Сетевая атака и методы отмывания денег хакерской группы Северной Кореи Lazarus Group

В последнее время секретный отчет ООН раскрыл последние действия северокорейской хакерской группы Lazarus Group. Сообщается, что организация отмыла 147,5 миллиона долларов через одну из виртуальных валютных платформ в марте этого года, после того как в прошлом году украла средства из криптовалютной биржи.

Наблюдатель Комитета санкций Совета Безопасности ООН сообщил, что они проводят расследование 97 предполагаемых кибератак северокорейских Хакеров на криптовалютные компании, произошедших в период с 2017 по 2024 год, на сумму до 3,6 миллиарда долларов. Включая кражу в 147,5 миллиона долларов, произошедшую в конце прошлого года в одной из криптовалютных бирж, средства которой затем были отмыты в марте этого года.

Стоит отметить, что правительство США наложило санкции на эту виртуальную валютную платформу в 2022 году. В 2023 году двое соучредителей платформы были обвинены в содействии отмыванию денег на сумму более 1 миллиарда долларов, включая незаконные доходы от киберпреступной организации Lazarus Group, связанной с Северной Кореей.

Согласно исследованию экспертов по анализу криптовалют, группа Lazarus успешно конвертировала криптовалюту на сумму 200 миллионов долларов в фиатные деньги в период с августа 2020 года по октябрь 2023 года.

Группа Лазаря долгое время обвиняется в проведении масштабных кибератак и финансовых преступлений. Их цели охватывают весь мир, от банковских систем до криптовалютных бирж, от государственных учреждений до частных компаний, не оставляя без внимания никого. Далее мы сосредоточим внимание на нескольких типичных случаях атак, чтобы раскрыть, как Группа Лазаря успешно осуществляет эти удивительные атаки с помощью своих сложных стратегий и технических средств.

Социальная инженерия и фишинговые атаки группы Lazarus

Согласно сообщениям европейских СМИ, Lazarus нацеливался на военные и аэрокосмические компании Европы и Ближнего Востока. Они размещали ложные вакансии в социальных сетях, чтобы заманить соискателей скачать PDF-документы, содержащие вредоносные исполняемые файлы, тем самым осуществляя фишинг-атаки.

Этот социальный инжиниринг и фишинг пытаются использовать психологические манипуляции, чтобы заставить жертв расслабиться и совершить опасные действия, такие как нажатие на ссылки или загрузка файлов, что ставит под угрозу их безопасность. Хакеры, внедряя вредоносное ПО, могут атаковать уязвимости в системе жертвы и похищать чувствительную информацию.

Lazarus также использовал аналогичные методы в ходе шестимесячной операции против одного из поставщиков услуг криптовалютных платежей, что привело к краже 37 миллионов долларов у компании. В ходе всей атаки они отправляли инженерам ложные предложения о работе, инициировали распределенные атаки отказа в обслуживании и пытались использовать различные возможные пароли для брутфорса.

Анализ атак на CoinBerry, Unibright и другие

24 августа 2020 года кошелек одной из канадских криптовалютных бирж был подвергнут атаке. 11 сентября 2020 года из-за утечки приватного ключа произошло несанкционированное перечисление 400 тысяч долларов из нескольких кошельков, контролируемых командой Unbright. 6 октября 2020 года из-за уязвимости безопасности на одной из криптовалютных платформ из горячего кошелька было несанкционированно переведено криптоактивов на сумму 750 тысяч долларов.

В начале 2021 года средства от этих атак были собраны на одном адресе. Затем злоумышленники внесли большое количество ETH через определённый сервис смешивания и снова вывели его в короткие сроки. К 2023 году, после нескольких переводов и обменов, эти средства в конечном итоге были собраны на адреса других инцидентов безопасности и отправлены на некоторые конкретные адреса депозитов.

Основатель одной из платформ взаимопомощи подвергся атаке Хакера

14 декабря 2020 года основатель одной из платформ взаимопомощи потерял 370000 NXM (примерно 8300000 долларов США) из своего личного кошелька. Украденные средства были переведены между несколькими адресами и обменены на другие активы. Группа Lazarus осуществила операции по смешиванию, распределению и сбору средств через эти адреса. Часть средств была переведена через кросс-цепь в сеть биткойнов, а затем обратно в сеть эфириума, после чего они были смешаны на платформе для смешивания, и, наконец, отправлены на платформу для вывода средств.

В середине декабря 2020 года один из адресов Хакера отправил большое количество ETH в некую услугу по смешиванию монет. Через несколько часов другой связанный адрес начал операцию по выводу средств. Хакер, перемещая и обменивая, перевел часть средств на ранее упомянутый адрес для вывода.

С мая по июль 2021 года злоумышленники перевели 11 миллионов USDT на адрес депозита одной из торговых платформ. С февраля по июнь 2023 года злоумышленники снова отправили значительное количество USDT на адреса депозитов других торговых платформ через различные адреса.

Steadefi и CoinShift Хакерская атака

В августе 2023 года 624 украденных ETH из инцидента Steadefi и 900 украденных ETH из инцидента CoinShift были переведены на определенный сервис для смешивания монет. Затем эти средства были выведены на несколько конкретных адресов.

12 октября 2023 года средства, извлеченные из услуги смешивания, будут сосредоточены и отправлены на новый адрес. К ноябрю 2023 года этот адрес начнет переводить средства, которые в конечном итоге будут отправлены на определенные адреса депозитов через промежуточные операции и обмен.

Резюме

Группа Lazarus после кражи криптоактивов в основном использует кросс-цепочные операции и услуги по смешиванию монет для сокрытия источников средств. После сокрытия они выводят украденные активы на целевой адрес и отправляют на фиксированные адреса для вывода. Украденные криптоактивы обычно хранятся на определенных депозитных адресах, а затем обмениваются на фиатные деньги через услуги внебиржевой торговли.

С учетом постоянных и масштабных атак группы Lazarus, индустрия Web3 сталкивается с серьезными проблемами безопасности. Соответствующие учреждения продолжают следить за динамикой этой хакерской группы и глубоко отслеживают их методы отмывания денег, чтобы помочь проектам, регулирующим органам и правоохранительным органам бороться с такими преступлениями и вернуть украденные активы.