Gli Stati Uniti hanno avviato azioni legali per sequestrare oltre 2,67 milioni di dollari in criptovaluta rubata dagli hacker nordcoreani. Il 4 ottobre, il governo ha presentato due denunce contro il Lazarus Group, una famigerata organizzazione di hacker associata al regime nordcoreano.
I fondi rubati provengono da due importanti furti informatici: 1,7 milioni di dollari in USDT sottratti durante l'attacco informatico a Deribit nel 2022 e circa 970.000 dollari in Bitcoin Avalanche (BTC.b) rubati da Stake.com nel 2023.
Le attività criminali del gruppo Lazarus
Il Lazarus Group è attivo nel cybercrime almeno dal 2009. Questo gruppo ha guadagnato notorietà attraverso incidenti di alto profilo come la violazione di Sony Pictures del 2014 e il furto della Bangladesh Bank del 2016. Più di recente, le sue attività si sono spostate verso l'individuazione di piattaforme di criptovaluta. Gli analisti stimano che dal 2017 il gruppo abbia rubato tra $ 3 miliardi e $ 4,1 miliardi da varie società di criptovaluta.
L'hacking di Deribit esemplifica le tattiche del Lazarus Group. Gli hacker hanno sfruttato le vulnerabilità di un hot wallet, rubando 28 milioni di dollari in criptovalute. Per oscurare le loro attività, hanno utilizzato Tornado Cash, uno strumento progettato per migliorare l'anonimato mescolando le transazioni. Dopo il furto iniziale, hanno ulteriormente complicato gli sforzi di tracciamento trasferendo i beni rubati tramite più indirizzi Ethereum.
Nonostante i loro metodi sofisticati, le forze dell'ordine sono rimaste vigili. Il governo degli Stati Uniti è ora concentrato sul recupero di almeno 1,7 milioni di dollari in USDT collegati a questa attività illecita.
Tattiche e tecniche utilizzate da Lazarus
Il Lazarus Group, noto anche come APT38 o Bluenoroff, è rinomato per le sue strategie avanzate di cyberattacco e furti di criptovalute. Le loro operazioni prevedono strumenti su misura, progettati specificamente per ogni obiettivo, evidenziando la loro competenza nel settore. I report di aziende di analisi blockchain come Chainalysis e TRM Labs illustrano l'enorme danno che il gruppo ha inflitto nel corso degli anni.
I recenti attacchi ne sottolineano l'efficacia. Ad agosto 2023, il gruppo ha violato con successo il portafoglio di distribuzione di Steadefi, rubando 1,2 milioni di dollari in criptovalute. Questo incidente ha esemplificato le tattiche di ingegneria sociale, poiché un dipendente di Steadefi ha scaricato inavvertitamente un file dannoso da un attore della minaccia che si spacciava per un gestore di fondi su Telegram. Un altro incidente ha coinvolto la piattaforma Coinshift, che ha perso oltre 900.000 dollari in Ethereum. In questi casi, come con Deribit, i beni rubati sono stati riciclati tramite Tornado Cash.
Anche la velocità di queste operazioni è degna di nota. Il 23 agosto, gli aggressori hanno eseguito sia gli hack di Steadefi che di Coinshift e hanno rapidamente depositato fondi nel pool da 100 ETH di Tornado Cash a distanza di pochi minuti l'uno dall'altro.
Sfide negli sforzi di monitoraggio e recupero
Nonostante i continui sforzi per congelare i beni rubati, il Lazarus Group continua ad adattarsi e a sfuggire alla cattura. A novembre 2023, Tether ha inserito nella blacklist 374.000 $ in USDT collegati al gruppo. Contemporaneamente, diversi exchange centralizzati hanno congelato una quantità non divulgata di criptovaluta collegata alle loro attività. Entro il quarto trimestre del 2023, tre dei quattro principali emittenti di stablecoin avevano inserito nella blacklist un totale di 3,4 milioni di $ associati al gruppo.
Il Lazarus Group utilizza exchange peer-to-peer come Paxful e Noones per convertire criptovalute rubate in denaro. Queste tattiche li hanno resi una minaccia persistente nel settore delle criptovalute nonostante gli sforzi concertati delle forze dell'ordine e della comunità delle criptovalute per ostacolare le loro attività.
Il post Gli Stati Uniti adottano misure legali per sequestrare le criptovalute rubate agli hacker nordcoreani è apparso per la prima volta su Coinfea.
