Аналіз крадіжки та відмивання грошей криптоактивів хакерською організацією Lazarus Group

Нещодавно в одному з секретних звітів ООН було вказано, що північнокорейська хакерська група Lazarus Group минулого року вкрала кошти з однієї криптообмінної платформи, а в березні цього року відмила 147,5 мільйона доларів через одну з віртуальних валютних платформ.

Спостерігачі Комітету санкцій Ради Безпеки ООН розслідують 97 підозрюваних кібернападів північнокорейських Хакерів на компанії, що займаються Криптоактивами, які сталися в період з 2017 по 2024 рік, на загальну суму близько 3,6 мільярда доларів. Серед них – атака на певну криптовалютну біржу наприкінці минулого року, що призвела до збитків у 147,5 мільйона доларів, яка була завершена в березні цього року Відмивання грошей.

Уряд певної країни наклав санкції на цю платформу віртуальних монет у 2022 році. У 2023 році двох співзасновників цієї платформи звинуватили в допомозі у відмиванні грошей на суму понад 1 мільярд доларів, частина коштів була пов'язана з кримінальними організаціями в Північній Кореї.

Згідно з дослідженням експертів з аналізу криптоактивів, група Lazarus у період з серпня 2020 року по жовтень 2023 року відмила 200 мільйонів доларів США у вигляді криптоактивів у звичайну валюту.

Групу Lazarus протягом тривалого часу звинувачують у проведенні масових кібератак та фінансових злочинів, їхніми цілями є різні галузі по всьому світу. Нижче буде проаналізовано кілька типових випадків, які розкриють, як організація реалізує атаки за допомогою складних стратегій та технологічних засобів.

Соціальна інженерія та фішингові атаки групи Lazarus

За повідомленням європейських ЗМІ, Lazarus раніше націлився на військові та аерокосмічні компанії в Європі та на Близькому Сході. Вони публікували фальшиві вакансії на соціальних платформах, щоб спокусити шукачів роботи завантажити PDF-файли, що містять шкідливе програмне забезпечення, для реалізації фішингових атак.

Ці соціальні інженерії та фішингові атаки використовують психологічну маніпуляцію, щоб спонукати жертв знизити пильність, виконуючи небезпечні дії, такі як натискання на посилання або завантаження файлів. Їхнє шкідливе програмне забезпечення може використовувати вразливості в скомпрометованій системі для крадіжки чутливої інформації.

Lazarus використовував подібні методи під час шестимісячної операції проти певного постачальника послуг криптоактивів, що призвело до викрадення 37 мільйонів доларів США. Протягом усього процесу вони надсилали інженерам фальшиві вакансії, ініціювали атаки типу "відмова в обслуговуванні" та намагалися зламати паролі за допомогою брутфорсу.

Багаторазові атаки на криптоактиви

З серпня по жовтень 2020 року кілька криптоактивів бірж зазнали атак:

• 24 серпня на канадській біржі було вкрадено гаманець.
• 11 вересня, якийсь проект зазнав несанкціонованого переказу в 400 тисяч доларів через витік приватного ключа команди.
• 6 жовтня на одному з біржових гарячих гаманців було переміщено 750 000 доларів США криптоактивів через вразливість безпеки.

Ці вкрадені кошти були зібрані на одну адресу на початку 2021 року, а потім відмивалися через певний сервіс змішування. Зловмисники після кількох обмінів врешті-решт надіслали кошти на певну адресу депозиту.

Відомі проекти засновники зазнали атаки хакерів

14 грудня 2020 року, засновник певного проекту взаємодопомоги втратив 370000 монет (вартістю 8300000 доларів США) зі свого особистого гаманця. Вкрадені кошти були перетворені на інші активи та переміщені між кількома адресами. Зловмисник використав кросчейн-операції, платформи для змішування монет та багаторазові перекази, щоб заплутати джерело фінансування.

З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на одну з торгових платформ. З лютого по червень 2023 року вони знову поетапно надіслали ще 11 мільйонів USDT на дві різні адреси депозитів.

Аналіз недавніх атак

У серпні 2023 року внаслідок двох різних атак було переведено 1524 ETH на певний сервіс змішування монет. Після цього кошти були переведені на кілька проміжних адрес, а в листопаді, обмінявши їх, надіслані на певну депозитну адресу.

Підсумок

Основні методи відмивання грошей групи Lazarus включають:

1. Крос-чейн трансфер
2. Використання сервісу змішування монет
3. Багаторазові трансфери та обміни
4. В кінцевому підсумку кошти будуть зібрані на фіксовану адресу групи для виведення.

Ці безперервні, масові атаки становлять серйозну загрозу безпеці індустрії Web3. Відповідні органи постійно відслідковують динаміку цього хакерського угрупування та способи відмивання грошей, щоб допомогти в боротьбі з такими злочинами та повернути вкрадені активи.