Zuvor enthüllte ein vertraulicher Bericht der Vereinten Nationen, der Reuters vorliegt, dass die nordkoreanische Hackergruppe Lazarus Group im März dieses Jahres 147,5 Millionen US-Dollar über die virtuelle Währungsplattform Tornado Cash gewaschen hat, nachdem sie letztes Jahr Gelder von einer Kryptowährungsbörse gestohlen hatte.
Die Beobachter teilten dem Sanktionsausschuss des UN-Sicherheitsrates in einer früheren Stellungnahme mit, dass sie zwischen 2017 und 2024 97 Cyberangriffe mutmaßlicher nordkoreanischer Hacker untersucht haben, die auf Kryptowährungsunternehmen abzielten und einen Wert von etwa 3,6 Milliarden US-Dollar hatten. Dazu gehört ein Angriff Ende letzten Jahres, bei dem 147,5 Millionen US-Dollar von der Kryptowährungsbörse HTX gestohlen und dann im März dieses Jahres gewaschen wurden.
Die Vereinigten Staaten verhängten im Jahr 2022 Sanktionen gegen Tornado Cash, und im Jahr 2023 wurden zwei seiner Mitbegründer angeklagt, bei der Geldwäsche von mehr als einer Milliarde US-Dollar geholfen zu haben, unter anderem durch die mit Nordkorea verbundene Cybercrime-Gruppe Lazarus Group.
Laut einer Untersuchung des Kryptowährungsspezialisten ZachXBT hat die Lazarus Group zwischen August 2020 und Oktober 2023 Kryptowährungen im Wert von 200 Millionen US-Dollar in Fiat-Währung gewaschen.
In der Welt der Cybersicherheit werden der Lazarus Group seit langem groß angelegte Cyberangriffe und Finanzverbrechen vorgeworfen. Ihre Ziele beschränken sich nicht auf bestimmte Branchen oder Regionen, sondern erstrecken sich über die ganze Welt, von Bankensystemen bis hin zu Kryptowährungsbörsen und von Regierungsbehörden bis hin zu Privatunternehmen. Als Nächstes konzentrieren wir uns auf die Analyse einiger typischer Angriffsfälle, um zu zeigen, wie die Lazarus Group diese erstaunlichen Angriffe mithilfe ihrer komplexen Strategien und technischen Mittel erfolgreich umgesetzt hat.
LazarusGroup manipuliert Social-Engineering- und Phishing-Angriffe
Dieser Fall geht aus relevanten europäischen Medienberichten hervor, die zuvor auf Militär- und Luft- und Raumfahrtunternehmen in Europa und im Nahen Osten abzielten. Es veröffentlichte Stellenanzeigen auf Plattformen wie LinkedIn, um Mitarbeiter zu täuschen, indem es Arbeitssuchende aufforderte, PDFs mit ausführbaren Dateien herunterzuladen Führen Sie Phishing-Angriffe durch.
Sowohl bei Social-Engineering- als auch bei Phishing-Angriffen wird versucht, Opfer mithilfe psychologischer Manipulation dazu zu bringen, unvorsichtig zu reagieren und Aktionen wie das Anklicken eines Links oder das Herunterladen einer Datei auszuführen, wodurch ihre Sicherheit gefährdet wird.
Ihre Malware ermöglicht es Agenten, Schwachstellen in den Systemen der Opfer anzugreifen und vertrauliche Informationen zu stehlen.
Ähnliche Methoden verwendete Lazarus während einer sechsmonatigen Operation gegen den Kryptowährungs-Zahlungsanbieter CoinsPaid, die zum Diebstahl von 37 Millionen US-Dollar führte.
Im Laufe der Kampagne wurden gefälschte Stellenangebote an Ingenieure verschickt, technische Angriffe wie Distributed Denial of Service gestartet und viele mögliche Passwörter zum Brute-Force-Knacken übermittelt.
Erstellen Sie Angriffe wie CoinBerry und Unibright
Am 24. August 2020 wurde das Wallet der kanadischen Kryptowährungsbörse CoinBerry gestohlen.
Hacker-Adresse:
0xA06957c9C8871ff248326A1DA552213AB26A11AE
Am 11. September 2020 kam es aufgrund der Offenlegung privater Schlüssel zu unbefugten Überweisungen von 400.000 US-Dollar in mehreren vom Unbright-Team kontrollierten Wallets.
Hacker-Adresse:
0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43
Am 6. Oktober 2020 wurden aufgrund einer Sicherheitsverletzung Krypto-Assets im Wert von 750.000 US-Dollar ohne Genehmigung von CoinMetro-Hot-Wallets übertragen.
Hacker-Adresse:
0x044bf69ae74fcd8d1fc11da28adbad82bbb42351
Beosin KYT: Flussdiagramm gestohlener Fonds
Anfang 2021 wurden Gelder aus verschiedenen Angriffen an folgende Adressen weitergeleitet:
0x0864b5ef4d8086cd0062306f39adea5da5bd2603.
Am 11. Januar 2021 zahlte die Adresse 0x0864b5 3.000 ETH in Tornado Cash ein und zahlte dann über die Adresse 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129 mehr als 1.800 ETH in Tornado Cash ein.
Dann wurden vom 11. bis 15. Januar fast 4.500 ETH von Tornado Cash an die Adresse 0x05492cbc8fb228103744ecca0df62473b2858810 abgehoben.
Bis 2023, nach vielen Überweisungen und Umtauschvorgängen, sammelte der Angreifer schließlich die Gelder aus anderen Sicherheitsvorfällen an der Adresse, an der die Gelder gesammelt und abgehoben wurden. Aus der Geldverfolgungstabelle geht hervor, dass der Angreifer die gestohlenen Gelder nacheinander an Noones gesendet hat Einzahlungsadresse und Paxful-Einzahlungsadresse.
NexusMutual-Gründer (Hugh Karp) wurde gehackt
Am 14. Dezember 2020 wurden dem Gründer von Nexus Mutual, Hugh Karp, 370.000 NXM (8,3 Millionen US-Dollar) gestohlen.
Beosin KYT: Flussdiagramm gestohlener Fonds
Die gestohlenen Gelder wurden zwischen den folgenden Adressen überwiesen und gegen andere Gelder eingetauscht.
0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
0x09923e35f19687a524bbca7d42b92b6748534f25
0x0784051d5136a5ccb47ddb3a15243890f5268482
0x0adab45946372c2be1b94eead4b385210a8ebf0b
Die Lazarus Group nutzte diese Adressen, um Vorgänge wie Geldverwirrung, Streuung und Inkasso durchzuführen. Beispielsweise werden einige Gelder kettenübergreifend an die Bitcoin-Kette und dann über eine Reihe von Überweisungen zurück an die Ethereum-Kette übertragen. Anschließend werden die Gelder über die Währungsmischplattform gemischt und dann zur Auszahlung gesendet Plattform.
Vom 16. bis 20. Dezember 2020 schickte eine der Hacker-Adressen 0x078405 mehr als 2.500 ETH an Tornado Cash. Einige Stunden später konnte anhand der charakteristischen Korrelation festgestellt werden, dass die Adresse 0x78a9903af04c8e887df5290c91917f71ae028137 mit dem Abhebungsvorgang begann.
Durch Überweisung und Umtausch überwies der Hacker einen Teil der Gelder an die Adresse, an der die Gelder des vorherigen Vorfalls gesammelt und abgehoben wurden.
Später, von Mai bis Juli 2021, überwies der Angreifer 11 Millionen USDT an die Einzahlungsadresse Bixin.
Von Februar bis März 2023 schickte der Angreifer 2,77 Millionen USDT über die Adresse 0xcbf04b011eebc684d380db5f8e661685150e3a9e an die Paxful-Einzahlungsadresse.
Von April bis Juni 2023 schickte der Angreifer 8,4 Millionen USDT über die Adresse 0xcbf04b011eebc684d380db5f8e661685150e3a9e an die Einzahlungsadresse von Noones.
Steadefi- und CoinShift-Hack
Beosin KYT: Flussdiagramm gestohlener Fonds
Angriffsadresse für den Steadefi-Vorfall
0x9cf71f2ff126b9743319b60d2d873f0e508810dc
Angriffsadresse für den Coinshift-Vorfall
0x979ec2af1aa190143d294b0bfc7ec35d169d845c
Im August 2023 wurden 624 gestohlene ETH aus dem Steadefi-Vorfall an Tornado Cash übertragen. Im selben Monat wurden 900 gestohlene ETH aus dem Coinshift-Vorfall an Tornado Cash übertragen.
Nachdem Sie ETH an Tornado Cash überwiesen haben, heben Sie das Geld sofort an die folgende Adresse ab:
0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41
0x4e75c46c299ddc74bac808a34a778c863bb59a4e
0xc884cf2fb3420420ed1f3578eaecbde53468f32e
Am 12. Oktober 2023 wurden die von Tornado Cash von den oben genannten drei Adressen abgehobenen Gelder an die Adresse 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8 gesendet.
Im November 2023 begann die Adresse 0x5d65ae mit der Überweisung von Geldern und schickte die Gelder schließlich per Überweisung und Umtausch an die Einzahlungsadresse von Paxful und die Einzahlungsadresse von Noones.
Zusammenfassung der Veranstaltung
Das Obige stellt die Dynamik des nordkoreanischen Hackers Lazarus Group in den letzten Jahren vor und analysiert und fasst seine Geldwäschemethoden zusammen: Nachdem die Lazarus Group verschlüsselte Vermögenswerte gestohlen hat, transferiert sie diese im Wesentlichen über Ketten hin und her und dann in Währungsmischer wie Tornado Bargeld. Möglichkeiten, Gelder zu verwirren. Nach der Verschleierung hat die Lazarus Group die gestohlenen Vermögenswerte an die Zieladresse abgehoben und sie für Abhebungsvorgänge an eine feste Adressgruppe gesendet. Zuvor gestohlene Krypto-Vermögenswerte wurden grundsätzlich an der Paxful-Einzahlungsadresse und der Noones-Einzahlungsadresse hinterlegt und dann wurden die Krypto-Vermögenswerte über OTC-Dienste gegen gesetzliche Währung eingetauscht.
Aufgrund der kontinuierlichen und groß angelegten Angriffe der Lazarus Group steht die Web3-Branche vor größeren Sicherheitsherausforderungen. Beosin widmet dieser Hackergruppe weiterhin Aufmerksamkeit und wird ihre Dynamik und Geldwäschemethoden weiter verfolgen, um Projektparteien, Regulierungs- und Strafverfolgungsbehörden bei der Bekämpfung solcher Verbrechen und der Wiedererlangung gestohlener Vermögenswerte zu unterstützen.
