Нещодавно спільний внутрішній звіт розкрив останні активності північнокорейської хакерської групи Lazarus Group. Відомо, що ця організація після крадіжки коштів з біржі цифрових активів минулого року у березні цього року використала певну платформу віртуальних грошей для відмивання 147,5 мільйона доларів.
Спостерігачі Комітету санкцій Ради Безпеки ООН розслідують 97 підозрілих кібератак північнокорейських Хакерів на компанії з Віртуальних грошей, що відбулися з 2017 по 2024 рік, з загальною сумою до 3,6 мільярда доларів. Серед них - атака на одну з бірж Віртуальних грошей в кінці минулого року, яка призвела до збитків у розмірі 147,5 мільйона доларів, а потім у березні цього року було завершено процес відмивання грошей.
У 2022 році США запровадили санкції проти цієї платформи віртуальних грошей. У наступному році двох співзасновників платформи звинуватили в допомозі у відмиванні понад 1 мільярда доларів, включаючи угоди з кіберзлочинною організацією Lazarus Group, пов'язаною з Північною Кореєю.
Згідно з дослідженням експертів з цифрових грошей, група Lazarus перетворила криптовалюту на законні гроші на суму 200 мільйонів доларів з серпня 2020 року по жовтень 2023 року.
Група Лазаря протягом тривалого часу вважається одним із основних виконавців масових кібератак і фінансових злочинів у світі. Їхні цілі охоплюють різні сфери, зокрема банківські системи, біржі віртуальних грошей, державні установи та приватні підприємства. Нижче буде здійснено глибокий аналіз того, як Група Лазаря використовує свої складні стратегії та технологічні засоби для успішної реалізації цих вражаючих атак на кількох типових прикладах.
Соціальна інженерія та фішингові атаки групи Lazarus
Згідно з європейськими ЗМІ, Lazarus раніше націлювався на військові та аерокосмічні компанії в Європі та на Близькому Сході. Вони публікували фальшиві вакансії на соціальних платформах, спокушаючи співробітників завантажувати PDF-документи з шкідливими виконуваними файлами, що призводило до фішингових атак.
Ці соціальні інженерії та фішингові атаки спрямовані на використання психологічної маніпуляції, щоб спонукати жертв знизити пильність, виконуючи небезпечні дії, такі як натискання на посилання або завантаження файлів, що ставить під загрозу безпеку системи.
Їхнє шкідливе програмне забезпечення може атакувати вразливості в системах жертв, крадучи чутливу інформацію.
Протягом шестимісячної атаки на одного з постачальників платіжних послуг для криптовалют Lazarus використовував подібні методи. Вони надсилали інженерам фальшиві вакансії, одночасно здійснюючи технічні атаки, такі як розподілене відмовлення в обслуговуванні, та намагалися зламати паролі, що в підсумку призвело до втрати 37 мільйонів доларів.
Багато випадків атак на біржі віртуальних грошей
24 серпня 2020 року гаманець одного з канадських криптовалютних бірж зазнав зламу.
11 вересня 2020 року, унаслідок витоку приватного ключа, у кількох гаманцях, контрольованих командою одного проєкту, сталося несанкціоноване переказування 400 тисяч доларів.
6 жовтня 2020 року, одна з криптовалютних бірж через вразливість безпеки несанкціоновано перенесла в гарячому гаманці цифрові активи на суму 750000 доларів.
Ці атакуючі події кошти на початку 2021 року зібралися на одну й ту ж адресу. Після цього, зловмисники через численні перекази та обміни відправили вкрадені кошти до деяких адрес для виведення.
Засновник певної платформи взаємодопомоги зазнав атаки Хакера
14 грудня 2020 року особистий рахунок засновника певної платформи взаємодопомоги був зламаний, і з нього вкрали 370000 NXM (приблизно 8300000 доларів США).
Викрадені кошти переміщуються між кількома адресами та обмінюються на інші активи. Група Lazarus здійснювала маніпуляції з розмішенням, розподілом та збором коштів через ці адреси. Частина коштів пройшла через кросчейн до мережі біткойнів, потім повернулася назад до мережі ефірів, після чого через платформу змішування відбулася їх заміна, а в кінці вони були надіслані на платформу для виведення.
З 16 по 20 грудня 2020 року одна з адрес, що підлягають розслідуванню, надіслала понад 2500ETH на певну платформу для змішування монет. Через кілька годин інша пов'язана адреса почала операції з виведення.
Хакер через численні перекази та обміни перемістив частину коштів на адресу збору виведення, що використовувалася в попередній події.
У період з травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на адресу депозиту певної біржі.
З лютого по березень та з квітня по червень 2023 року зловмисники через проміжні адреси відправили 2,77 мільйона USDT та 8,4 мільйона USDT на різні адреси депозитів для виведення.
Останній аналіз атак
У серпні 2023 року внаслідок двох різних атак Хакерів було викрадено 624 монети та 900 монет ETH, які були переведені на певну платформу для змішування монет.
Після перенесення ETH на платформу змішування монет, кошти відразу були вилучені на кілька нових адрес. 12 жовтня 2023 року кошти з цих адрес були знову сконцентровані та перенесені на нову адресу.
У листопаді 2023 року ця адреса почала переміщати кошти, врешті-решт через проміжні та обмінні операції, кошти були відправлені на кілька депозитних адрес платформ для виведення.
Підсумок
Група Лазаря після крадіжки криптоактивів переважно використовує крос-ланцюгові операції та міксери для маскування коштів. Після маскування вони виводять вкрадені активи на цільову адресу та надсилають на певні фіксовані адреси для проведення операцій виведення. Вкрадені криптоактиви зазвичай зберігаються на спеціальних адресах депозитів для виведення на платформі, а потім через послуги позабіржової торгівлі обмінюються на фіатні гроші.
Перед обличчям тривалих і масових атак групи Lazarus, індустрія Web3 стикається з серйозними викликами в області безпеки. Сторони в індустрії повинні посилити співпрацю та постійно підвищувати рівень безпеки, щоб протистояти таким складним кіберзлочинам.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
24 лайків
Нагородити
24
7
Поділіться
Прокоментувати
0/400
LiquidatorFlash
· 16год тому
Уразливість безпеки стане летальною протягом 15 секунд, показники кризи вже перевищують поріг.
Переглянути оригіналвідповісти на0
MetaDreamer
· 23год тому
Не маленька сума, виграв багато!
Переглянути оригіналвідповісти на0
UncleLiquidation
· 07-29 17:15
Навіть монети крадуть... справжня майстерність.
Переглянути оригіналвідповісти на0
MetaverseVagabond
· 07-29 01:40
Технології занадто потужні, каналів занадто багато
Переглянути оригіналвідповісти на0
DeFiCaffeinator
· 07-29 01:40
Американці також не знають, що робити.
Переглянути оригіналвідповісти на0
MoneyBurnerSociety
· 07-29 01:30
Значно менше, ніж я втрачав на ліквідації контрактів...
Звіт ООН викриває групу Lazarus у відмиванні грошей 147,5 мільйона доларів у 2023 році
Нещодавно спільний внутрішній звіт розкрив останні активності північнокорейської хакерської групи Lazarus Group. Відомо, що ця організація після крадіжки коштів з біржі цифрових активів минулого року у березні цього року використала певну платформу віртуальних грошей для відмивання 147,5 мільйона доларів.
Спостерігачі Комітету санкцій Ради Безпеки ООН розслідують 97 підозрілих кібератак північнокорейських Хакерів на компанії з Віртуальних грошей, що відбулися з 2017 по 2024 рік, з загальною сумою до 3,6 мільярда доларів. Серед них - атака на одну з бірж Віртуальних грошей в кінці минулого року, яка призвела до збитків у розмірі 147,5 мільйона доларів, а потім у березні цього року було завершено процес відмивання грошей.
У 2022 році США запровадили санкції проти цієї платформи віртуальних грошей. У наступному році двох співзасновників платформи звинуватили в допомозі у відмиванні понад 1 мільярда доларів, включаючи угоди з кіберзлочинною організацією Lazarus Group, пов'язаною з Північною Кореєю.
Згідно з дослідженням експертів з цифрових грошей, група Lazarus перетворила криптовалюту на законні гроші на суму 200 мільйонів доларів з серпня 2020 року по жовтень 2023 року.
Група Лазаря протягом тривалого часу вважається одним із основних виконавців масових кібератак і фінансових злочинів у світі. Їхні цілі охоплюють різні сфери, зокрема банківські системи, біржі віртуальних грошей, державні установи та приватні підприємства. Нижче буде здійснено глибокий аналіз того, як Група Лазаря використовує свої складні стратегії та технологічні засоби для успішної реалізації цих вражаючих атак на кількох типових прикладах.
Соціальна інженерія та фішингові атаки групи Lazarus
Згідно з європейськими ЗМІ, Lazarus раніше націлювався на військові та аерокосмічні компанії в Європі та на Близькому Сході. Вони публікували фальшиві вакансії на соціальних платформах, спокушаючи співробітників завантажувати PDF-документи з шкідливими виконуваними файлами, що призводило до фішингових атак.
Ці соціальні інженерії та фішингові атаки спрямовані на використання психологічної маніпуляції, щоб спонукати жертв знизити пильність, виконуючи небезпечні дії, такі як натискання на посилання або завантаження файлів, що ставить під загрозу безпеку системи.
Їхнє шкідливе програмне забезпечення може атакувати вразливості в системах жертв, крадучи чутливу інформацію.
Протягом шестимісячної атаки на одного з постачальників платіжних послуг для криптовалют Lazarus використовував подібні методи. Вони надсилали інженерам фальшиві вакансії, одночасно здійснюючи технічні атаки, такі як розподілене відмовлення в обслуговуванні, та намагалися зламати паролі, що в підсумку призвело до втрати 37 мільйонів доларів.
Багато випадків атак на біржі віртуальних грошей
24 серпня 2020 року гаманець одного з канадських криптовалютних бірж зазнав зламу.
11 вересня 2020 року, унаслідок витоку приватного ключа, у кількох гаманцях, контрольованих командою одного проєкту, сталося несанкціоноване переказування 400 тисяч доларів.
6 жовтня 2020 року, одна з криптовалютних бірж через вразливість безпеки несанкціоновано перенесла в гарячому гаманці цифрові активи на суму 750000 доларів.
Ці атакуючі події кошти на початку 2021 року зібралися на одну й ту ж адресу. Після цього, зловмисники через численні перекази та обміни відправили вкрадені кошти до деяких адрес для виведення.
Засновник певної платформи взаємодопомоги зазнав атаки Хакера
14 грудня 2020 року особистий рахунок засновника певної платформи взаємодопомоги був зламаний, і з нього вкрали 370000 NXM (приблизно 8300000 доларів США).
Викрадені кошти переміщуються між кількома адресами та обмінюються на інші активи. Група Lazarus здійснювала маніпуляції з розмішенням, розподілом та збором коштів через ці адреси. Частина коштів пройшла через кросчейн до мережі біткойнів, потім повернулася назад до мережі ефірів, після чого через платформу змішування відбулася їх заміна, а в кінці вони були надіслані на платформу для виведення.
З 16 по 20 грудня 2020 року одна з адрес, що підлягають розслідуванню, надіслала понад 2500ETH на певну платформу для змішування монет. Через кілька годин інша пов'язана адреса почала операції з виведення.
Хакер через численні перекази та обміни перемістив частину коштів на адресу збору виведення, що використовувалася в попередній події.
У період з травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на адресу депозиту певної біржі.
З лютого по березень та з квітня по червень 2023 року зловмисники через проміжні адреси відправили 2,77 мільйона USDT та 8,4 мільйона USDT на різні адреси депозитів для виведення.
Останній аналіз атак
У серпні 2023 року внаслідок двох різних атак Хакерів було викрадено 624 монети та 900 монет ETH, які були переведені на певну платформу для змішування монет.
Після перенесення ETH на платформу змішування монет, кошти відразу були вилучені на кілька нових адрес. 12 жовтня 2023 року кошти з цих адрес були знову сконцентровані та перенесені на нову адресу.
У листопаді 2023 року ця адреса почала переміщати кошти, врешті-решт через проміжні та обмінні операції, кошти були відправлені на кілька депозитних адрес платформ для виведення.
Підсумок
Група Лазаря після крадіжки криптоактивів переважно використовує крос-ланцюгові операції та міксери для маскування коштів. Після маскування вони виводять вкрадені активи на цільову адресу та надсилають на певні фіксовані адреси для проведення операцій виведення. Вкрадені криптоактиви зазвичай зберігаються на спеціальних адресах депозитів для виведення на платформі, а потім через послуги позабіржової торгівлі обмінюються на фіатні гроші.
Перед обличчям тривалих і масових атак групи Lazarus, індустрія Web3 стикається з серйозними викликами в області безпеки. Сторони в індустрії повинні посилити співпрацю та постійно підвищувати рівень безпеки, щоб протистояти таким складним кіберзлочинам.