Altı Aylık Planlı Sosyal Mühendislik Kampanyası

Drift Protokolü'nün platformunda meydana gelen Nisan 2024 saldırısının, sosyal mühendislik tekniklerini içeren uzun süreli bir hazırlık döneminin sonucu olduğunu bildirdi. Protokol yöneticilerine göre, saldırganlar "kurumsal destek, kaynak ve aylarca süren kasıtlı hazırlık" göstererek oldukça organize bir şekilde hareket etmiştir.

İlk temas, Ekim 2025 tarihinde başlamıştır. Sahte bir nicel ticaret firmasının temsilcileri olarak davranan kişiler, büyük bir kripto konferansında Drift'in katkıda bulunan üyelerine yaklaşarak protokolle entegre olmak istediklerini iddia etmiştir. Bu grup, sonraki altı ay boyunca çeşitli endüstri etkinliklerinde katkıda bulunanlara devam etmiş ve güven oluşturmayı başarmıştır.

Teknik Uzmanlık ve Kötü Amaçlı Araçlar

Saldırganlar, teknik yetkinlik gösterdiler ve Drift Protokolü'nün işleyişi hakkında derinlemesine bilgi sahibi idiler. Gerçekçi profesyonel geçmişler sunarak katkıda bulunanlara yönelik ilişkilerini sağlamlaştırdılar. Drift, bu istikrarlı iletişim sayesinde saldırganların kötü amaçlı bağlantılar ve yazılımlar paylaştığını ve bu yolla cihazları tehlikeye attığını, saldırıyı gerçekleştirdiğini ve ardından izlerini sildiğini belirtmiştir.

Radiant Capital Hackeriyle Bağlantı

Drift Protokolü, bu saldırıyı orta-yüksek güvenle Ekim 2024'teki Radiant Capital hack saldırısının arkasındaki aynı aktörlerle ilişkilendirmektedir. Radiant Capital'a yapılan önceki saldırı yaklaşık 58 milyon dolar kayba neden olmuş ve dahili sistemlere erişim sağlamak için kötü amaçlı yazılım kullanılmıştır.

Radiant Capital, Aralık 2024'te Kuzey Kore bağlantılı bir hacker'ın eski bir yüklenici olarak kimlik taşıyıp Telegram aracılığıyla kötü amaçlı yazılım gönderdiğini bildirmiştir. Radiant'ın açıklamasına göre, bu ZIP dosyası daha sonra geliştirici arasında dağıtılmış ve bu şekilde sisteme sızma yolu açılmıştır.

Kuzey Kore Bağlantısı ve Üçüncü Taraf Aracılar

Drift, katkıda bulunanlarla yüz yüze buluşan kişilerin Kuzey Koreli vatandaş olmadığını bildirmiştir. Bununla birlikte Drift ekibi, KDHC ile bağlantılı tehdit aktörlerin, ilişki kurma ve güven oluşturma sürecinde sıkça üçüncü taraf aracıları kullandığını vurgulamıştır.

Bu taktik, saldırgan gruplarının doğrudan kimliklerini gizlerken, uzun vadeli ilişkiler kurmasını ve hedef kuruluşun çalışanlarını fiziksel ortamlarda incelemesini sağlamaktadır.

Geçmiş Saldırılardan Dersler

Drift Protokolü, Nisan 2024 saldırısının tam bir kaydını oluşturmak için hukuk yaptırım kuruluşları ve diğer kripto sektörü katılımcılarıyla çalışmaya başlamıştır. Bu olay, kripto şirketleri için yeni bir uyarı işlevi görmektedir: konferanslar ve yüz yüze toplantılar, tehdit gruplarının ekipleri gözlemlemesi, güven kurması ve gelecekte saldırılar hazırlaması için fırsat oluşturabilir.

Güvenlik uzmanları, kripto şirketlerinin çalışanlarına sosyal mühendislik saldırılarına karşı eğitim vermeyi ve endüstri etkinliklerinde kimlik doğrulama protokollerini sıkılaştırmayı tavsiye etmektedir.