Drift Protocol Saldırısı: Aylar Süren Planlama ve Sosyal Mühendislik

Drift Protocol, platformuna yapılan Nisan 2024 saldırısının ardındaki olayları aydınlatarak, saldırganların aylarca süren bir planlama ve sosyal mühendislik süreci yürüttüğünü belirtti. Değişim, saldırganların katkıda bulunanların cihazlarına sızmadan önce güven inşa etmek için altı ay harcadığını açıkladı. Exchange, istismarı, Radiant Capital'in Ekim 2024'teki hack'inin arkasındaki aktörlerle orta-yüksek güvenle ilişkilendirdi.

Drift, saldırganların kripto etkinliklerinde yüz yüze temas kurarak katkıda bulunanları incelediğini ve erişim sağladığını bildirdi. Kayıpların yaklaşık 280 milyon dolar olduğu tahmin ediliyor. Drift, platforma karşı uzun ve organize bir kampanya tespit etti. Ekip, saldırganların operasyon sırasında "kurumsal destek, kaynaklar ve aylar süren kasıtlı hazırlık" sergilediğini belirtti.

Değişim, temasın Ekim 2023 civarında başladığını söyledi. Drift'e göre, nicel bir ticaret firması üyesi gibi davranan kişiler, büyük bir kripto konferansında katkıda bulunanlara yaklaştı ve protokol ile entegre olmak istediklerini iddia etti. Yüz yüze yapılan toplantılar zamanla güven oluşturdu. Drift, grubun sonraki altı ay boyunca çeşitli endüstri etkinliklerinde katkıda bulunanlarla buluşmaya devam ettiğini belirtti. Ekip, dahil olan kişilerin teknik olarak yetenekli olduğunu, Drift'in nasıl çalıştığını bildiğini ve gerçek profesyonel geçmişlere sahip göründüğünü söyledi.

Bu istikrarlı temas, grubun güven kazanmasına yardımcı oldu. Drift, saldırganların daha sonra cihazları tehlikeye atmak, istismarı gerçekleştirmek ve ihlalden sonra faaliyetlerinin izlerini silmek için katkıda bulunanlarla paylaşılan kötü niyetli bağlantılar ve araçlar kullandığını belirtti. Ek olarak Drift, Ekim 2024'teki Radiant Capital hack'inin arkasındaki aynı aktörlerin bu istismarı gerçekleştirdiğine "orta-yüksek güven" duyduğunu belirtti. Radiant Capital, Aralık 2024'te Kuzey Kore bağlantılı bir bilgisayar korsanının eski bir yüklenici gibi davrandığını ve Telegram üzerinden kötü amaçlı yazılım gönderdiğini söyledi.

Drift, konferansların saldırı hedefleri haline gelebileceği konusunda uyarıyor. Yüz yüze görüşmelerin, tehdit gruplarına ekipleri inceleme, güven oluşturma ve daha sonraki saldırılara hazırlanma fırsatı verebileceğine dikkat çekiyor.

Sonuç olarak, bu olay kripto firmaları için bir uyarı niteliği taşıyor. Konferanslar ve yüz yüze toplantılar, siber suçluların hedef seçtikleri organizasyonlar üzerinde derinlemesine bilgi edinmeleri ve uzun vadeli saldırılar planlamaları için zemin hazırlayabilir.