Анализ деятельности северокорейской хакерской группы Lazarus Group и методов их отмывания денег

Секретный отчет ООН раскрывает, что в прошлом году криптовалютная биржа подверглась атаке группы Lazarus, в результате чего было похищено около 147,5 миллионов долларов. В марте этого года эти средства прошли процесс Отмывание денег через одну из виртуальных валютных платформ.

Наблюдатели Комитета санкций Совета Безопасности ООН расследуют 97 подозрительных случаев сетевых атак северокорейских Хакеров на криптовалютные компании, произошедших в период с 2017 по 2024 год, с общей суммой ущерба до 3,6 миллиарда долларов. Среди них - кража в 147,5 миллиона долларов, произошедшая в конце прошлого года в одной из криптовалютных бирж, процесс Отмывания денег по этому делу был завершен в марте этого года.

В 2022 году США ввели санкции против одной криптовалютной платформы. В следующем году два соучредителя этой платформы были обвинены в содействии отмыванию денег на сумму более 1 миллиарда долларов, в том числе в связи с киберпреступной группировкой Lazarus Group, связанной с Северной Кореей.

Исследование, проведенное одним из криптовалютных аналитиков, показало, что группа Lazarus отмыла 200 миллионов долларов США в криптовалюте в фиатные деньги в период с августа 2020 года по октябрь 2023 года.

Группа Лазаря на протяжении долгого времени обвиняется в проведении масштабных кибератак и финансовых преступлений. Их цели разнообразны, включая банковские системы, криптовалютные биржи, государственные учреждения и частные компании.

Социальная инженерия и фишинг-атаки группы Lazarus

Европейские СМИ сообщают, что Lazarus нацеливался на военные и аэрокосмические компании в Европе и на Ближнем Востоке, обманывая сотрудников через размещение ложных вакансий в социальных сетях. Они требовали от соискателей скачать PDF-документ, содержащий исполняемый файл, что привело к фишинговой атаке.

Эти социальные инженерные и фишинговые атаки пытаются использовать психологические манипуляции, чтобы заставить жертв расслабиться и выполнить опасные действия, такие как переход по ссылкам или загрузка файлов. Их вредоносное ПО может нацеливаться на уязвимости в системе жертвы и красть конфиденциальную информацию.

Лазарус также использовал аналогичные методы для шестимесячной атаки на одного провайдера криптовалютных платежей, в результате чего компания понесла убытки в размере 37 миллионов долларов. На протяжении всей атаки они отправляли инженерам поддельные предложения о работе, инициировали атаки типа «отказ в обслуживании» и пытались взломать пароли методом грубой силы.

Множество атак на криптовалютные биржи

С августа по октябрь 2020 года несколько криптовалютных бирж и проектов подверглись атакам:

• 24 августа у одного из криптовалютных обменников Канады был украден кошелек.
• 11 сентября, в одном из проектов произошел несанкционированный перевод 400 тысяч долларов из нескольких кошельков, контролируемых командой, из-за утечки приватного ключа.
• 6 октября на другой бирже из-за уязвимости безопасности были украдены криптоактивы на сумму 750000 долларов США из горячего кошелька.

Эти украденные средства были многократно переведены и замаскированы, в конечном итоге собравшись на некоторых конкретных адресах. Атакующие отправили средства на некоторые адреса для депозита, совершая несколько переводов и обменов.

Основатель платформы взаимного страхования подвергся атаке Хакера

14 декабря 2020 года основатель одной из платформ взаимного страхования стал жертвой Хакера, потеряв 370 000 токенов платформы на сумму около 8 300 000 долларов.

Кража средств происходит путем их перевода между несколькими адресами и обмена на другие активы. Группа Lazarus проводила операции по смешиванию, распределению и сбору средств через эти адреса. Часть средств была перенесена через кросс-цепочку в сеть биткойн, затем обратно в сеть эфириум, после чего через платформу для смешивания происходило смешивание, и в конце концов средства отправлялись на платформу для вывода.

С 16 по 20 декабря 2020 года адрес Хакера отправил более 2500 ETH на одну из платформ для смешивания. Через несколько часов другой связанный адрес начал операции по выводу средств.

С мая по июль 2021 года злоумышленники перевели 11 миллионов USDT на адрес депозита одной из торговых площадок.

С февраля по июнь 2023 года злоумышленники отправили более 11 миллионов USDT на различные адреса депозитов через несколько адресов.

Недавние инциденты атак

В августе 2023 года украденные ETH в результате двух атак (по 624 и 900 монет соответственно) были переведены на одну из платформ для обмена. Затем эти средства были выведены на несколько определенных адресов.

12 октября 2023 года средства с этих адресов были сосредоточены на одном новом адресе. К ноябрю этот адрес начал переводить средства, в конечном итоге отправляя их на некоторые депозитные адреса через промежуточные переводы и обмен.

Резюме

Группа Лазаря после кражи криптоактивов в основном использует кросс-цепочные операции и миксеры для сокрытия источников средств. После сокрытия они выводят украденные активы на целевой адрес и отправляют на фиксированный пул адресов для снятия. Украденные криптоактивы обычно хранятся на определенном депозитном адресе, а затем обмениваются на фиатные деньги через услуги внебиржевой торговли.

Столкнувшись с постоянными и масштабными атаками группы Lazarus, индустрия Web3 сталкивается с серьезными проблемами безопасности. Соответствующие учреждения продолжают следить за этой Хакерской группой и будут дальше отслеживать их деятельность и Отмывание денег, чтобы помочь проектам, регулирующим и правоохранительным органам бороться с такими преступлениями и вернуть украденные активы.