Найбільш безсоромна група крадіїв криптоактивів в історії? Докладний аналіз способів відмивання грошей хакерської організації Lazarus Group

Нещодавно спільний внутрішній звіт виявив значну крадіжку криптоактивів. Відомо, що певна група хакерів минулого року вкрала кошти з однієї біржі, а в березні цього року через певну платформу для віртуальних монет відмило 147,5 мільйона доларів.

Дослідники повідомили Комітету з санкцій Ради Безпеки ООН, що вони розслідують 97 кібернападів на криптоактиви компанії, що сталися в період з 2017 по 2024 роки, з сумарними збитками до 3,6 мільярда доларів. Серед них є випадок викрадення 147,5 мільйона доларів з певної криптовалютної біржі наприкінці минулого року, ці кошти були відмивають у березні цього року.

Варто зазначити, що уряд США у 2022 році наклав санкції на цю платформу криптоактивів. Минулого року двох співзасновників цієї платформи звинуватили в допомозі у відмиванні грошей на суму понад 1 мільярд доларів, частина з яких пов'язана з певною кіберзлочинною організацією.

Згідно з дослідженням одного з експертів з аналізу криптоактивів, цей хакерський угруповання відмила 200 мільйонів доларів у криптоактивах за період з серпня 2020 року по жовтень 2023 року.

У сфері кібербезпеки ця хакерська група протягом тривалого часу звинувачується у проведенні масштабних кібератак та фінансових злочинів. Їхні цілі не обмежуються лише певними галузями чи регіонами, а охоплюють увесь світ, від банківських систем до криптоактивів, від державних установ до приватних підприємств. Далі ми проаналізуємо кілька типових випадків атак, розкриваючи, як ця хакерська група завдяки своїм складним стратегіям та технічним засобам успішно реалізувала ці вражаючі атаки.

Соціальна інженерія та фішинг-атаки

Згідно з інформацією європейських ЗМІ, цей хакерський угруповання раніше націлювалося на військові та аерокосмічні компанії Європи та Близького Сходу, публікуючи оголошення про набір на соціальних платформах для обману співробітників, вимагаючи від кандидатів завантажити PDF з виконуваними файлами, а потім здійснювати фішингові атаки.

Соціальна інженерія та фішинг-атаки намагаються використовувати психологічні маніпуляції, щоб спонукати жертв знизити пильність та виконати дії, такі як натискання на посилання або завантаження файлів, що ставить під загрозу їхню безпеку.

Їхнє шкідливе ПЗ дозволяє зловмисникам націлюватися на вразливості в системах жертв і викрадати чутливу інформацію.

У шести місяцях дій проти певного постачальника послуг оплати криптоактивів ця хакерська група використовувала схожі методи, що призвело до крадіжки 37 мільйонів доларів у компанії. Протягом усієї активності вони надсилали інженерам фальшиві вакансії, здійснювали технічні атаки, такі як розподілена відмова в обслуговуванні, а також подавали багато можливих паролів для брутфорс-атаки.

Багато криптоактивів бірж зазнали атаки

У період з серпня по жовтень 2020 року декілька криптоактивів бірж та проектів зазнали атак. Серед них є вкрадення гаманця однієї канадської біржі, проект блокчейн зазнав 40 000 доларів США несанкціонованих переказів через витік приватного ключа, а також інша біржа втратила 750 000 доларів США криптоактивів через вразливість безпеки.

Ці атаки зібрали фінансування на одну й ту ж адресу на початку 2021 року. Потім зловмисники через багаторазові перекази та змішування монет розподілили кошти і врешті-решт відправили їх на деякі конкретні адреси.

Засновник певної платформи взаємодопомоги зазнав атаки хакера

14 грудня 2020 року, особистий рахунок засновника одного з платформ взаємодопомоги був вкрадений на 370 000 монет платформи, що становить приблизно 8,3 мільйона доларів США. Атакуючі здійснили операції з обміну та переведення коштів через низку адрес, здійснюючи обфускацію, розподіл і консолідацію. Частина коштів була переведена через крос-ланцюг у мережу біткоїн, а потім назад у мережу ефіріум, після чого через платформи змішування коштів була проведена обфускація, а в кінці надіслана на платформу для виведення.

З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на одну з торгових платформ. З лютого по червень 2023 року зловмисники знову через кілька адрес відправили в загальному 11 мільйонів USDT на різні платформи для виведення.

Останній аналіз атаки

У серпні 2023 року відбулося два нові інциденти атаки, які стосувалися 624 монет ETH та 900 монет ETH. Ці викрадені кошти незабаром були переведені на певну платформу для змішування монет. Після цього кошти були виведені на кілька конкретних адрес і в жовтні 2023 року зосередилися на одній адресі. У листопаді ці кошти почали переміщуватися, врешті-решт через проміжні транзакції та обмін, були надіслані на певні адреси для виведення.

Резюме

Аналізуючи діяльність цього хакерського угрупування за останні кілька років, можна зробити висновок про їхні основні способи відмивання грошей: після викрадення криптоактивів вони зазвичай використовують багаторазові міжланцюгові операції та змішувачі для замаскування джерела коштів. Після маскування вони виводять активи на цільову адресу та відправляють на певні фіксовані адреси для операцій з виведення. Викрадені криптоактиви в кінцевому підсумку зберігаються на певних специфічних адресах для виведення, а потім обмінюються на фіатні гроші через позабіржові торгові послуги.

Цей хакерський загін триваючими, масовими атаками створює величезні проблеми безпеки для індустрії Web3. Відповідні органи продовжують стежити за рухами цього загону та будуть далі відстежувати їхню діяльність і способи відмивання грошей, щоб допомогти проектам, регуляторам та правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.