Anterior, un raport confidențial al Națiunilor Unite, obținut de Reuters, a dezvăluit că grupul de hackeri nord-coreeni Lazarus Group a spălat 147,5 milioane de dolari prin intermediul platformei de monedă virtuală Tornado Cash în martie a acestui an, după ce a furat fonduri de la un schimb de criptomonede anul trecut.

Monitorii au declarat comitetului de sancțiuni al Consiliului de Securitate al ONU într-o declarație anterioară că au investigat 97 de atacuri cibernetice ale unor presupuși hackeri nord-coreeni care vizează companiile de criptomonede între 2017 și 2024, în valoare de aproximativ 3,6 miliarde de dolari. Acestea includ un atac la sfârșitul anului trecut în care 147,5 milioane de dolari au fost furați din schimbul de criptomonede HTX și apoi spălați în martie a acestui an.

Statele Unite au impus sancțiuni lui Tornado Cash în 2022, iar în 2023 doi dintre co-fondatorii săi au fost acuzați că au ajutat la spălarea a peste 1 miliard de dolari, inclusiv pentru organizația de criminalitate cibernetică legată de Coreea de Nord Lazarus Group.​

Potrivit unei investigații a cercetătorului de criptomonede ZachXBT, Lazarus Group a spălat criptomonede în valoare de 200 de milioane de dolari în monedă fiat între august 2020 și octombrie 2023.

În lumea securității cibernetice, Lazarus Group a fost mult timp acuzat de atacuri cibernetice la scară largă și infracțiuni financiare. Țintele lor nu se limitează la anumite industrii sau regiuni, ci acoperă întreaga lume, de la sisteme bancare la schimburi de criptomonede și de la agenții guvernamentale la afaceri private. În continuare, ne vom concentra pe analiza mai multor cazuri tipice de atac pentru a dezvălui modul în care Lazarus Group a implementat cu succes aceste atacuri uimitoare prin strategiile sale complexe și mijloacele sale tehnice.

Lazarus Group manipulează atacurile de inginerie socială și phishing

Acest caz provine din rapoartele media europene relevante, Lazarus a vizat anterior companii militare și aerospațiale din Europa și Orientul Mijlociu. A postat anunțuri de angajare pe platforme precum LinkedIn pentru a înșela angajații, cerând solicitanților de locuri de muncă să descarce PDF-uri cu fișiere executabile. implementați-le atacuri de tip phishing.​

Atât atacurile de inginerie socială, cât și atacurile de phishing încearcă să folosească manipularea psihologică pentru a păcăli victimele să-și lase garda jos și să efectueze acțiuni precum clic pe un link sau descărcarea unui fișier, compromițându-le astfel securitatea.​

Programele lor malware le permit agenților să vizeze vulnerabilitățile din sistemele victimelor și să fure informații sensibile.

Lazarus a folosit metode similare în timpul unei operațiuni de șase luni împotriva furnizorului de plăți în criptomonede CoinsPaid, care a dus la furtul a 37 de milioane de dolari.

De-a lungul campaniei, a trimis oferte de locuri de muncă false inginerilor, a lansat atacuri tehnice, cum ar fi refuzul distribuit de serviciu și a trimis multe parole posibile pentru spargerea în forță brută.

Creați atacuri precum CoinBerry și Unibright

Pe 24 august 2020, portofelul schimbului de criptomonede din Canada CoinBerry a fost furat.

Adresa hackerului:

0xA06957c9C8871ff248326A1DA552213AB26A11AE 

Pe 11 septembrie 2020, din cauza scurgerii de chei private, au avut loc transferuri neautorizate de 400.000 USD în portofele multiple controlate de echipa Unbright.

Adresa hackerului:

0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43 

Pe 6 octombrie 2020, din cauza unei breșe de securitate, active criptografice în valoare de 750.000 USD au fost transferate fără autorizație din portofelul CoinMetro.

Adresa hackerului:

0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT: Diagrama fluxului fondului furat

La începutul anului 2021, fondurile provenite din diverse atacuri au fost direcționate către următoarele adrese:

0x0864b5ef4d8086cd0062306f39adea5da5bd2603. 

Pe 11 ianuarie 2021, adresa 0x0864b5 a depus 3.000 ETH în Tornado Cash, apoi a depus peste 1.800 ETH în Tornado Cash prin adresa 0x1031ffaf5d00c6bc1ee0978eb97ec196b1d16412.

Apoi, din 11 ianuarie până pe 15 ianuarie, aproape 4.500 de ETH au fost retrase din Tornado Cash la adresa 0x05492cbc8fb228103744ecca0df62473b2858810.​

Până în 2023, după multe transferuri și schimburi, atacatorul a strâns în cele din urmă fondurile din alte incidente de securitate la adresa unde au fost colectate și retrase fondurile. Conform diagramei de urmărire a fondurilor, se poate observa că atacatorul a trimis succesiv fondurile furate către Noones. adresa de depozit și adresa de depozit Paxful.

Fondatorul Nexus Mutual (Hugh Karp) a piratat

Pe 14 decembrie 2020, fondatorul Nexus Mutual, Hugh Karp, i s-au furat 370.000 NXM (8,3 milioane USD).

Beosin KYT: Diagrama fluxului fondurilor furate

Fondurile furate au fost transferate între următoarele adrese și schimbate cu alte fonduri.

0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1 

0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b 

0x09923e35f19687a524bbca7d42b92b6748534f25 

0x0784051d5136a5ccb47ddb3a15243890f5268482 

0x0adab45946372c2be1b94eead4b385210a8ebf0b

Lazarus Group a folosit aceste adrese pentru a efectua operațiuni de confuzie, dispersie, colectare și alte fonduri. De exemplu, unele fonduri sunt transferate în lanțul Bitcoin prin cross-chain, iar apoi înapoi în lanțul Ethereum printr-o serie de transferuri. După aceea, fondurile sunt amestecate prin platforma de amestecare a monedelor, iar apoi fondurile sunt trimise la retragere. platformă.​

Din 16 decembrie până în 20 decembrie 2020, una dintre adresele hackerului 0x078405 a trimis peste 2.500 de ETH către Tornado Cash Câteva ore mai târziu, conform corelației caracteristice, se constată că adresa 0x78a9903af04c8e887df5290f791a9290f791a9290.​

Prin transfer și schimb, hackerul a transferat o parte din fonduri la adresa unde au fost colectate și retrase fondurile implicate în incidentul anterior.​

Ulterior, din mai până în iulie 2021, atacatorul a transferat 11 milioane USDT la adresa de depozit Bixin.​

Din februarie până în martie 2023, atacatorul a trimis 2,77 milioane USDT către adresa de depozit Paxful prin adresa 0xcbf04b011eebc684d380db5f8e661685150e3a9e.

Din aprilie până în iunie 2023, atacatorul a trimis 8,4 milioane USDT la adresa de depozit Noones prin adresa 0xcbf04b011eebc684d380db5f8e661685150e3a9e.

Steadefi și CoinShift Hack

Beosin KYT: Diagrama fluxului fondului furat

Adresă de atac al incidentului Steadefi

0x9cf71f2ff126b9743319b60d2d873f0e508810dc 

Adresa atacului incidentului Coinsshift

0x979ec2af1aa190143d294b0bfc7ec35d169d845c 

În august 2023, 624 de ETH furați din incidentul Steadefi au fost transferați către Tornado Cash. În aceeași lună, 900 de ETH furați din incidentul Coinshift au fost transferați către Tornado Cash.

După transferul ETH către Tornado Cash, retrageți imediat fondurile la următoarea adresă:

0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41

0x4e75c46c299ddc74bac808a34a778c863bb59a4e

0xc884cf2fb3420420ed1f3578eaecbde53468f32e

Pe 12 octombrie 2023, fondurile retrase de la Tornado Cash de la cele trei adrese de mai sus au fost trimise la adresa 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8.​

În noiembrie 2023, adresa 0x5d65ae a început să transfere fonduri și, în cele din urmă, a trimis fondurile către adresa de depozit Paxful și adresa de depozit Noones prin transfer și schimb.

rezumatul evenimentului

Cele de mai sus prezintă dinamica hackerului nord-coreean Lazarus Group din ultimii ani și analizează și rezumă metodele sale de spălare a banilor: după ce Lazarus Group fură active criptate, practic le transferă înainte și înapoi în lanțuri și apoi în mixere de monede, cum ar fi Tornado Cash. Modalități de a confunda fondurile. După ofuscare, Lazarus Group a retras bunurile furate la adresa țintă și le-a trimis la un grup cu adresă fixă ​​pentru operațiuni de retragere. Activele cripto furate anterior au fost depuse practic în adresa de depozit Paxful și adresa de depozit Noones, iar apoi activele cripto au fost schimbate în monedă legală prin servicii OTC.

Sub atacurile continue și pe scară largă ale Grupului Lazarus, industria Web3 se confruntă cu provocări mai mari de securitate. Beosin continuă să acorde atenție acestui grup de hackeri și își va urmări în continuare dinamica și metodele de spălare a banilor pentru a ajuta părțile din proiect, departamentele de reglementare și de aplicare a legii să combată astfel de infracțiuni și să recupereze bunurile furate.

Beosin este una dintre primele companii de securitate Web3 din lume care s-a angajat în verificarea formală. Se concentrează pe afacerea ecologică completă „securitate + conformitate” și a stabilit filiale în mai mult de 10 țări și regiuni din întreaga lume Audituri și proiecte înainte ca proiectul să fie online. cerințe.