Анализ методов атаки и способов отмывания денег хакерской группы Лазарус из Северной Кореи

Недавний секретный отчет ООН раскрыл, что одна группа хакеров в прошлом году украла средства из одной криптовалютной биржи и в марте этого года отмыла 147,5 миллиона долларов через одну виртуальную валютную платформу.

По сообщениям, инспекторы расследуют 97 подозрительных сетевых атак на компании по криптовалюте, произошедших с 2017 по 2024 год, на сумму около 3,6 миллиарда долларов. Включая инцидент в конце прошлого года, когда у одной криптовалютной биржи было украдено 147,5 миллиона долларов, которые затем были отмытены в марте этого года.

В 2022 году США ввели санкции против платформы смешивания криптовалют. В следующем году двое соучредителей этой платформы были обвинены в содействии Отмыванию денег на сумму более 1 миллиарда долларов, в том числе в связи с киберпреступными организациями, связанными с Северной Кореей.

Исследование криптовалютного аналитика показывает, что эта Хакерская организация с августа 2020 года по октябрь 2023 года отмыла криптовалюту на сумму 200 миллионов долларов в законную валюту.

Эта хакерская организация на протяжении долгого времени была обвинена в масштабных кибератаках и финансовых преступлениях. Их цели охватывают весь мир, от банковских систем до криптовалютных бирж, от государственных учреждений до частных компаний. В следующем анализе будут рассмотрены несколько типичных случаев атак, которые покажут, как эта хакерская организация осуществляет эти удивительные нападения с помощью сложных стратегий и технических средств.

Социальная инженерия и фишинг-атаки

Согласно сообщениям европейских СМИ, эта организация нацеливалась на военные и аэрокосмические компании в Европе и на Ближнем Востоке. Они размещали объявления о найме в социальных сетях, обманывая сотрудников, требуя от соискателей скачать PDF-файлы, содержащие исполняемые файлы, чтобы осуществить фишинг-атаки.

Этот метод атаки пытается использовать психологическую манипуляцию, чтобы заставить жертву расслабиться и выполнить такие действия, как клик по ссылке или скачивание файла, тем самым ставя под угрозу безопасность системы. Хакер нацеливается на уязвимости в системе жертвы с помощью вредоносного программного обеспечения и крадет конфиденциальную информацию.

В ходе шестимесячной операции против одного провайдера платежей в криптовалюте организация использовала аналогичные методы, что привело к краже 37 миллионов долларов у компании. Они отправляли инженерам поддельные вакансии, инициировали атаки типа "отказ в обслуживании" и пытались взломать пароли методом перебора.

Многочисленные атаки на криптовалютные биржи

С августа по октябрь 2020 года несколько криптовалютных бирж и проектов подверглись атакам:

• 24 августа в одном из канадских криптовалютных бирж кошелек был украден.
• 11 сентября проект столкнулся с утечкой приватного ключа, что привело к несанкционированному переводу 400 000 долларов с нескольких кошельков, контролируемых командой.
• 6 октября на одной из торговых платформ из-за уязвимости безопасности было перемещено 750000 долларов США криптоактивов.

Эти украденные средства были собраны на одном адресе в начале 2021 года, а затем многократно переведены и замаскированы через платформы для смешивания. К 2023 году злоумышленники отправили средства на некоторые конкретные адреса для вывода.

Основатель платформы взаимного страхования подвергся атаке Хакера

14 декабря 2020 года основатель одной из платформ взаимного страхования потерял 370000 платформенных токенов со своего личного счета, что эквивалентно примерно 8300000 долларов.

Хакер через несколько адресов переводит и обменивает украденные средства. Часть средств кросс-цепляется в сеть Биткойн, затем обратно в сеть Эфириум, после чего происходит смешивание на платформе для смешивания, и в конечном итоге отправляется на платформу для вывода.

С мая по июль 2021 года злоумышленники перевели 11 миллионов USDT на одну торговую платформу. С февраля по июнь 2023 года они снова отправили частями более 11 миллионов USDT на два разных адреса для вывода.

Недавние инциденты с атаками на DeFi проекты

В августе 2023 года два DeFi проекта подверглись атаке, в результате чего было украдено около 1500 ETH. Хакер перевел эти ETH на платформу смешивания, а затем вывел их на несколько промежуточных адресов.

12 октября 2023 года эти средства были сосредоточены на новом адресе. К ноябрю этот адрес начал переводить средства, в конечном итоге отправив их на определённый адрес вывода через промежуточные операции и обмен.

Резюме

Эта хакерская группа после кражи криптоактивов в основном использует кросс-цепочные операции и миксеры для сокрытия средств. После сокрытия они выводят украденные активы на целевой адрес и отправляют на фиксированный пул адресов для вывода. Украденные криптоактивы обычно хранятся на определенном адресе вывода, а затем обмениваются на фиатные деньги через услуги внебиржевой торговли.

Столкнувшись с такими постоянными и масштабными атаками, индустрия Web3 сталкивается с серьезными вызовами безопасности. Соответствующие учреждения продолжают следить за динамикой этой группы хакеров и способами отмывания денег, чтобы помочь проектам, а также регулирующим и правоохранительным органам в борьбе с такими преступлениями и в возврате украденных активов.