Autors: Beosin

 

Iepriekš Reuters rīcībā nonākušais konfidenciālais Apvienoto Nāciju Organizācijas ziņojums atklāja, ka Ziemeļkorejas hakeru grupa Lazarus Group šā gada martā atmazgājusi 147,5 miljonus ASV dolāru, izmantojot virtuālās valūtas platformu Tornado Cash pēc tam, kad pērn no kriptovalūtas biržas nozaga līdzekļus.

Monitori ANO Drošības padomes sankciju komitejai iepriekšējā iesniegumā norādīja, ka viņi ir izmeklējuši 97 kiberuzbrukumus, ko aizdomās turētie Ziemeļkorejas hakeri no 2017. līdz 2024. gadam bija vērsti pret kriptovalūtu kompānijām aptuveni 3,6 miljardu dolāru vērtībā. To vidū ir uzbrukums pagājušā gada beigās, kurā no HTX kriptovalūtas biržas tika nozagti 147,5 miljoni ASV dolāru un pēc tam šī gada martā atmazgāti.

ASV 2022. gadā noteica sankcijas pret Tornado Cash, un 2023. gadā diviem tā līdzdibinātājiem tika izvirzītas apsūdzības par palīdzību atmazgāt vairāk nekā vienu miljardu dolāru, tostarp ar Ziemeļkoreju saistītā kibernoziegumu grupa Lazarus Group.

Saskaņā ar kriptovalūtu meklētāja ZachXBT veikto izmeklēšanu Lazarus Group no 2020. gada augusta līdz 2023. gada oktobrim atmazgāja kriptovalūtu 200 miljonu dolāru vērtībā fiat valūtā.

Kiberdrošības pasaulē Lazarus Group jau sen ir apsūdzēta liela mēroga kiberuzbrukumos un finanšu noziegumos. Viņu mērķi neaprobežojas tikai ar konkrētām nozarēm vai reģioniem, bet aptver visu pasauli, sākot no banku sistēmām līdz kriptovalūtu biržām un no valsts aģentūrām līdz privātiem uzņēmumiem. Tālāk mēs koncentrēsimies uz vairāku tipisku uzbrukumu gadījumu analīzi, lai atklātu, kā Lazarus Group veiksmīgi īstenoja šos apbrīnojamos uzbrukumus, izmantojot tās sarežģītās stratēģijas un tehniskos līdzekļus.

LazarusGroup manipulē ar sociālo inženieriju un pikšķerēšanas uzbrukumiem

Šī lieta nāk no attiecīgiem Eiropas plašsaziņas līdzekļu ziņojumiem, kas iepriekš bija vērsti pret militārajiem un kosmosa uzņēmumiem Eiropā un Tuvajos Austrumos. Tas ievietoja darba sludinājumus tādās platformās kā LinkedIn, lai maldinātu darbiniekus, aicinot darba meklētājus lejupielādēt PDF failus ar izvietotiem izpildāmiem failiem. īstenotu pikšķerēšanas uzbrukumus.

Gan sociālās inženierijas, gan pikšķerēšanas uzbrukumos tiek mēģināts izmantot psiholoģiskas manipulācijas, lai apmānītu upurus, lai viņi nomierinātu un veiktu darbības, piemēram, noklikšķinātu uz saites vai lejupielādētu failu, tādējādi apdraudot viņu drošību.

Viņu ļaunprātīgā programmatūra ļauj aģentiem mērķēt uz upuru sistēmu ievainojamību un nozagt sensitīvu informāciju.

Lācars izmantoja līdzīgas metodes sešus mēnešus ilgas operācijas laikā pret kriptovalūtas maksājumu nodrošinātāju CoinsPaid, kā rezultātā tika nozagti 37 miljoni ASV dolāru.

Kampaņas laikā tā sūtīja viltus darba piedāvājumus inženieriem, uzsāka tehniskus uzbrukumus, piemēram, izplatītu pakalpojumu atteikumu, un iesniedza daudzas iespējamās paroles brutāla spēka uzlaušanai.

Izveidojiet uzbrukumus, piemēram, CoinBerry un Unibright

2020. gada 24. augustā tika nozagts Kanādas kriptovalūtu biržas CoinBerry maks.

Hacker adrese:

0xA06957c9C8871ff248326A1DA552213AB26A11AE

2020. gada 11. septembrī privāto atslēgu noplūdes dēļ vairākos Unbright komandas kontrolētajos makos notika nesankcionēti pārskaitījumi 400 000 ASV dolāru apmērā.

Hacker adrese:

0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43

2020. gada 6. oktobrī drošības pārkāpuma dēļ no CoinMetro karstajiem makiem bez atļaujas tika pārsūtīti kriptovalūtu aktīvi 750 000 $ vērtībā.

Hacker adrese:

0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

2021. gada sākumā līdzekļi no dažādiem uzbrukumiem tika novirzīti uz šādām adresēm:

0x0864b5ef4d8086cd0062306f39adea5da5bd2603.

2021. gada 11. janvārī 0x0864b5 adrese iemaksāja 3000 ETH Tornado Cash un pēc tam vairāk nekā 1800 ETH, izmantojot adresi 0x1031ffaf5d00c6bc1ee0978eb7ec196b21d1641b21d1641.

Pēc tam no 11. līdz 15. janvārim no Tornado Cash tika izņemti gandrīz 4500 ETH uz adresi 0x05492cbc8fb228103744ecca0df62473b2858810.

Līdz 2023. gadam pēc daudziem pārskaitījumiem un apmaiņām uzbrucējs beidzot savāca līdzekļus no citiem drošības incidentiem uz adresi, kur līdzekļi tika savākti un izņemti. Saskaņā ar fondu izsekošanas diagrammu var redzēt, ka uzbrucējs nozagtos līdzekļus secīgi nosūtīja Noones. depozīta adrese un Paxful depozīta adrese.

NexusMutual dibinātājs (Hjū Karps) tika uzlauzts

2020. gada 14. decembrī uzņēmuma Nexus Mutual dibinātājam Hjū Karpam tika nozagti 370 000 NXM (8,3 miljoni ASV dolāru).

Beosin KYT: nozagtā fonda plūsmas diagramma

Nozagtie līdzekļi tika pārskaitīti starp šādām adresēm un apmainīti pret citiem līdzekļiem.

0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1

0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b

0x09923e35f19687a524bbca7d42b92b6748534f25

0x0784051d5136a5ccb47ddb3a15243890f5268482

0x0adab45946372c2be1b94eead4b385210a8ebf0b

Lazarus Group izmantoja šīs adreses, lai veiktu tādas darbības kā fondu sajaukšana, izkliedēšana un iekasēšana. Piemēram, daži līdzekļi tiek pārskaitīti uz Bitcoin ķēdi, izmantojot pārskaitījumu, un pēc tam atpakaļ uz Ethereum ķēdi. Pēc tam līdzekļi tiek sajaukti, izmantojot valūtu sajaukšanas platformu, un pēc tam līdzekļi tiek nosūtīti uz izņemšanu platforma.

No 2020. gada 16. decembra līdz 20. decembrim viena no hakeru adresēm 0x078405 nosūtīja vairāk nekā 2500 ETH uz Tornado Cash. Dažas stundas vēlāk, saskaņā ar raksturīgo korelāciju, var konstatēt, ka 0x78a9903af04c8e887df1529f8c91arese7f8.

Izmantojot pārskaitījumu un apmaiņu, hakeris daļu līdzekļu pārskaitīja uz adresi, kur tika savākti un izņemti iepriekšējā incidentā iesaistītie līdzekļi.

Vēlāk, no 2021. gada maija līdz jūlijam, uzbrucējs uz Bixin depozīta adresi pārskaitīja 11 miljonus USD.

No 2023. gada februāra līdz martam uzbrucējs uz Paxful depozīta adresi nosūtīja 2,77 miljonus USD, izmantojot adresi 0xcbf04b011eebc684d380db5f8e661685150e3a9e.

No 2023. gada aprīļa līdz jūnijam uzbrucējs uz Noones depozīta adresi nosūtīja 8,4 miljonus USD, izmantojot adresi 0xcbf04b011eebc684d380db5f8e661685150e3a9e.

Steadefi un CoinShift uzlaušana

Steadefi incidenta uzbrukuma adrese

0x9cf71f2ff126b9743319b60d2d873f0e508810dc

Coinshift incidenta uzbrukuma adrese

0x979ec2af1aa190143d294b0bfc7ec35d169d845c

2023. gada augustā no Steadefi incidenta 624 nozagti ETH tika pārsūtīti uz Tornado Cash. Tajā pašā mēnesī 900 nozagti ETH no Coinshift incidenta tika pārsūtīti uz Tornado Cash.

Pēc ETH pārskaitīšanas uz Tornado Cash nekavējoties izņemiet līdzekļus uz šādu adresi:

0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41

0x4e75c46c299ddc74bac808a34a778c863bb59a4e

0xc884cf2fb3420420ed1f3578eaecbde53468f32e

2023. gada 12. oktobrī no iepriekš minētajām trim adresēm no Tornado Cash izņemtie līdzekļi tika nosūtīti uz adresi 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8.

2023. gada novembrī 0x5d65ae adrese sāka pārskaitīt līdzekļus un, visbeidzot, nosūtīja līdzekļus uz Paxful depozīta adresi un Noones depozīta adresi, izmantojot pārskaitījumu un apmaiņu.

pasākuma kopsavilkums

Iepriekš minētais iepazīstina ar Ziemeļkorejas hakeru Lazarus Group dinamiku pēdējos gados, kā arī analizē un apkopo tās naudas atmazgāšanas metodes: pēc tam, kad Lazarus Group ir nozagusi šifrētus aktīvus, tā pamatā pārsūta tos uz priekšu un atpakaļ pa ķēdēm un pēc tam uz valūtas maisītājiem, piemēram, Tornado. Skaidra nauda, ​​kā sajaukt līdzekļus. Pēc neskaidrības Lazarus Group izņēma nozagtos īpašumus uz mērķa adresi un nosūtīja tos uz noteiktu adrešu grupu izņemšanas operāciju veikšanai. Iepriekš nozagtie kriptovalūtu aktīvi pamatā tika noguldīti Paxful depozīta adresē un Noones depozīta adresē, un pēc tam kriptovalūtu aktīvi tika apmainīti pret likumīgu valūtu, izmantojot ārpusbiržas pakalpojumus.

Lazarus Group nepārtrauktajos un plaša mēroga uzbrukumos Web3 nozare saskaras ar lielākām drošības problēmām. Beosin turpina pievērst uzmanību šai hakeru grupai un turpinās sekot līdzi tās dinamikai un naudas atmazgāšanas metodēm, lai palīdzētu projekta pusēm, regulējošajām un tiesībaizsardzības iestādēm apkarot šādus noziegumus un atgūt nozagtos īpašumus.