Siber güvenlik araştırmaları, blok zincir teknolojisinin kötü amaçlarla kullanılmaya başladığını ortaya koydu. Google’ın Tehdit İstihbarat Grubu tarafından yayınlanan yeni rapora göre bazı bilgisayar korsanları, blok zincir ağlarının değiştirilemez yapısından yararlanarak zararlı yazılımları saklıyor ve yayıyor. Böylece, dünyanın en dayanıklı dijital sistemlerinden biri olan blok zincir, saldırganlar için neredeyse yok edilemez bir sığınak hâline geliyor.
Blok Zincirler Yeni Nesil Saldırı Platformuna Dönüştü
Google’ın raporunda, Kuzey Kore bağlantılı bazı grupların kamuya açık kripto para blok zincirlerini kullanarak zararlı kodları gizlediği belirtildi. “EtherHiding” olarak adlandırılan bu yöntem, geleneksel sunucu tabanlı zararlı yazılım barındırma sistemlerinin yerini almaya başladı. Araştırmacılar, bu yaklaşımı “kurşun geçirmez barındırma” yönteminin yeni bir biçimi olarak tanımladı.
BNB Akıllı Zinciri ve Ethereum platformlarında tespit edilen UNC5342 grubunun yürüttüğü EtherHiding saldırısı büyük bir endişe kaynağı oldu.
Geleneksel yöntemlerde siber saldırganlar, yasal denetimden uzak ülkelerdeki sunucular aracılığıyla kötü amaçlı içerikleri dağıtıyordu. Ancak EtherHiding tekniği, bu gerekliliği ortadan kaldırıyor. Ethereum ve BNB Smart Chain gibi ağlarda çalışan akıllı sözleşmeler, saldırganların zararlı kodları doğrudan blok zincir üzerine yerleştirmesine olanak tanıyor. Blok zincirlerin değiştirilemez yapısı sayesinde bu kodlar kalıcı hâle geliyor. Araştırmacılar, teknolojinin doğasında yer alan merkeziyetsiz yapının bu kez siber suçlular tarafından tersine çevrildiğini belirtti.
Zararlı Kodlar Akıllı Sözleşmelerde Gizleniyor
Saldırganlar, akıllı sözleşmelere yerleştirdikleri kodları çok düşük maliyetlerle yayıyor. Bir sözleşme oluşturmak ya da değiştirmek genellikle 2 doların altında bir işlem ücreti gerektiriyor. Bu yöntem hem ucuz hem de izlenmesi son derece zor bir yapı oluşturuyor.
Akıllı sözleşmelerde saklanan zararlı kodlar istenilen anda güncellenebiliyor. Üstelik blok zincir üzerinde işlem yapan kullanıcılar, bu kodlara erişirken iz bırakmıyor. Böylece saldırganlar hem kimliklerini gizliyor hem de merkezi denetimden tamamen kaçabiliyor.
Google, bu yöntemin sosyal mühendislik saldırılarıyla birleştiğinde daha tehlikeli bir hâl aldığını belirtti. Korsanlar, yazılım geliştiricilerine sahte iş teklifleri gönderiyor ve test görevi adı altında zararlı dosyalar iletiyor. Bu dosyalar, saldırının ilk aşamasını başlatan zararlı yazılımı yüklüyor.
Google, UNC5342 kod adlı grubun EtherHiding tekniğini aktif şekilde kullandığını açıkladı. Kuzey Kore hükûmetiyle bağlantılı bu grubun, “JadeSnow” adlı bir araçla zararlı kodları Ethereum ve BNB Smart Chain ağlarından indirdiği belirtildi.
Araştırmacılar, grubun zaman zaman ağ değiştirdiğini ve bu sayede hem analizlerin takibini zorlaştırdığını hem de işlem maliyetlerini azalttığını tespit etti. UNC5142 adlı başka bir grubun da aynı yöntemi finansal kazanç amaçlı olarak kullandığı açıklandı. Uzmanlara göre, bu durum blok zincir tabanlı kötü amaçlı yazılım barındırma yöntemlerinin hızla yaygınlaştığını gösteriyor.
Kuzey Kore’nin siber saldırı kapasitesi son yıllarda önemli ölçüde gelişti. Başlangıçta sadece küçük ölçekli hırsızlıklarla sınırlı olan bu faaliyetler, artık casusluk ve finansal saldırıları da kapsıyor. Blockchain analiz şirketi Elliptic’in verilerine göre, Kuzey Kore bağlantılı gruplar 2025’in başından bu yana 2 milyar dolardan fazla dijital varlık çaldı.
Google, blok zincirlerin kötüye kullanılmasının siber güvenlik dünyasında yeni bir dönemi başlattığını belirtiyor. Merkezi olmayan yapının güvenlik avantajı, kontrolsüz alanlarda suç örgütlerinin lehine dönebiliyor.
