In precedenza, un rapporto confidenziale delle Nazioni Unite ottenuto da Reuters aveva rivelato che il gruppo di hacker nordcoreano Lazarus Group aveva riciclato 147,5 milioni di dollari attraverso la piattaforma di valuta virtuale Tornado Cash nel marzo di quest'anno dopo aver rubato fondi da uno scambio di criptovaluta l'anno scorso.

Gli osservatori hanno riferito al comitato per le sanzioni del Consiglio di sicurezza delle Nazioni Unite in una precedente comunicazione di aver indagato su 97 attacchi informatici da parte di presunti hacker nordcoreani contro società di criptovaluta tra il 2017 e il 2024, per un valore di circa 3,6 miliardi di dollari. Questi includono un attacco alla fine dell'anno scorso in cui sono stati rubati 147,5 milioni di dollari dall'exchange di criptovalute HTX e poi riciclati nel marzo di quest'anno.

Gli Stati Uniti hanno imposto sanzioni a Tornado Cash nel 2022 e nel 2023 due dei suoi cofondatori sono stati accusati di aver contribuito a riciclare più di 1 miliardo di dollari, anche per conto dell’organizzazione criminale informatica collegata alla Corea del Nord Lazarus Group.​

Secondo un'indagine condotta dall'investigatore di criptovalute ZachXBT, Lazarus Group ha riciclato criptovalute per un valore di 200 milioni di dollari in valuta fiat tra agosto 2020 e ottobre 2023.

Nel mondo della sicurezza informatica, Lazarus Group è da tempo accusato di attacchi informatici su larga scala e crimini finanziari. I loro obiettivi non si limitano a settori o regioni specifici, ma abbracciano tutto il mondo, dai sistemi bancari agli scambi di criptovalute e dalle agenzie governative alle imprese private. Successivamente, ci concentreremo sull'analisi di diversi casi di attacco tipici per rivelare come Lazarus Group abbia implementato con successo questi incredibili attacchi attraverso le sue complesse strategie e mezzi tecnici.

Lazarus Group manipola attacchi di ingegneria sociale e phishing

Questo caso proviene da importanti resoconti dei media europei. Lazarus ha precedentemente preso di mira aziende militari e aerospaziali in Europa e nel Medio Oriente. Ha pubblicato annunci di lavoro su piattaforme come LinkedIn per ingannare i dipendenti, chiedendo alle persone in cerca di lavoro di scaricare PDF con file eseguibili distribuiti e poi. implementarli.​

Sia gli attacchi di ingegneria sociale che quelli di phishing tentano di utilizzare la manipolazione psicologica per indurre le vittime ad abbassare la guardia ed eseguire azioni come fare clic su un collegamento o scaricare un file, compromettendo così la loro sicurezza.​

Il loro malware consente agli agenti di individuare le vulnerabilità nei sistemi delle vittime e rubare informazioni sensibili.

Lazarus ha utilizzato metodi simili durante un'operazione durata sei mesi contro il fornitore di pagamenti in criptovaluta CoinsPaid, che ha comportato il furto di 37 milioni di dollari.

Nel corso della campagna, ha inviato false offerte di lavoro a ingegneri, lanciato attacchi tecnici come il Denial of Service distribuito e presentato molte possibili password per il cracking con forza bruta.

Crea attacchi come CoinBerry e Unibright

Il 24 agosto 2020, il portafoglio dell'exchange di criptovalute canadese CoinBerry è stato rubato.

Indirizzo dell'hacker:

0xA06957c9C8871ff248326A1DA552213AB26A11AE 

L'11 settembre 2020, a causa della fuga di chiavi private, si sono verificati trasferimenti non autorizzati di 400.000 dollari USA in più portafogli controllati dal team Unbright.

Indirizzo dell'hacker:

0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43 

Il 6 ottobre 2020, a causa di una violazione della sicurezza, asset crittografici per un valore di 750.000 dollari sono stati trasferiti senza autorizzazione dall'hot wallet CoinMetro.

Indirizzo dell'hacker:

0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT: diagramma di flusso dei fondi rubati

All’inizio del 2021 i fondi provenienti da diversi attacchi sono stati convogliati ai seguenti indirizzi:

0x0864b5ef4d8086cd0062306f39adea5da5bd2603. 

L'11 gennaio 2021, l'indirizzo 0x0864b5 ha depositato 3.000 ETH in Tornado Cash, quindi ha depositato più di 1.800 ETH in Tornado Cash tramite l'indirizzo 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129.

Poi dall’11 al 15 gennaio sono stati prelevati da Tornado Cash quasi 4.500 ETH all’indirizzo 0x05492cbc8fb228103744ecca0df62473b2858810.​

Nel 2023, dopo numerosi trasferimenti e scambi, l'aggressore ha finalmente raccolto i fondi di altri incidenti di sicurezza all'indirizzo in cui i fondi sono stati raccolti e ritirati. Secondo la tabella di tracciamento dei fondi, si può vedere che l'aggressore ha successivamente inviato i fondi rubati a Noones indirizzo di deposito e indirizzo di deposito Paxful.

Il fondatore di Nexus Mutual (Hugh Karp) è stato violato

Il 14 dicembre 2020, il fondatore di Nexus Mutual Hugh Karp si è visto rubare 370.000 NXM (8,3 milioni di dollari).

Beosin KYT: diagramma di flusso dei fondi rubati

I fondi rubati sono stati trasferiti tra i seguenti indirizzi e scambiati con altri fondi.

0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1 

0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b 

0x09923e35f19687a524bbca7d42b92b6748534f25 

0x0784051d5136a5ccb47ddb3a15243890f5268482 

0x0adab45946372c2be1b94eead4b385210a8ebf0b

Lazarus Group ha utilizzato questi indirizzi per eseguire operazioni di confusione, dispersione, raccolta di fondi e altre operazioni. Ad esempio, alcuni fondi vengono trasferiti alla catena Bitcoin tramite cross-chain, e poi nuovamente alla catena Ethereum attraverso una serie di trasferimenti. Successivamente, i fondi vengono miscelati attraverso la piattaforma di mixaggio valutario, e quindi i fondi vengono inviati al ritiro piattaforma.​

Dal 16 al 20 dicembre 2020 uno degli indirizzi hacker 0x078405 ha inviato più di 2.500 ETH a Tornado Cash. Poche ore dopo, secondo la correlazione caratteristica, si scopre che l'indirizzo 0x78a9903af04c8e887df5290c91917f71ae028137 ha avviato l'operazione di prelievo.​

Attraverso il trasferimento e lo scambio, l'hacker ha trasferito parte dei fondi all'indirizzo in cui erano stati raccolti e ritirati i fondi coinvolti nell'incidente precedente.​

Successivamente, da maggio a luglio 2021, l’aggressore ha trasferito 11 milioni di USDT all’indirizzo di deposito di Bixin.​

Da febbraio a marzo 2023, l'aggressore ha inviato 2,77 milioni di USDT all'indirizzo di deposito di Paxful tramite l'indirizzo 0xcbf04b011eebc684d380db5f8e661685150e3a9e.

Da aprile a giugno 2023, l'aggressore ha inviato 8,4 milioni di USDT all'indirizzo di deposito di Noones tramite l'indirizzo 0xcbf04b011eebc684d380db5f8e661685150e3a9e.

Hack di Steadefi e CoinShift

Beosin KYT: diagramma di flusso dei fondi rubati

Indirizzo dell'attacco dell'incidente di Steadefi

0x9cf71f2ff126b9743319b60d2d873f0e508810dc 

Indirizzo dell'attacco dell'incidente Coinshift

0x979ec2af1aa190143d294b0bfc7ec35d169d845c 

Nell'agosto 2023, 624 ETH rubati dall'incidente Steadefi sono stati trasferiti a Tornado Cash. Nello stesso mese, 900 ETH rubati dall'incidente Coinshift sono stati trasferiti a Tornado Cash.

Dopo aver trasferito ETH su Tornado Cash, ritira immediatamente i fondi al seguente indirizzo:

0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41

0x4e75c46c299ddc74bac808a34a778c863bb59a4e

0xc884cf2fb3420420ed1f3578eaecbde53468f32e

Il 12 ottobre 2023, i fondi prelevati da Tornado Cash dai tre indirizzi sopra indicati sono stati inviati all'indirizzo 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8.​

Nel novembre 2023, l'indirizzo 0x5d65ae ha iniziato a trasferire fondi e infine ha inviato i fondi all'indirizzo di deposito di Paxful e all'indirizzo di deposito di Noone tramite trasferimento e scambio.

riepilogo dell'evento

Quanto sopra introduce le dinamiche dell'hacker nordcoreano Lazarus Group negli ultimi anni e analizza e riassume i suoi metodi di riciclaggio di denaro: dopo che Lazarus Group ruba risorse crittografate, sostanzialmente le trasferisce avanti e indietro attraverso catene e poi in miscelatori di valuta come Tornado Cash. Modi per confondere i fondi. Dopo l'offuscamento, Lazarus Group ha ritirato i beni rubati all'indirizzo di destinazione e li ha inviati a un gruppo di indirizzo fisso per le operazioni di prelievo. Le risorse crittografiche precedentemente rubate sono state sostanzialmente depositate all'indirizzo di deposito di Paxful e all'indirizzo di deposito di Noone, quindi le risorse crittografiche sono state scambiate con valuta legale tramite servizi OTC.

A causa degli attacchi continui e su larga scala da parte di Lazarus Group, l’industria Web3 si trova ad affrontare sfide sempre più impegnative in termini di sicurezza. Beosin continua a prestare attenzione a questo gruppo di hacker e seguirà ulteriormente le sue dinamiche e i metodi di riciclaggio di denaro per aiutare le parti del progetto, i dipartimenti di regolamentazione e le forze dell'ordine a combattere tali crimini e recuperare i beni rubati.

Beosin è una delle prime società di sicurezza Web3 al mondo a impegnarsi nella verifica formale. Si concentra sul business completamente ecologico di "sicurezza + conformità" e ha stabilito filiali in più di 10 paesi e regioni in tutto il mondo. La sua attività copre la sicurezza dei codici audit e progetti prima che il progetto vada online. Prodotti di conformità blockchain "one-stop" + servizi di sicurezza come monitoraggio e blocco dei rischi per la sicurezza in fase di esecuzione, recupero dei furti, antiriciclaggio di risorse virtuali (AML) e valutazioni di conformità conformi alle normative locali. requisiti.