Анализ деятельности по краже и отмыванию денег криптоактивов группы хакеров Lazarus Group

Недавний секретный отчет ООН раскрывает, что северокорейская хакерская группа Lazarus Group в прошлом году украла средства из одной криптоактивы биржи, а в марте этого года отмыла 147.5 миллиона долларов через одну виртуальную валютную платформу.

Наблюдатели Комитета Совета Безопасности ООН по санкциям расследуют 97 подозрительных кибератак северокорейских Хакеров на компании Криптоактивов, произошедших в период с 2017 по 2024 год, в результате чего был похищен около 3,6 миллиарда долларов США. В их числе атака на одну из криптовалютных бирж в конце прошлого года, которая привела к убыткам в 147,5 миллиона долларов и завершилась Отмыванием денег в марте этого года.

Некоторые правительства в 2022 году наложили санкции на эту виртуальную криптоактивы платформу. В 2023 году двое ее соучредителей были обвинены в содействии отмыванию денег на сумму более 1 миллиарда долларов, часть средств была связана с преступными организациями в Северной Корее.

Согласно исследованию экспертов по анализу криптоактивов, группа Lazarus отмыла 200 миллионов долларов США в криптоактивах в фиатные деньги с августа 2020 года по октябрь 2023 года.

Группа Lazarus на протяжении долгого времени обвиняется в осуществлении масштабных кибератак и финансовых преступлений, которые нацелены на различные отрасли по всему миру. В следующем разделе будут проанализированы несколько типичных случаев, чтобы раскрыть, как эта организация проводит атаки с использованием сложных стратегий и технических методов.

Социальная инженерия и фишинг-атаки группы Lazarus

Согласно сообщениям европейских СМИ, Lazarus ранее нацеливался на военные и аэрокосмические компании в Европе и на Ближнем Востоке. Они размещали ложные объявления о вакансиях в социальных сетях, чтобы заманить соискателей загрузить PDF-файлы с вредоносным ПО, тем самым осуществляя фишинг-атаки.

Эти социальные инженерные и фишинговые атаки используют психологические манипуляции, чтобы обмануть жертв и заставить их снизить бдительность, выполняя опасные действия, такие как нажатие на ссылки или загрузка файлов. Их вредоносное ПО может использовать уязвимости в пострадавших системах для кражи конфиденциальной информации.

Lazarus использовал аналогичные методы в ходе шестимесячной операции против одного из поставщиков платежей в криптоактивах, что привело к кражи 37 миллионов долларов у компании. В течение всего процесса они отправляли инженерам поддельные вакансии, инициировали распределенные атаки отказа в обслуживании и пытались взломать пароли методом перебора.

Множество атак на криптоактивы

С августа по октябрь 2020 года несколько криптоактивов бирж подверглись атакам:

• 24 августа похищен кошелек одной из бирж в Канаде.
• 11 сентября, один из проектов пострадал от утечки приватного ключа, и команда потеряла 400000 долларов из-за несанкционированного перевода.
• 6 октября, из-за уязвимости безопасности, из горячего кошелька одной из бирж было переведено 750000 долларов США Криптоактивов.

Эти украденные средства были собраны в начале 2021 года на одном и том же адресе, а затем отмыты через сервис смешивания. Атакующие несколько раз обменивали токены, в конечном итоге отправив средства на определённый адрес для депозита.

Известный основатель проекта стал жертвой атаки хакера

14 декабря 2020 года основатель одного из проектов взаимного страхования потерял 370000 токенов (стоимостью 8,3 миллиона долларов) из своего личного кошелька. Украденные средства были переведены между несколькими адресами и обменены на другие активы. Злоумышленник использовал кросс-цепочные операции, платформы для смешивания и многократные переводы для запутывания источника средств.

С мая по июль 2021 года злоумышленники перевели 11 миллионов USDT на одну торговую платформу. С февраля по июнь 2023 года они снова отправили в общей сложности 11,17 миллионов USDT частями на два разных адреса для депозитов.

Анализ недавних атак

В августе 2023 года в результате двух различных атак было переведено в общей сложности 1524 ETH на один сервис обмена токенов. Затем средства были выведены на несколько промежуточных адресов, а в ноябре они были отправлены на определенный депозитный адрес после обмена.

Резюме

Основные методы отмывания денег группы Lazarus включают:

1. Кросс-цепной перевод
2. Использование сервиса смешивания токенов
3. Многоразовые транзиты и обмены
4. В конечном итоге средства будут собраны на фиксированный адрес для вывода.

Эти непрерывные и массовые атаки представляют собой серьезную угрозу безопасности для отрасли Web3. Соответствующие органы продолжают отслеживать динамику этой хакерской группы и методы отмывания денег, чтобы помочь в борьбе с подобными преступлениями и вернуть украденные активы.