Північнокорейська хакерська група Lazarus Group: шифрування активів за лаштунками
Нещодавно у секретному звіті ООН були виявлені шокуючі факти: північнокорейська хакерська група Lazarus Group у березні цього року відмила 1,475 мільярда доларів через певну платформу для криптоактивів, ці кошти походять з крадіжки, що сталася минулого року на одному з криптоактивних обмінників.
Спостерігачі Комітету санкцій Ради Безпеки ООН розслідують 97 підозрілих кібератак північнокорейських хакерів на компанії з криптоактивів, що сталися з 2017 по 2024 рік, загальна вартість яких становить близько 3,6 мільярда доларів. Серед них є атака на одну крипто-біржу наприкінці минулого року, внаслідок якої було завдано збитків на 147,5 мільйона доларів, а відмивання грошей було завершено в березні цього року.
Варто зазначити, що уряд США у 2022 році запровадив санкції проти цієї віртуальної валютної платформи. Наступного року двох співзасновників цієї платформи звинуватили в допомозі у відмиванні понад 1 мільярда доларів, що пов'язано з кіберзлочинним угрупованням Lazarus Group, яке має зв'язки з Північною Кореєю.
Один із експертів з розслідувань у сфері криптоактивів виявив, що група Lazarus з серпня 2020 року по жовтень 2023 року відмила криптоактиви на суму 200 мільйонів доларів у законну валюту.
Група Lazarus протягом тривалого часу вважається одним із основних виконавців масових кібератак і фінансових злочинів у глобальному масштабі. Їхні цілі охоплюють широкий спектр, від банківських систем до криптоактивів, від державних установ до приватних компаній. Далі ми детально проаналізуємо кілька типових випадків, щоб виявити, як Група Lazarus успішно реалізує ці вражаючі атаки за допомогою своїх складних стратегій і технічних засобів.
Соціальна інженерія та фішингові атаки групи Lazarus
Група Lazarus раніше націлювалася на військові та аерокосмічні компанії в Європі та на Близькому Сході. Вони розміщували фальшиві вакансії на соціальних платформах, щоб спокусити шукачів роботи завантажити PDF-файли з вбудованим шкідливим кодом, що призвело до фішингових атак.
Ця соціальна інженерія та фішинг-атаки базуються на використанні психологічної маніпуляції, щоб змусити жертв знизити пильність, виконувати небезпечні дії, такі як натискання на посилання або завантаження файлів, що ставить під загрозу безпеку системи.
Їхнє шкідливе програмне забезпечення здатне атакувати вразливості в системах жертв, викрадаючи чутливу інформацію.
У ході шестимісячної операції проти певного постачальника послуг оплати криптоактивами група Lazarus використовувала подібні методи. Вони надсилали інженерам фальшиві вакансії, одночасно здійснюючи технічні атаки, такі як розподілене відмовлення в обслуговуванні, та намагалися зламати паролі, що в підсумку призвело до втрат постачальника в 37 мільйонів доларів.
Аналіз численних атак на криптоактиви
24 серпня 2020 року гаманець криптоактивів в канадській біржі був зламаний.
11 вересня 2020 року, через витік приватного ключа, у кількох гаманцях, що контролювались командою, сталося несанкціоноване переказування 400 тисяч доларів.
6 жовтня 2020 року одна криптоактиви біржа через безпекову вразливість несанкціоновано перевела 75 тисяч доларів США вартості криптоактивів зі свого гарячого гаманця.
Ці атаки були зібрані на одну адресу на початку 2021 року. Потім зловмисники через численні трансакції та обміни врешті-решт надіслали вкрадені кошти на певну депозитну адресу.
Точні атаки на високоінформовані цілі
14 грудня 2020 року засновник одного з протоколів взаємодопомоги зазнав хакерської атаки, в результаті якої було втрачено токени на суму 8,3 мільйона доларів.
Атакувальники здійснюють переміщення та обмін коштів через низку адрес, включаючи кросчейн-операції, змішування монет та децентралізовану обробку. Частина коштів була переведена в мережу біткоїн, а потім знову кроснувши в мережу ефіріум, після чого оброблялася через платформу змішування монет, і нарешті була відправлена на платформу для виведення.
З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на адресу депозиту певної торгової платформи.
З лютого по червень 2023 року зловмисники через проміжні адреси надіслали загалом 1117 тисяч USDT на дві різні адреси депозиту.
Відстеження недавніх атак
У серпні 2023 року внаслідок двох атак на DeFi проекти було викрадено 1524 монети ETH, які були переведені до певного міксера.
Потім ці кошти були виведені на кілька конкретних адрес і 12 жовтня 2023 року зосереджені на новій адресі.
У листопаді 2023 року ці кошти почали переноситися, і в кінцевому підсумку через проміжні та обмінні операції були надіслані на певну адресу депозиту.
Підсумок
Методи злочинної діяльності групи Lazarus демонструють очевидну схему: після викрадення криптоактивів вони зазвичай використовують крос-ланцюгові операції та сервіси змішування монет для затемнення джерела коштів. Затемнені кошти виводяться на певні адреси, а потім через фіксовані канали проводиться їх виведення. Викрадені активи в основному зберігаються на певних адресах депозиту, після чого конвертуються в фіатні гроші через позабіржові торгові послуги.
Перед обличчям безперервних і масових атак групи Lazarus, індустрія Web3 стикається з серйозними викликами безпеки. Відповідні установи продовжують слідкувати за діяльністю цього хакера та проводити глибоке дослідження його методів відмивання грошей, щоб допомогти проектам, регуляторам і правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
4
Репост
Поділіться
Прокоментувати
0/400
HorizonHunter
· 18год тому
Знову були обдерті Північною Кореєю Кліпові купони.
Переглянути оригіналвідповісти на0
LootboxPhobia
· 18год тому
36 мільярдів Це дійсно гладко
Переглянути оригіналвідповісти на0
CoffeeNFTs
· 18год тому
Північна Корея також грає в криптосвіт, жорсткі люди.
Lazarus Group: Хакер атака на Криптоактиви на суму 36 мільярдів доларів.
Північнокорейська хакерська група Lazarus Group: шифрування активів за лаштунками
Нещодавно у секретному звіті ООН були виявлені шокуючі факти: північнокорейська хакерська група Lazarus Group у березні цього року відмила 1,475 мільярда доларів через певну платформу для криптоактивів, ці кошти походять з крадіжки, що сталася минулого року на одному з криптоактивних обмінників.
Спостерігачі Комітету санкцій Ради Безпеки ООН розслідують 97 підозрілих кібератак північнокорейських хакерів на компанії з криптоактивів, що сталися з 2017 по 2024 рік, загальна вартість яких становить близько 3,6 мільярда доларів. Серед них є атака на одну крипто-біржу наприкінці минулого року, внаслідок якої було завдано збитків на 147,5 мільйона доларів, а відмивання грошей було завершено в березні цього року.
Варто зазначити, що уряд США у 2022 році запровадив санкції проти цієї віртуальної валютної платформи. Наступного року двох співзасновників цієї платформи звинуватили в допомозі у відмиванні понад 1 мільярда доларів, що пов'язано з кіберзлочинним угрупованням Lazarus Group, яке має зв'язки з Північною Кореєю.
Один із експертів з розслідувань у сфері криптоактивів виявив, що група Lazarus з серпня 2020 року по жовтень 2023 року відмила криптоактиви на суму 200 мільйонів доларів у законну валюту.
Група Lazarus протягом тривалого часу вважається одним із основних виконавців масових кібератак і фінансових злочинів у глобальному масштабі. Їхні цілі охоплюють широкий спектр, від банківських систем до криптоактивів, від державних установ до приватних компаній. Далі ми детально проаналізуємо кілька типових випадків, щоб виявити, як Група Lazarus успішно реалізує ці вражаючі атаки за допомогою своїх складних стратегій і технічних засобів.
Соціальна інженерія та фішингові атаки групи Lazarus
Група Lazarus раніше націлювалася на військові та аерокосмічні компанії в Європі та на Близькому Сході. Вони розміщували фальшиві вакансії на соціальних платформах, щоб спокусити шукачів роботи завантажити PDF-файли з вбудованим шкідливим кодом, що призвело до фішингових атак.
Ця соціальна інженерія та фішинг-атаки базуються на використанні психологічної маніпуляції, щоб змусити жертв знизити пильність, виконувати небезпечні дії, такі як натискання на посилання або завантаження файлів, що ставить під загрозу безпеку системи.
Їхнє шкідливе програмне забезпечення здатне атакувати вразливості в системах жертв, викрадаючи чутливу інформацію.
У ході шестимісячної операції проти певного постачальника послуг оплати криптоактивами група Lazarus використовувала подібні методи. Вони надсилали інженерам фальшиві вакансії, одночасно здійснюючи технічні атаки, такі як розподілене відмовлення в обслуговуванні, та намагалися зламати паролі, що в підсумку призвело до втрат постачальника в 37 мільйонів доларів.
Аналіз численних атак на криптоактиви
24 серпня 2020 року гаманець криптоактивів в канадській біржі був зламаний.
11 вересня 2020 року, через витік приватного ключа, у кількох гаманцях, що контролювались командою, сталося несанкціоноване переказування 400 тисяч доларів.
6 жовтня 2020 року одна криптоактиви біржа через безпекову вразливість несанкціоновано перевела 75 тисяч доларів США вартості криптоактивів зі свого гарячого гаманця.
Ці атаки були зібрані на одну адресу на початку 2021 року. Потім зловмисники через численні трансакції та обміни врешті-решт надіслали вкрадені кошти на певну депозитну адресу.
Точні атаки на високоінформовані цілі
14 грудня 2020 року засновник одного з протоколів взаємодопомоги зазнав хакерської атаки, в результаті якої було втрачено токени на суму 8,3 мільйона доларів.
Атакувальники здійснюють переміщення та обмін коштів через низку адрес, включаючи кросчейн-операції, змішування монет та децентралізовану обробку. Частина коштів була переведена в мережу біткоїн, а потім знову кроснувши в мережу ефіріум, після чого оброблялася через платформу змішування монет, і нарешті була відправлена на платформу для виведення.
З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на адресу депозиту певної торгової платформи.
З лютого по червень 2023 року зловмисники через проміжні адреси надіслали загалом 1117 тисяч USDT на дві різні адреси депозиту.
Відстеження недавніх атак
У серпні 2023 року внаслідок двох атак на DeFi проекти було викрадено 1524 монети ETH, які були переведені до певного міксера.
Потім ці кошти були виведені на кілька конкретних адрес і 12 жовтня 2023 року зосереджені на новій адресі.
У листопаді 2023 року ці кошти почали переноситися, і в кінцевому підсумку через проміжні та обмінні операції були надіслані на певну адресу депозиту.
Підсумок
Методи злочинної діяльності групи Lazarus демонструють очевидну схему: після викрадення криптоактивів вони зазвичай використовують крос-ланцюгові операції та сервіси змішування монет для затемнення джерела коштів. Затемнені кошти виводяться на певні адреси, а потім через фіксовані канали проводиться їх виведення. Викрадені активи в основному зберігаються на певних адресах депозиту, після чого конвертуються в фіатні гроші через позабіржові торгові послуги.
Перед обличчям безперервних і масових атак групи Lazarus, індустрія Web3 стикається з серйозними викликами безпеки. Відповідні установи продовжують слідкувати за діяльністю цього хакера та проводити глибоке дослідження його методів відмивання грошей, щоб допомогти проектам, регуляторам і правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.