Os Estados Unidos iniciaram ações legais para apreender mais de US$ 2,67 milhões em criptomoedas roubadas por hackers norte-coreanos. Em 4 de outubro, o governo entrou com duas queixas visando o Lazarus Group, uma notória organização de hackers associada ao regime norte-coreano.
Os fundos roubados são originários de dois grandes assaltos cibernéticos: US$ 1,7 milhão em USDT roubados durante o hack do Deribit em 2022 e aproximadamente US$ 970.000 em Bitcoin (BTC.b) vinculado ao Avalanche roubados da Stake.com em 2023.
As atividades criminosas do grupo Lazarus
O Lazarus Group atua em crimes cibernéticos desde pelo menos 2009. Esse grupo ganhou notoriedade por meio de incidentes de alto perfil, como a violação da Sony Pictures em 2014 e o roubo do Bangladesh Bank em 2016. Mais recentemente, suas atividades mudaram para mirar plataformas de criptomoedas. Analistas estimam que, desde 2017, o grupo roubou entre US$ 3 bilhões e US$ 4,1 bilhões de várias empresas de criptomoedas.
O hack do Deribit exemplifica as táticas do Lazarus Group. Os hackers exploraram vulnerabilidades em uma carteira quente, roubando US$ 28 milhões em criptomoedas. Para ocultar suas atividades, eles utilizaram o Tornado Cash, uma ferramenta projetada para aumentar o anonimato misturando transações. Após o roubo inicial, eles complicaram ainda mais os esforços de rastreamento transferindo os ativos roubados por meio de vários endereços Ethereum.
Apesar de seus métodos sofisticados, as agências de aplicação da lei permaneceram vigilantes. O governo dos EUA agora está focado em recuperar pelo menos $ 1,7 milhões em USDT conectados a essa atividade ilícita.
Táticas e técnicas usadas por Lázaro
O Lazarus Group, também conhecido como APT38 ou Bluenoroff, é conhecido por suas estratégias avançadas de ciberataque e roubos de criptomoedas. Suas operações envolvem ferramentas personalizadas, projetadas especificamente para cada alvo, destacando sua expertise na área. Relatórios de empresas de análise de blockchain como Chainalysis e TRM Labs ilustram os danos extensos que o grupo infligiu ao longo dos anos.
Ataques recentes ressaltam sua eficácia. Em agosto de 2023, o grupo violou com sucesso a carteira de implantação da Steadefi, roubando US$ 1,2 milhão em criptomoedas. Este incidente exemplificou táticas de engenharia social, já que um funcionário da Steadefi inadvertidamente baixou um arquivo malicioso de um agente de ameaça se passando por um gestor de fundos no Telegram. Outro incidente envolveu a plataforma Coinshift, que perdeu mais de US$ 900.000 em Ethereum. Nestes casos, assim como no Deribit, os ativos roubados foram lavados por meio do Tornado Cash.
A velocidade dessas operações também é digna de nota. Em 23 de agosto, os invasores executaram os hacks Steadefi e Coinshift e rapidamente depositaram fundos no pool de 100 ETH do Tornado Cash em minutos um do outro.
Desafios nos esforços de rastreamento e recuperação
Apesar dos esforços contínuos para congelar os ativos roubados, o Lazarus Group continua a se adaptar e escapar da captura. Em novembro de 2023, a Tether colocou na lista negra US$ 374.000 em USDT vinculados ao grupo. Ao mesmo tempo, várias exchanges centralizadas congelaram uma quantia não revelada de criptomoeda conectada às suas atividades. No quarto trimestre de 2023, três dos quatro principais emissores de stablecoins colocaram na lista negra um total de US$ 3,4 milhões associados ao grupo.
O Lazarus Group usa exchanges peer-to-peer como Paxful e Noones para converter criptomoedas roubadas em dinheiro. Essas táticas os tornaram uma ameaça persistente na indústria de criptomoedas, apesar dos esforços concentrados das autoridades policiais e da comunidade cripto para frustrar suas atividades.
A postagem EUA tomam medidas legais para apreender criptomoedas roubadas de hackers norte-coreanos apareceu primeiro em Coinfea.
