Аналіз атак Криптоактивів та методів Відмивання грошей хакерської організації Північної Кореї Lazarus Group
Одна з таємних доповідей ООН виявила, що північнокорейська група хакерів Lazarus Group вкрала кошти з однієї криптоактиви біржі минулого року, а в березні цього року відмила 147,5 мільйона доларів через одну віртуальну валютну платформу.
Спостерігачі Комітету санкцій Ради Безпеки ООН розслідують 97 підозрілих кібератак північнокорейських хакерів на криптоактиви компаній, що сталися в період з 2017 по 2024 рік, з залученням сум приблизно 3,6 мільярда доларів. Серед них - крадіжка в 147,5 мільйона доларів, яка сталася в кінці минулого року в одній з криптовалютних бірж, ці кошти пізніше пройшли процес відмивання грошей у березні цього року.
У 2022 році США наклали санкції на цю платформу криптоактивів. Наступного року двох співзасновників платформи звинуватили в допомозі у відмиванні грошей на суму понад 1 мільярд доларів, що пов'язано з кіберзлочинним угрупуванням Lazarus Group, що має стосунок до Північної Кореї.
Дослідження експерта з розслідування Криптоактивів показало, що група Lazarus з серпня 2020 року по жовтень 2023 року конвертувала Криптоактиви на суму 200 мільйонів доларів у законні гроші.
Групу Лазаря давно звинувачують у масових кібернападах та фінансових злочинах. Їхніми цілями є широкий спектр, включаючи банківські системи, криптоактиви, урядові установи та приватні підприємства. Далі буде проаналізовано кілька типових випадків атак, щоб виявити, як Група Лазаря реалізує ці атаки за допомогою складних стратегій та технічних засобів.
Соціальна інженерія та фішингові атаки групи Lazarus
Згідно з європейськими ЗМІ, Lazarus неодноразово намагався атакувати військові та аерокосмічні компанії Європи та Близького Сходу. Вони публікували фальшиві вакансії на соціальних платформах, спокушаючи співробітників завантажити PDF-файли, що містять шкідливі виконувані файли, таким чином здійснюючи фішинг-атаки.
Цей тип атаки намагається використовувати психологічні маніпуляції, щоб змусити жертву втратити пильність і виконати небезпечні дії, такі як натискання на посилання або завантаження файлів. Їхнє шкідливе програмне забезпечення здатне націлюватися на вразливості в системі жертви і викрадати чутливу інформацію.
Протягом шести місяців атаки на певного постачальника послуг оплати за криптоактивами група Lazarus використовувала схожі методи, що призвело до викрадення 37 мільйонів доларів у компанії. Протягом всього процесу вони надсилали інженерам фальшиві пропозиції роботи, здійснювали атаки типу "відмова в обслуговуванні" та намагалися зламати паролі, використовуючи різноманітні можливі комбінації.
Багато випадків атак на криптоактиви
Протягом серпня-жовтня 2020 року кілька криптоактивів бірж та проєктів зазнали атак:
24 серпня 2020 року був вкрадений гаманець одного з канадських криптоактивів.
11 вересня 2020 року, один проект зазнав витоку приватного ключа, що призвело до несанкціонованого переказу 400 тисяч доларів з кількох гаманців, контрольованих командою.
6 жовтня 2020 року гарячий гаманець однієї з торгових платформ через вразливість безпеки несанкціоновано перевів криптоактиви на суму 750 000 доларів.
Ці атакуючі кошти зібралися на одну адресу на початку 2021 року. Потім зловмисники внесли велику кількість ETH через певний сервіс для змішування монет і протягом кількох днів поступово їх виводили. До 2023 року ці кошти після численних переказів та обмінів врешті-решт зібралися на інших адресах для виведення коштів, пов'язаних з безпековими інцидентами.
Засновник певного страхової програми став жертвою хакера
14 грудня 2020 року засновник одного страхового проекту зазнав атаки хакера, в результаті якої було втрачено 370 тисяч NXM (приблизно 8,3 мільйона доларів). Зловмисник через кілька адрес перевів і обміняв вкрадені кошти, провівши операції з відмивання грошей, розподілу та збору. Частина коштів була переведена через міжланцюговий обмін у біткойн-мережу, потім знову у мережу Ефір, після чого через платформу для змішування монет була замаскована, а зрештою надіслана на платформу для виведення.
З 16 по 20 грудня 2020 року, адреса хакера відправила понад 2500ETH до певної служби змішування монет. Через кілька годин інша пов'язана адреса почала операції з виведення.
З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на адресу депозиту певної торгової платформи. З лютого по червень 2023 року зловмисники знову переказали понад 11 мільйонів USDT на два різні адреси депозиту двох різних торгових платформ через різні адреси.
Останні випадки атак
У серпні 2023 року сталося два нові випадки атак, пов'язані з викраденням 624 монет ETH та 900 монет ETH. Викрадені кошти були переведені до певної служби змішування монет. Потім кошти були виведені на кілька нових адрес, а 12 жовтня 2023 року зосередилися на єдиній адресі.
У листопаді 2023 року ця єдина адреса почала переміщати кошти, які в кінцевому підсумку через проміжні етапи та обмін були надіслані на депозитні адреси двох основних торгових платформ.
Підсумок
Модель відмивання грошей групи Lazarus має певну закономірність: після викрадення криптоактивів вони в основному використовують повторні крос-ланцюгові операції та послуги змішування монет для затуманювання джерела фінансування. Після затуманювання активи виводяться на цільову адресу та надсилаються до певних груп адрес для проведення операцій з виведення. Вкрадені криптоактиви зазвичай зберігаються на депозитних адресах певних торгових платформ, а потім обмінюються на фіатні гроші через послуги позабіржової торгівлі.
Стикнувшись з тривалими та масовими атаками групи Lazarus, індустрія Web3 стикається з серйозними викликами безпеки. Відповідні установи продовжують слідкувати за динамікою цієї хакерської групи та здійснюють подальший моніторинг її способів відмивання грошей, щоб допомогти учасникам проектів, регуляторним органам та правоохоронним відомствам боротися з такими злочинами та повернути вкрадені активи.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 лайків
Нагородити
12
6
Поділіться
Прокоментувати
0/400
SelfStaking
· 07-02 10:51
Тепер хто ще наважиться ставити на удачу?
Переглянути оригіналвідповісти на0
GasGuzzler
· 07-02 10:49
А це... північнокорейці справді професіонали.
Переглянути оригіналвідповісти на0
MetamaskMechanic
· 07-02 10:47
Одразу видно, що це про операцію.
Переглянути оригіналвідповісти на0
RooftopReserver
· 07-02 10:45
36 мільярдів, забери мене з собою
Переглянути оригіналвідповісти на0
SelfRugger
· 07-02 10:38
Справді, це вже дійшло до того, що кличуть батька.
Північнокорейська хакерська організація Lazarus Group вкрала 3,6 мільярда доларів, розкрито методи відмивання грошей
Аналіз атак Криптоактивів та методів Відмивання грошей хакерської організації Північної Кореї Lazarus Group
Одна з таємних доповідей ООН виявила, що північнокорейська група хакерів Lazarus Group вкрала кошти з однієї криптоактиви біржі минулого року, а в березні цього року відмила 147,5 мільйона доларів через одну віртуальну валютну платформу.
Спостерігачі Комітету санкцій Ради Безпеки ООН розслідують 97 підозрілих кібератак північнокорейських хакерів на криптоактиви компаній, що сталися в період з 2017 по 2024 рік, з залученням сум приблизно 3,6 мільярда доларів. Серед них - крадіжка в 147,5 мільйона доларів, яка сталася в кінці минулого року в одній з криптовалютних бірж, ці кошти пізніше пройшли процес відмивання грошей у березні цього року.
У 2022 році США наклали санкції на цю платформу криптоактивів. Наступного року двох співзасновників платформи звинуватили в допомозі у відмиванні грошей на суму понад 1 мільярд доларів, що пов'язано з кіберзлочинним угрупуванням Lazarus Group, що має стосунок до Північної Кореї.
Дослідження експерта з розслідування Криптоактивів показало, що група Lazarus з серпня 2020 року по жовтень 2023 року конвертувала Криптоактиви на суму 200 мільйонів доларів у законні гроші.
Групу Лазаря давно звинувачують у масових кібернападах та фінансових злочинах. Їхніми цілями є широкий спектр, включаючи банківські системи, криптоактиви, урядові установи та приватні підприємства. Далі буде проаналізовано кілька типових випадків атак, щоб виявити, як Група Лазаря реалізує ці атаки за допомогою складних стратегій та технічних засобів.
Соціальна інженерія та фішингові атаки групи Lazarus
Згідно з європейськими ЗМІ, Lazarus неодноразово намагався атакувати військові та аерокосмічні компанії Європи та Близького Сходу. Вони публікували фальшиві вакансії на соціальних платформах, спокушаючи співробітників завантажити PDF-файли, що містять шкідливі виконувані файли, таким чином здійснюючи фішинг-атаки.
Цей тип атаки намагається використовувати психологічні маніпуляції, щоб змусити жертву втратити пильність і виконати небезпечні дії, такі як натискання на посилання або завантаження файлів. Їхнє шкідливе програмне забезпечення здатне націлюватися на вразливості в системі жертви і викрадати чутливу інформацію.
Протягом шести місяців атаки на певного постачальника послуг оплати за криптоактивами група Lazarus використовувала схожі методи, що призвело до викрадення 37 мільйонів доларів у компанії. Протягом всього процесу вони надсилали інженерам фальшиві пропозиції роботи, здійснювали атаки типу "відмова в обслуговуванні" та намагалися зламати паролі, використовуючи різноманітні можливі комбінації.
Багато випадків атак на криптоактиви
Протягом серпня-жовтня 2020 року кілька криптоактивів бірж та проєктів зазнали атак:
Ці атакуючі кошти зібралися на одну адресу на початку 2021 року. Потім зловмисники внесли велику кількість ETH через певний сервіс для змішування монет і протягом кількох днів поступово їх виводили. До 2023 року ці кошти після численних переказів та обмінів врешті-решт зібралися на інших адресах для виведення коштів, пов'язаних з безпековими інцидентами.
Засновник певного страхової програми став жертвою хакера
14 грудня 2020 року засновник одного страхового проекту зазнав атаки хакера, в результаті якої було втрачено 370 тисяч NXM (приблизно 8,3 мільйона доларів). Зловмисник через кілька адрес перевів і обміняв вкрадені кошти, провівши операції з відмивання грошей, розподілу та збору. Частина коштів була переведена через міжланцюговий обмін у біткойн-мережу, потім знову у мережу Ефір, після чого через платформу для змішування монет була замаскована, а зрештою надіслана на платформу для виведення.
З 16 по 20 грудня 2020 року, адреса хакера відправила понад 2500ETH до певної служби змішування монет. Через кілька годин інша пов'язана адреса почала операції з виведення.
З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на адресу депозиту певної торгової платформи. З лютого по червень 2023 року зловмисники знову переказали понад 11 мільйонів USDT на два різні адреси депозиту двох різних торгових платформ через різні адреси.
Останні випадки атак
У серпні 2023 року сталося два нові випадки атак, пов'язані з викраденням 624 монет ETH та 900 монет ETH. Викрадені кошти були переведені до певної служби змішування монет. Потім кошти були виведені на кілька нових адрес, а 12 жовтня 2023 року зосередилися на єдиній адресі.
У листопаді 2023 року ця єдина адреса почала переміщати кошти, які в кінцевому підсумку через проміжні етапи та обмін були надіслані на депозитні адреси двох основних торгових платформ.
Підсумок
Модель відмивання грошей групи Lazarus має певну закономірність: після викрадення криптоактивів вони в основному використовують повторні крос-ланцюгові операції та послуги змішування монет для затуманювання джерела фінансування. Після затуманювання активи виводяться на цільову адресу та надсилаються до певних груп адрес для проведення операцій з виведення. Вкрадені криптоактиви зазвичай зберігаються на депозитних адресах певних торгових платформ, а потім обмінюються на фіатні гроші через послуги позабіржової торгівлі.
Стикнувшись з тривалими та масовими атаками групи Lazarus, індустрія Web3 стикається з серйозними викликами безпеки. Відповідні установи продовжують слідкувати за динамікою цієї хакерської групи та здійснюють подальший моніторинг її способів відмивання грошей, щоб допомогти учасникам проектів, регуляторним органам та правоохоронним відомствам боротися з такими злочинами та повернути вкрадені активи.