Anteriormente, un informe confidencial de las Naciones Unidas obtenido por Reuters reveló que el grupo de hackers norcoreano Lazarus Group lavó 147,5 millones de dólares a través de la plataforma de moneda virtual Tornado Cash en marzo de este año después de robar fondos de un intercambio de criptomonedas el año pasado.

Los supervisores dijeron al comité de sanciones del Consejo de Seguridad de la ONU en una presentación anterior que han estado investigando 97 ataques cibernéticos por parte de presuntos piratas informáticos norcoreanos dirigidos a empresas de criptomonedas entre 2017 y 2024, por un valor de alrededor de 3.600 millones de dólares. Estos incluyen un ataque a finales del año pasado en el que se robaron 147,5 millones de dólares del intercambio de criptomonedas HTX y luego se lavaron en marzo de este año.

Estados Unidos impuso sanciones a Tornado Cash en 2022, y en 2023, dos de sus cofundadores fueron acusados ​​de ayudar a lavar más de mil millones de dólares, incluso para la organización de delitos cibernéticos vinculada a Corea del Norte, Lazarus Group.​

Según una investigación realizada por el detective de criptomonedas ZachXBT, Lazarus Group lavó 200 millones de dólares en criptomonedas en moneda fiduciaria entre agosto de 2020 y octubre de 2023.

En el mundo de la ciberseguridad, el Grupo Lazarus lleva mucho tiempo acusado de ciberataques a gran escala y delitos financieros. Sus objetivos no se limitan a industrias o regiones específicas, sino que abarcan todo el mundo, desde sistemas bancarios hasta intercambios de criptomonedas, y desde agencias gubernamentales hasta empresas privadas. A continuación, nos centraremos en analizar varios casos de ataques típicos para revelar cómo Lazarus Group implementó con éxito estos sorprendentes ataques a través de sus complejas estrategias y medios técnicos.

Lazarus Group manipula la ingeniería social y los ataques de phishing

Este caso proviene de informes relevantes de los medios europeos. Anteriormente, Lazarus había atacado a empresas militares y aeroespaciales en Europa y Medio Oriente. Publicó anuncios de trabajo en plataformas como LinkedIn para engañar a los empleados, pidiendo a los solicitantes de empleo que descargaran archivos PDF con archivos ejecutables y luego. implementarlos.​

Tanto los ataques de ingeniería social como los de phishing intentan utilizar la manipulación psicológica para engañar a las víctimas para que bajen la guardia y realicen acciones como hacer clic en un enlace o descargar un archivo, comprometiendo así su seguridad.​

Su malware permite a los agentes atacar vulnerabilidades en los sistemas de las víctimas y robar información confidencial.

Lazarus utilizó métodos similares durante una operación de seis meses contra el proveedor de pagos en criptomonedas CoinsPaid, que resultó en el robo de 37 millones de dólares.

A lo largo de la campaña, envió ofertas de trabajo falsas a ingenieros, lanzó ataques técnicos como denegación de servicio distribuida y presentó muchas contraseñas posibles para descifrar por fuerza bruta.

Crear ataques como CoinBerry y Unibright

El 24 de agosto de 2020, fue robada la billetera del intercambio de criptomonedas canadiense CoinBerry.

Dirección del hacker:

0xA06957c9C8871ff248326A1DA552213AB26A11AE 

El 11 de septiembre de 2020, debido a la filtración de claves privadas, se produjeron transferencias no autorizadas de 400.000 dólares estadounidenses en múltiples billeteras controladas por el equipo de Unbright.

Dirección del hacker:

0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43 

El 6 de octubre de 2020, debido a una violación de seguridad, se transfirieron $750,000 en criptoactivos sin autorización desde la billetera activa de CoinMetro.

Dirección del hacker:

0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT: Diagrama de flujo de fondos robados

A principios de 2021, los fondos de varios ataques se canalizaron a las siguientes direcciones:

0x0864b5ef4d8086cd0062306f39adea5da5bd2603。

El 11 de enero de 2021, la dirección 0x0864b5 depositó 3000 ETH en Tornado Cash y luego depositó más de 1800 ETH en Tornado Cash a través de la dirección 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129.

Luego, del 11 al 15 de enero, se retiraron casi 4500 ETH de Tornado Cash a la dirección 0x05492cbc8fb228103744ecca0df62473b2858810.​

Para 2023, después de muchas transferencias e intercambios, el atacante finalmente reunió los fondos de otros incidentes de seguridad en la dirección donde se recolectaron y retiraron los fondos. Según el cuadro de seguimiento de fondos, se puede ver que el atacante envió sucesivamente los fondos robados a Noones. dirección de depósito y dirección de depósito de Paxful.

Hackean al fundador de Nexus Mutual (Hugh Karp)

El 14 de diciembre de 2020, al fundador de Nexus Mutual, Hugh Karp, le robaron 370.000 NXM (8,3 millones de dólares).

Beosin KYT: Diagrama de flujo de fondos robados

Los fondos robados fueron transferidos entre las siguientes direcciones y canjeados por otros fondos.

0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1

0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b 

0x09923e35f19687a524bbca7d42b92b6748534f25 

0x0784051d5136a5ccb47ddb3a15243890f5268482

0x0adab45946372c2be1b94eead4b385210a8ebf0b

Lazarus Group utilizó estas direcciones para realizar operaciones de confusión, dispersión, cobranza y otras operaciones de fondos. Por ejemplo, algunos fondos se transfieren a la cadena de Bitcoin a través de cadenas cruzadas y luego de regreso a la cadena de Ethereum a través de una serie de transferencias. Luego, los fondos se mezclan a través de la plataforma de mezcla de monedas y luego los fondos se envían al retiro. plataforma.​

Del 16 al 20 de diciembre de 2020, una de las direcciones del hacker 0x078405 envió más de 2.500 ETH a Tornado Cash. Unas horas más tarde, según la correlación característica, se puede encontrar que la dirección 0x78a9903af04c8e887df5290c91917f71ae028137 inició la operación de retiro.​

Mediante transferencia e intercambio, el hacker transfirió parte de los fondos a la dirección donde se recaudaron y retiraron los fondos involucrados en el incidente anterior.​

Posteriormente, de mayo a julio de 2021, el atacante transfirió 11 millones de USDT a la dirección de depósito de Bixin.​

De febrero a marzo de 2023, el atacante envió 2,77 millones de USDT a la dirección de depósito de Paxful a través de la dirección 0xcbf04b011eebc684d380db5f8e661685150e3a9e.

De abril a junio de 2023, el atacante envió 8,4 millones de USDT a la dirección de depósito de Noones a través de la dirección 0xcbf04b011eebc684d380db5f8e661685150e3a9e.

Hacks de Steadefi y CoinShift

Beosin KYT: Diagrama de flujo de fondos robados

Dirección de ataque de incidentes de Steadefi

0x9cf71f2ff126b9743319b60d2d873f0e508810dc

Dirección de ataque del incidente de Coinshift

0x979ec2af1aa190143d294b0bfc7ec35d169d845c

En agosto de 2023, 624 ETH robados del incidente de Steadefi se transfirieron a Tornado Cash. En el mismo mes, 900 ETH robados del incidente de Coinshift se transfirieron a Tornado Cash.

Después de transferir ETH a Tornado Cash, retire inmediatamente los fondos a la siguiente dirección:

0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41

0x4e75c46c299ddc74bac808a34a778c863bb59a4e

0xc884cf2fb3420420ed1f3578eaecbde53468f32e

El 12 de octubre de 2023, los fondos retirados de Tornado Cash de las tres direcciones anteriores se enviaron a la dirección 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8.​

En noviembre de 2023, la dirección 0x5d65ae comenzó a transferir fondos y finalmente envió los fondos a la dirección de depósito de Paxful y a la dirección de depósito de Noones mediante transferencia e intercambio.

resumen del evento

Lo anterior presenta la dinámica del hacker norcoreano Lazarus Group en los últimos años y analiza y resume sus métodos de lavado de dinero: después de que Lazarus Group roba activos cifrados, básicamente los transfiere de un lado a otro a través de cadenas y luego a mezcladores de divisas como Tornado Cash. Maneras de confundir fondos. Después de la ofuscación, Lazarus Group retiró los activos robados a la dirección de destino y los envió a un grupo de direcciones fijas para las operaciones de retiro. Los criptoactivos previamente robados se depositaban básicamente en la dirección de depósito de Paxful y en la dirección de depósito de Noones, y luego los criptoactivos se intercambiaban por moneda legal a través de servicios OTC.

Bajo los ataques continuos y a gran escala del Grupo Lazarus, la industria Web3 se enfrenta a mayores desafíos de seguridad. Beosin continúa prestando atención a este grupo de piratas informáticos y seguirá su dinámica y métodos de lavado de dinero para ayudar a las partes del proyecto, los departamentos regulatorios y de aplicación de la ley a combatir tales delitos y recuperar activos robados.

Beosin es una de las primeras empresas de seguridad Web3 del mundo en participar en la verificación formal. Se centra en el negocio ecológico completo de "seguridad + cumplimiento" y ha establecido sucursales en más de 10 países y regiones de todo el mundo. auditorías y proyectos antes de que el proyecto entre en funcionamiento Productos de cumplimiento de blockchain "integrados" + servicios de seguridad como monitoreo y bloqueo de riesgos de seguridad en tiempo de ejecución, recuperación de robos, antilavado de dinero (AML) de activos virtuales y evaluaciones de cumplimiento que cumplen con las regulaciones locales. requisitos.