Bir Litvanya vatandaşı, yasal yazılım kılığına girmiş kötü amaçlı yazılım kullanılarak gerçekleştirilen bir kripto para hırsızlığı planıyla ilgili suçlamalarla yüzleşmek üzere Güney Kore’ye iade edildi. Güney Koreli yetkililer, şüphelinin Microsoft Windows’u lisanssız etkinleştirmek için yaygın olarak kullanılan KMSAuto aracının değiştirilmiş versiyonları aracılığıyla kötü amaçlı kod yaydığını söyledi.
Araştırmacılara göre, kötü amaçlı yazılım KMSAuto indirmelerine gömülü ve birkaç yıl içinde birçok ülkedeki bilgisayarlara yayıldı. Enfekte dosyalar çevrimiçi olarak paylaşıldı ve milyonlarca kez indirildi, böylece kötü amaçlı yazılım Güney Kore’deki kullanıcılar da dahil olmak üzere çok çeşitli mağdurlara ulaştı.
Kurulduktan sonra, zararlı yazılım enfekte sistemlerdeki pano aktivitesini izliyordu. Bir kullanıcı bir kripto para cüzdanı adresini kopyalayarak transfer yaptığında, kötü amaçlı yazılım bunu saldırganın kontrol ettiği bir cüzdan adresiyle değiştirir. Bu durum, fonların işlem sürecinde belirgin müdahale belirtisi olmadan saldırgana gönderilmesine neden oldu.
Güney Kore polisi, operasyonun binlerce cüzdan adresinin ele geçirilmesine ve yüzlerce ele geçirilen işlemin gerçekleştiğini açıkladı. Çalınan kripto paranın toplam değeri yaklaşık 1,7 milyar won olarak tahmin ediliyordu. Yetkililer, birkaç Güney Koreli mağdurun kayıplar bildirdiğini ve bunun ilk soruşturmanın başlangıç olduğunu belirtti.
Dava, 2020 yılında bir kripto para kullanıcısının fonlarının bilinmeyen bir cüzdana yönlendirildiğini bildirmesinin ardından başladı. Araştırmacılar işlemi takip etti ve pano değiştirme tekniğini tespit etti, sonunda bu etkinliği KMSAuto yazılımının kötü amaçlı sürümleriyle ilişkilendirdi.
Soruşturma sırasında birçok ülkedeki kolluk kuvvetleri iş birliği yaptı. Güney Kore yetkilileri uluslararası bir tutuklama talebi yayınladı ve şüpheli daha sonra ülkeye girmeye çalışırken Gürcistan’da gözaltına alındı. Litvanya polisi, şüphelinin evini aramaya yardım etti ve olayla bağlantılı olduğuna inanılan elektronik cihazlara el kondu.
Hukuki işlemlerin ardından, Gürcü yetkililer Güney Kore’ye iadeyi onayladı; burada şüpheli, siber suç ve sanal varlık hırsızlığı yasaları kapsamında yargılanıyor. Güney Kore polisi, davanın ulusal sınırları aşan suçlarla mücadelede uluslararası iş birliğinin önemini vurguladığını belirtti.
Yetkililer, olayın doğrulanmamış kaynaklardan resmi olmayan yazılımların indirilmesinin getirdiği riskleri gösterdiğini söyledi. Saldırgan, kötü amaçlı yazılımı yaygın kullanılan bir aktivasyon aracı olarak gizlemekte, kullanıcı güvenini sömürebiliyor ve sınırlı görünürlükle finansal işlemleri engelleyebiliyordu.
Güney Koreli araştırmacılar, kripto para kullanıcılarına transferleri tamamlamadan önce cüzdan adreslerini dikkatlice doğrulamalarını ve resmi olmayan dağıtım kanallarından yazılım yüklememelerini tavsiye etti. Dava, günlük kullanıcı davranışlarını hedef alan kötü amaçlı yazılımın, kripto para ağlarındaki güvenlik açıklarını sömürmeden finansal kayıplara yol açabileceğini vurguladı.