Самая дерзкая банда по краже криптоактивов в истории? Подробный анализ методов отмывания денег хакерской организации Lazarus Group

Недавно внутренний отчет раскрыл крупное дело о краже криптоактивов. Сообщается, что одна группа хакеров похитила средства из одной биржи в прошлом году и в марте этого года отмыла 147,5 миллиона долларов через одну платформу виртуальных токенов.

Следователи сообщили Комитету по санкциям Совета Безопасности ООН, что они исследуют 97 кибератак на криптоактивы компании, произошедших в период с 2017 по 2024 годы, общая сумма которых составляет до 3,6 миллиарда долларов. В это число входит кража в размере 147,5 миллиона долларов, произошедшая в конце прошлого года в одной из криптообменных платформ, средства от которой были отмыты в марте этого года.

Стоит отметить, что правительство США ввело санкции против этой платформы криптовалют в 2022 году. В прошлом году двое соучредителей этой платформы были обвинены в содействии отмыванию денег на сумму более 1 миллиарда долларов, часть из которых была связана с одной из киберпреступных организаций.

Согласно исследованию одного из экспертов по Криптоактивам, эта группа Хакеров отмыла 200 миллионов долларов США в Криптоактивах в фиатную валюту в период с августа 2020 года по октябрь 2023 года.

В области кибербезопасности эта группа хакеров на протяжении долгого времени обвиняется в проведении масштабных кибератак и финансовых преступлений. Их цели не ограничиваются конкретными отраслями или регионами, а охватывают весь мир, от банковских систем до криптоактивов, от государственных учреждений до частных компаний. Далее мы проанализируем несколько типичных случаев атак, чтобы показать, как эта группа хакеров с помощью своих сложных стратегий и технологических средств успешно осуществила эти удивительные атаки.

Социальная инженерия и фишинговые атаки

Согласно сообщениям европейских СМИ, эта группа хакеров ранее нацеливалась на военные и аэрокосмические компании в Европе и на Ближнем Востоке, размещая рекламные объявления о найме на социальных платформах, чтобы обмануть сотрудников, требуя от соискателей загрузить PDF с исполняемыми файлами, а затем осуществляя фишинг-атаки.

Социальная инженерия и фишинг-атаки пытаются использовать психологическую манипуляцию, чтобы заставить жертв расслабиться и выполнить такие действия, как кликнуть по ссылке или скачать файл, что ставит под угрозу их безопасность.

Их вредоносное ПО позволяет злоумышленникам нацеливаться на уязвимости в системах жертв и красть конфиденциальную информацию.

В ходе шестимесячной операции против одного из провайдеров платежей в области криптоактивов эта хакерская группа использовала аналогичные методы, что привело к краже 37 миллионов долларов у компании. В течение всей операции они отправляли инженерам поддельные вакансии, инициировали атаки типа "отказ в обслуживании" и подавали множество возможных паролей для брутфорс-атак.

Многочисленные атаки на криптоактивы

С августа по октябрь 2020 года несколько криптоактивов бирж и проектов подверглись атакам. Среди них был украден кошелек одной канадской биржи, один блокчейн проект потерял 400 000 долларов из-за утечки приватных ключей, а другая биржа понесла убытки в размере 750 000 долларов в криптоактивах из-за уязвимости безопасности.

Эти атакующие события финансировались в начале 2021 года на одном и том же адресе. Затем злоумышленники с помощью многократных переводов и операций по смешиванию токенов рассеяли средства и в конечном итоге отправили их на некоторые конкретные адреса.

Основатель одной из платформ взаимного страхования стал жертвой хакера.

14 декабря 2020 года основатель одной из платформ взаимного страхования был robbed 370000 токенов платформы из своего личного аккаунта, что составляет примерно 8300000 долларов США. Злоумышленники провели операции по смешиванию, распределению и объединению средств через серию адресов для перевода и обмена. Часть средств была переведена через мост на сеть Биткойн, затем обратно на сеть Эфириум, после чего была смешана через платформу для смешивания, и, наконец, отправлена на платформу для вывода.

С мая по июль 2021 года хакеры перевели 11 миллионов USDT на одну торговую платформу. С февраля по июнь 2023 года хакеры снова отправили в общей сложности 11,17 миллионов USDT на разные платформы вывода через несколько адресов.

Последний анализ атак

В августе 2023 года произошли два новых инцидента атаки, в которых было украдено 624 ETH и 900 ETH соответственно. Эти украденные средства быстро были переведены на одну смешанную платформу. Затем средства были выведены на несколько определенных адресов и в октябре 2023 года сосредоточились на одном адресе. К ноябрю эти средства начали переводиться и в конечном итоге через промежуточные операции и обмен были отправлены на некоторые определенные адреса для вывода.

Сводка

Анализируя деятельность этой хакерской группы за последние несколько лет, можно подвести итог их основным методам отмывания денег: после кражи криптоактивов они обычно запутывают источники средств, многократно используя кросс-цепи и миксеры. После запутывания они выводят активы на целевой адрес и отправляют на фиксированные адреса для вывода средств. Украденные криптоактивы в конечном итоге будут храниться на некоторых определенных адресах для вывода, а затем через внебиржевые торговые услуги обмениваться на фиатную валюту.

Эта постоянная, масштабная атака хакерской группировки представляет собой огромную угрозу безопасности для индустрии Web3. Соответствующие учреждения продолжают следить за действиями этой группировки и будут дальше отслеживать их активность и схемы отмывания денег, чтобы помочь проектам, регуляторам и правоохранительным органам бороться с подобными преступлениями и вернуть украденные активы.