Кібератаки північнокорейської хакерської групи Lazarus Group та методи відмивання грошей

Конфіденційний звіт ООН розкриває, що минулого року біржа криптовалют зазнала атаки від Хакера Lazarus Group, в результаті чого було вкрадено 147.5 мільйона доларів. У березні цього року ці кошти були відмиті через певну віртуальну валютну платформу.

Спостерігачі Комітету з санкцій Ради Безпеки ООН розслідують 97 підозрілих кібератак північнокорейських Хакерів на компанії з криптовалют, що відбулися з 2017 по 2024 рік, на загальну суму до 3,6 мільярда доларів США. Серед них є випадок з крадіжкою в 147,5 мільйона доларів, що сталася в кінці минулого року в одній з криптовалютних бірж, ці кошти були відмиті в березні цього року.

У 2022 році США наклали санкції на певну платформу віртуальної валюти. Наступного року двоє співзасновників цієї платформи були звинувачені в допомозі у відмиванні понад 1 мільярда доларів, зокрема за участю таких кіберзлочинних організацій, як Lazarus Group.

Згідно з розслідуванням криптовалютного детектива, група Lazarus перетворила криптовалюту на законні гроші на суму 200 мільйонів доларів з серпня 2020 року по жовтень 2023 року.

Група Лазаря тривалий час підозрюється у проведенні масштабних кібератак і фінансових злочинів. Їхні цілі охоплюють всі куточки світу, включаючи банківські системи, криптовалютні біржі, державні установи та приватні підприємства. Далі буде проаналізовано кілька典型них випадків атак, які розкриють, як Група Лазаря реалізує ці вражаючі атаки завдяки своїм складним стратегіям і технічним засобам.

Соціальна інженерія та фішингові атаки групи Lazarus

Lazarus раніше націлювався на військові та аерокосмічні компанії в Європі та на Близькому Сході, публікуючи фальшиві вакансії в соціальних мережах для обману працівників. Вони вимагали, щоб кандидати завантажували PDF-файли з виконуваними файлами, що призводило до фішингових атак.

Ці атаки соціальної інженерії та фішингу намагаються використати психологічні маніпуляції, щоб змусити жертв знизити пильність і виконати дії, що загрожують безпеці, такі як натискання на посилання або завантаження файлів. Їхнє шкідливе програмне забезпечення може націлюватися на вразливості в системах жертв і викрадати чутливу інформацію.

Протягом шести місяців дій проти певного постачальника послуг криптовалютних платежів група Lazarus використовувала подібні методи, що призвело до викрадення 37 мільйонів доларів у цього постачальника. Вони надсилали інженерам фальшиві робочі пропозиції, здійснювали розподілені атаки відмови в обслуговуванні та намагалися провести брутфорс.

Багаторазові атаки на криптовалютні біржі

З серпня по жовтень 2020 року кілька криптовалютних бірж та проєктів зазнали атак, включаючи одну канадську біржу, гаманці, контрольовані командою певного проєкту, а також гарячий гаманець однієї біржі. Ці атаки призвели до викрадення криптоактивів на десятки тисяч та мільйони доларів.

На початку 2021 року вкрадені кошти були зосереджені на певній адресі, а потім за допомогою певної служби змішування пройшли процес маскування. Після цього кошти пройшли через численні трансакції та обміни, врешті-решт зібравшись на інших адресах для виведення коштів, пов'язаних з безпековими інцидентами. Зловмисник надіслав вкрадені кошти на депозитні адреси кількох криптовалютних бірж.

Засновник певної платформи взаємодопомоги зазнав атаки Хакера

У грудні 2020 року засновник однієї платформи взаємодопомоги зазнав атаки хакера, внаслідок якої було втрачено токени вартістю 8,3 мільйона доларів. Вкрадені кошти були переміщені між кількома адресами та обміняні на інші активи. Група Lazarus виконала маніпуляції з очищення, розподілу та збору коштів через ці адреси.

Частина коштів перераховується через кросчейн до мережі Біткойн, потім знову до мережі Ефір, після чого через платформу змішування відбувається замішування, а в кінці надсилається на платформу для виведення. У середині грудня 2020 року велика кількість ефіру була надіслана до певної служби змішування. Після цього кошти були переведені на певну адресу для операцій з виведення.

З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на адреси депозитів певної криптовалютної біржі. З лютого по червень 2023 року зловмисники через певну адресу переказали понад 11 мільйонів USDT на адреси депозитів кількох криптовалютних бірж.

Нещодавні атаки на DeFi проєкти

У серпні 2023 року два проекти DeFi зазнали атаки, внаслідок чого загальні збитки перевищили 1500 ефірів. Вкрадені кошти були потім переведені до певного сервісу змішування монет. У цьому ж місяці ці кошти були виведені на конкретну адресу.

У жовтні 2023 року ці кошти були зосереджені на одній адресі. У наступному місяці ця адреса почала переносити кошти, зрештою, через проміжні перекази та обмін, відправивши кошти на кілька депозитних адрес криптовалютних бірж.

Підсумок

Група Лазаря після викрадення криптоактивів в основному використовує крос-ланцюгові операції та сервіси змішування монет для замаскування джерела коштів. Після маскування вони виводять вкрадені активи на цільову адресу та надсилають їх на фіксовані адреси для операцій з виведення. Вкрадені криптоактиви зазвичай зберігаються на депозитних адресах конкретних криптовалютних бірж, а потім через послуги позабіржової торгівлі обмінюються на фіатні гроші.

Під безперервними та масштабними атаками групи Lazarus, індустрія Web3 стикається з серйозними викликами безпеки. Відповідні установи постійно стежать за цим Хакером, щоб відстежувати його динаміку та способи відмивання грошей, щоб допомогти проектам, регуляторам та правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.