılar üzerinden mal hareketi sağlıyor. Ancak Kuzey Kore’nin satacak neredeyse hiçbir şeyi kalmadı.
Schwed, ülkenin ihracatının neredeyse tamamen yaptırıma tabi olduğunu ve işleyen bir ekonomisinin bulunmadığını, bu nedenle doğrudan gelire ihtiyaç duyduğunu belirtiyor. Kripto hırsızlığı ise, herhangi bir karşı tarafa ihtiyaç duymadan, küresel ölçekte anında likit değere erişim sağlıyor.
Bu ayrım — kriptonun altyapı olarak kullanılması ile doğrudan hedef alınması arasındaki fark — Kuzey Kore’yi yalnızca Rusya’dan değil, İran’dan da ayırıyor. Rusya, yaptırımları aşmak için kripto üzerinden para transferi yaparken; İran, Orta Doğu’daki vekil ağlarını finanse etmek için kullanıyor. Kuzey Kore ise, doğrudan devlet destekli bir soygun operasyonu yürütüyor.
ENS Labs bilgi güvenliği direktörü ve King’s College London siber güvenlik profesörü Alexander Urbelis, Kuzey Koreli saldırganların hedeflerinin borsalar, cüzdan sağlayıcıları, merkeziyetsiz finans (DeFi) protokolleri ve imza yetkisi veya altyapı erişimi olan mühendisler ve kurucular olduğunu belirtiyor. Kurban ise, anahtarları veya bu anahtarlara erişimi elinde bulunduran herkes.
Rusya ve İran ise, kriptoyu daha çok dolaylı bir araç olarak kullanıyor. Urbelis, Rusya’nın seçimleri, enerji altyapısını ve devlet sistemlerini hedef aldığını; İran’ın ise muhalifler ve bölgesel rakiplerine odaklandığını ifade ediyor. Her iki ülke de kriptoya yalnızca para transferi için dokunuyor, ekosistemden doğrudan hırsızlık yapmıyor.
Bu odaklanma, Kuzey Koreli operatörlerin, klasik siber suçlulardan ziyade istihbarat ajanslarına özgü taktikler benimsemesine yol açtı: Aylar süren ilişki kurma, sahte kimlikler ve tedarik zinciri sızmaları.
Drift operasyonu, bu yaklaşımın en güncel örneklerinden biri.
Urbelis, burada rastgele bir dolandırıcıdan gelen oltalama e-postasına karşı değil, altı ay boyunca belirli bir kişiye erişim sağlamak için ilişki kuran bir saldırgana karşı savunma yapıldığını vurguluyor.
Kriptonun kendi mimarisi, bu alanı benzersiz şekilde cazip bir av sahasına dönüştürüyor. Geleneksel finans sistemlerinde, başarılı saldırılar bile uyum kontrolleri, muhabir banka denetimleri, takas gecikmeleri ve şüpheli transferlerin geri alınabilmesi gibi engellerle karşılaşıyor. Kuzey Koreli hacker’ların 2016’daki Bangladeş Merkez Bankası soygununda, işlemler günlerce sürdü ve fonların büyük kısmı geri alındı veya bloke edildi. Kriptoda ise, protokol düzeyinde bu tür korumalar bulunmuyor.
Urbelis, bir işlemin imzalanıp onaylanmasının ardından kesinleştiğini belirtiyor. Geçen yıl Bybit’te yaşanan saldırıda, yaklaşık 1,5 milyar dolar sadece 30 dakikada taşındı. Bu hız ve ölçek, geleneksel bankacılık sisteminde neredeyse imkânsız.
Bu kesinlik, güvenlik hesaplamalarını kökten değiştiriyor. Bankacılıkta, önleme, tespit ve müdahale arasında makul bir savunma hattı kurulabiliyor; çünkü fonları dondurmak veya transferi geri almak için her zaman bir zaman penceresi mevcut. Kriptoda ise bu pencere neredeyse yok; bu da saldırıyı gerçekleşmeden önce durdurmayı tek seçenek haline getiriyor.
Bankalar onlarca yıllık düzenleyici rehberlik ve denetim gereklilikleriyle çalışırken, birçok kripto projesi hâlâ doğaçlama çözümler üretiyor ve çoğu zaman yönetişim ve kontrol yerine hız ve yeniliği önceliklendiriyor.
Bu fark, en yetkin ekiplerin bile özellikle Kuzey Kore’nin geliştirdiği uzun vadeli sızma taktiklerine karşı savunmasız kalmasına yol açıyor.
Urbelis, sahte kimlikler ve üçüncü taraf aracılar üzerinden yapılan sofistike sızmalara karşı sektörün henüz kesin bir çözüm bulamadığını belirtiyor.
Bu içerik hazırlanırken faydalanılan kaynaklar: coindesk.com
