Аналіз методів атаки та відмивання грошей північнокорейської хакерської групи Lazarus Group

Нещодавно одна з секретних доповідей ООН виявила, що певна група хакерів минулого року вкрала кошти з криптовалютної біржі, а в березні цього року відмила 147,5 мільйонів доларів через одну з віртуальних валютних платформ.

Згідно з інформацією, інспектори проводять розслідування 97 підозрілих кібератак на компанії, що займаються криптовалютами, які відбулися з 2017 по 2024 рік, загальна сума яких становить близько 3,6 мільярда доларів. Серед них - випадок викрадення 147,5 мільйона доларів з однієї криптовалютної біржі наприкінці минулого року, ці кошти потім пройшли процес відмивання грошей у березні цього року.

У 2022 році Сполучені Штати наклали санкції на платформу для змішування монет. Наступного року двоє співзасновників цієї платформи були звинувачені у сприянні відмиванню грошей на суму понад 1 мільярд доларів, що пов'язано з кіберзлочинними угрупуваннями з КНДР.

Дослідження аналітика криптовалют показало, що ця хакерська організація в період з серпня 2020 року по жовтень 2023 року відмила 200 мільйонів доларів США в криптовалюті в законні гроші.

Ця хакерська організація протягом тривалого часу звинувачується у проведенні масованих кібернетичних атак і фінансових злочинів. Їхні цілі розкидані по всьому світу, від банківських систем до криптовалютних бірж, від державних установ до приватних підприємств. У наступному буде проаналізовано кілька типових випадків атак, які розкриють, як ця хакерська організація реалізує ці вражаючі атаки за допомогою складних стратегій та технологічних засобів.

Соціальна інженерія та фішингові атаки

Згідно з європейськими ЗМІ, ця організація намагалася націлитися на військові та аерокосмічні компанії в Європі та на Близькому Сході. Вони публікували оголошення про роботу на соціальних платформах, обманюючи працівників, і вимагали від кандидатів завантажити PDF-файли, що містять виконувані файли, щоб здійснити фішинг-атаки.

Цей тип атаки намагається використати психологічну маніпуляцію, щоб спокусити жертву знизити пильність і виконати такі дії, як натискання на посилання або завантаження файлів, що ставить під загрозу безпеку системи. Хакер націлюється на вразливості в системі жертви за допомогою шкідливого програмного забезпечення та краде чутливу інформацію.

Протягом шестимісячної кампанії проти певного постачальника послуг оплати криптовалютою організація використовувала подібні методи, що призвело до крадіжки 37 мільйонів доларів. Вони надсилали інженерам фальшиві пропозиції роботи, здійснювали атаки типу «відмова в обслуговуванні» та намагалися зламати паролі методом перебору.

Багато випадків атак на криптовалютні біржі

З серпня по жовтень 2020 року кілька криптовалютних бірж та проектів зазнали атаки:

• 24 серпня у одного з канадських криптовалютних бірж було вкрадено гаманець.
• 11 вересня, один проект внаслідок витоку приватного ключа призвів до несанкціонованого переказу 400 тисяч доларів з кількох гаманців, контрольованих командою.
• 6 жовтня, через вразливість безпеки, з гарячого гаманця певної торгової платформи було переведено 750 000 доларів США криптоактивів.

Ці вкрадені кошти в середині 2021 року були зібрані на одній адресі, після чого через платформи для змішування були проведені численні перекази та маскування. До 2023 року зловмисники відправили кошти на певні адреси для виведення.

Засновник платформи взаємодопомоги зазнав атаки Хакера

14 грудня 2020 року у засновника певної платформи взаємодопомоги було вкрадено 370 000 токенів платформи з особистого рахунку, вартість яких становила близько 8,3 мільйона доларів.

Хакер через кілька адрес переміщує та обмінює викрадені кошти. Частина коштів крос-лінк до біткойн-мережі, потім повертається назад до мережі ефір, після чого проходить через платформу змішування для змішування, і зрештою надсилається на платформу виведення.

З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на певну торгову платформу. З лютого по червень 2023 року вони знову частинами відправили понад 11 мільйонів USDT на дві різні адреси для виведення.

Нещодавні атаки на DeFi проєкти

У серпні 2023 року два DeFi проекти зазнали атаки, внаслідок чого було вкрадено близько 1500 ETH. Хакер переніс ці ETH на платформу для змішування монет, а потім вивів на кілька проміжних адрес.

12 жовтня 2023 року ці кошти були зосереджені на новій адресі. До листопада ця адреса почала переводити кошти, зрештою через транзит та обмін, надіславши кошти на певну адресу для виведення.

Підсумок

Ця хакерська організація, після викрадення криптоактивів, в основному використовує крос-ланцюгові операції та сервіси змішування для відмивання грошей. Після відмивання вони витягують вкрадені активи на цільову адресу та надсилають їх на фіксовані адреси для операцій з виведення. Вкрадені криптоактиви зазвичай зберігаються на спеціальних адресах для виведення, а потім обмінюються на фіат через позабіржові торгові послуги.

Стикаючись із такими тривалими та масовими атаками, індустрія Web3 стикається з серйозними викликами в сфері безпеки. Відповідні установи продовжують стежити за динамікою цього хакерського угруповання та способами відмивання грошей, щоб допомогти проектам, регуляторам та правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.