Аналіз кібернападів та відмивання грошей північнокорейської хакерської організації Lazarus Group
Нещодавно в одному з секретних звітів ООН було розкрито останні дії північнокорейської хакерської групи Lazarus Group. Організація вкрала кошти з однієї криптовалютної біржі минулого року, а в березні цього року відмила 147,5 мільйона доларів через одну з віртуальних валют.
Спостерігачі Комітету санкцій Ради Безпеки ООН розслідують 97 підозрілих кіберзлочинів, які здійснили північнокорейські хакери проти криптовалютних компаній у період з 2017 по 2024 рік, загальною сумою близько 3,6 мільярда доларів. Серед них - крадіжка в 147,5 мільйона доларів, що сталася в кінці минулого року в одній з криптовалютних бірж, які кошти потім були відмиті в березні цього року.
У 2022 році США наклали санкції на цю платформу віртуальної валюти. Наступного року двох співзасновників платформи було звинувачено в допомозі у відмиванні грошей на суму понад 1 мільярд доларів, при цьому йдеться про кіберактивність, пов'язану з північнокорейською злочинною організацією Lazarus Group.
Дослідження експерта з розслідування криптовалют показує, що група Lazarus відмила 200 мільйонів доларів США криптовалюти у фіатні гроші з серпня 2020 року по жовтень 2023 року.
Група Лазаря протягом тривалого часу звинувачується в проведенні масштабних кібернетичних атак та фінансових злочинів. Їхні цілі розташовані по всьому світу, від банківських систем до криптовалютних бірж, від державних установ до приватних підприємств. Нижче буде проаналізовано кілька типових випадків атак, які розкривають, як Група Лазаря успішно реалізує ці атаки за допомогою своїх складних стратегій та технологічних засобів.
Соціальна інженерія та фішингові атаки групи Lazarus
Lazarus раніше націлювався на військові та аерокосмічні компанії в Європі та на Близькому Сході, публікуючи фальшиві вакансії на соціальних платформах для обману працівників. Вони вимагали від кандидатів завантажити PDF-файли з шкідливими виконуваними файлами, щоб здійснити фішингову атаку.
Ці соціальні інженерії та фішингові атаки використовують психологічну маніпуляцію, щоб спонукати жертв знизити пильність і виконати операції, які загрожують безпеці, такі як натискання на посилання або завантаження файлів. Їхнє шкідливе програмне забезпечення може використовувати вразливості в системах жертв для викрадення чутливої інформації.
Лазарус використав схожі методи під час шестимісячної кампанії проти певного постачальника криптовалютних платежів, внаслідок чого компанія втратила 37 мільйонів доларів. Протягом усього процесу вони надсилали інженерам фальшиві вакансії, ініціювали технічні атаки, такі як розподілені атаки відмови в обслуговуванні, та намагалися ламати паролі методом підбору.
Багато випадків атак на криптовалютні біржі
Протягом серпня-жовтня 2020 року кілька криптовалютних бірж і проектів зазнали атак:
24 серпня 2020 року було вкрадено гаманець одного з криптовалютних обмінників Канади.
11 вересня 2020 року, через витік приватного ключа, один з проєктів привів до несанкціонованого переказу 400 000 доларів з кількох гаманців, які контролювала команда.
6 жовтня 2020 року, гарячий гаманець певної торгової платформи зазнав несанкціонованого переміщення через вразливість безпеки, внаслідок чого було втрачено криптоактиви вартістю 750000 доларів.
Ці атакувальні події фінансувалися в одному адресі на початку 2021 року. Потім зловмисники через певну службу змішування монет вклали велику кількість ETH і протягом кількох днів поступово їх зняли. До 2023 року ці кошти пройшли через кілька трансакцій та обмінів, врешті-решт зібравшись на інших адресах для виведення коштів з безпечних подій, і були надіслані на деякі адреси депозитів.
Основник платформи взаємодопомоги став жертвою хакерської атаки
14 грудня 2020 року особистий рахунок засновника одного з платформ взаємодопомоги був зламаний, внаслідок чого було вкрадено 370 тисяч токенів платформи, вартість яких становила приблизно 8,3 мільйона доларів.
Викрадені кошти переміщуються між кількома адресами та обмінюються на інші активи. Група Lazarus провела маніпуляції з коштами, такі як їх змішування, розподіл та накопичення через ці адреси. Частина коштів перетворюється на біткойн-мережу через кросчейн, а потім знову на мережу ефіріум, після чого проходить через платформи змішування, і нарешті надсилається на платформу для виведення.
З 16 по 20 грудня 2020 року адреса, що береться участь у справі, надіслала понад 2500 ETH до певного міксинг-сервісу. Через кілька годин інша пов'язана адреса почала операції з виведення.
Хакер через переміщення та обмін переніс частину коштів на адресу зняття коштів, пов'язану з попередніми подіями. З травня по липень 2021 року зловмисник перевів 11 мільйонів USDT на певну адресу депозиту. З лютого по червень 2023 року зловмисник через різні адреси надіслав загалом 11 мільйонів USDT на дві різні адреси депозиту.
Нові атаки 2023 року
У серпні 2023 року сталося два нових випадки атак:
Якийсь проект зазнав атаки, 624 монети ETH були вкрадені.
Інший проект зазнав атаки, 900 монет ETH були вкрадені.
В обох випадках вкрадені кошти були переведені до певного сервісу зміни валют. Після цього кошти були виведені на три різні адреси, а 12 жовтня зібрані на нову адресу. У листопаді 2023 року ця адреса почала переводити кошти, в кінцевому підсумку через проміжні операції та обмін, відправивши кошти на дві конкретні адреси для депозиту.
Підсумок
Група Lazarus після крадіжки криптоактивів переважно використовує крос-ланцюгові операції та послуги змішування для маскування коштів. Після маскування вони виводять вкрадені активи на цільову адресу та надсилають їх на певну групу адрес для виведення. Вкрадені криптоактиви зазвичай зберігаються на певній депозитній адресі, а потім обмінюються на фіатні гроші через позабіржові торгові послуги.
Стикаючись із постійними та масовими атаками групи Lazarus, індустрія Web3 стикається з серйозними викликами безпеки. Відповідні органи постійно слідкують за цією хакерською групою, відстежуючи її динаміку та способи відмивання грошей, щоб допомогти проектам, регуляторам та правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
23 лайків
Нагородити
23
8
Поділіться
Прокоментувати
0/400
MetaMaskVictim
· 07-29 07:26
За один день я зловив три монети, ці бандити.
Переглянути оригіналвідповісти на0
ChainBrain
· 07-28 23:32
Думай, це трохи лякає.
Переглянути оригіналвідповісти на0
BlockchainTalker
· 07-27 18:43
TBH Lazarus – це наступний рівень у соціальній інженерії fr
Переглянути оригіналвідповісти на0
OldLeekMaster
· 07-27 18:41
Ці гроші, ймовірно, знову підуть на військові витрати Північної Кореї.
Переглянути оригіналвідповісти на0
DeadTrades_Walking
· 07-27 18:40
Знову король рулеток з Північної Кореї
Переглянути оригіналвідповісти на0
WenAirdrop
· 07-27 18:28
Кожен день скоюється злочин, але ні разу не було затримано.
Розкриття методів атаки хакерської групи Lazarus: від соціальної інженерії до відмивання грошей криптоактивів
Аналіз кібернападів та відмивання грошей північнокорейської хакерської організації Lazarus Group
Нещодавно в одному з секретних звітів ООН було розкрито останні дії північнокорейської хакерської групи Lazarus Group. Організація вкрала кошти з однієї криптовалютної біржі минулого року, а в березні цього року відмила 147,5 мільйона доларів через одну з віртуальних валют.
Спостерігачі Комітету санкцій Ради Безпеки ООН розслідують 97 підозрілих кіберзлочинів, які здійснили північнокорейські хакери проти криптовалютних компаній у період з 2017 по 2024 рік, загальною сумою близько 3,6 мільярда доларів. Серед них - крадіжка в 147,5 мільйона доларів, що сталася в кінці минулого року в одній з криптовалютних бірж, які кошти потім були відмиті в березні цього року.
У 2022 році США наклали санкції на цю платформу віртуальної валюти. Наступного року двох співзасновників платформи було звинувачено в допомозі у відмиванні грошей на суму понад 1 мільярд доларів, при цьому йдеться про кіберактивність, пов'язану з північнокорейською злочинною організацією Lazarus Group.
Дослідження експерта з розслідування криптовалют показує, що група Lazarus відмила 200 мільйонів доларів США криптовалюти у фіатні гроші з серпня 2020 року по жовтень 2023 року.
Група Лазаря протягом тривалого часу звинувачується в проведенні масштабних кібернетичних атак та фінансових злочинів. Їхні цілі розташовані по всьому світу, від банківських систем до криптовалютних бірж, від державних установ до приватних підприємств. Нижче буде проаналізовано кілька типових випадків атак, які розкривають, як Група Лазаря успішно реалізує ці атаки за допомогою своїх складних стратегій та технологічних засобів.
Соціальна інженерія та фішингові атаки групи Lazarus
Lazarus раніше націлювався на військові та аерокосмічні компанії в Європі та на Близькому Сході, публікуючи фальшиві вакансії на соціальних платформах для обману працівників. Вони вимагали від кандидатів завантажити PDF-файли з шкідливими виконуваними файлами, щоб здійснити фішингову атаку.
Ці соціальні інженерії та фішингові атаки використовують психологічну маніпуляцію, щоб спонукати жертв знизити пильність і виконати операції, які загрожують безпеці, такі як натискання на посилання або завантаження файлів. Їхнє шкідливе програмне забезпечення може використовувати вразливості в системах жертв для викрадення чутливої інформації.
Лазарус використав схожі методи під час шестимісячної кампанії проти певного постачальника криптовалютних платежів, внаслідок чого компанія втратила 37 мільйонів доларів. Протягом усього процесу вони надсилали інженерам фальшиві вакансії, ініціювали технічні атаки, такі як розподілені атаки відмови в обслуговуванні, та намагалися ламати паролі методом підбору.
Багато випадків атак на криптовалютні біржі
Протягом серпня-жовтня 2020 року кілька криптовалютних бірж і проектів зазнали атак:
Ці атакувальні події фінансувалися в одному адресі на початку 2021 року. Потім зловмисники через певну службу змішування монет вклали велику кількість ETH і протягом кількох днів поступово їх зняли. До 2023 року ці кошти пройшли через кілька трансакцій та обмінів, врешті-решт зібравшись на інших адресах для виведення коштів з безпечних подій, і були надіслані на деякі адреси депозитів.
Основник платформи взаємодопомоги став жертвою хакерської атаки
14 грудня 2020 року особистий рахунок засновника одного з платформ взаємодопомоги був зламаний, внаслідок чого було вкрадено 370 тисяч токенів платформи, вартість яких становила приблизно 8,3 мільйона доларів.
Викрадені кошти переміщуються між кількома адресами та обмінюються на інші активи. Група Lazarus провела маніпуляції з коштами, такі як їх змішування, розподіл та накопичення через ці адреси. Частина коштів перетворюється на біткойн-мережу через кросчейн, а потім знову на мережу ефіріум, після чого проходить через платформи змішування, і нарешті надсилається на платформу для виведення.
З 16 по 20 грудня 2020 року адреса, що береться участь у справі, надіслала понад 2500 ETH до певного міксинг-сервісу. Через кілька годин інша пов'язана адреса почала операції з виведення.
Хакер через переміщення та обмін переніс частину коштів на адресу зняття коштів, пов'язану з попередніми подіями. З травня по липень 2021 року зловмисник перевів 11 мільйонів USDT на певну адресу депозиту. З лютого по червень 2023 року зловмисник через різні адреси надіслав загалом 11 мільйонів USDT на дві різні адреси депозиту.
Нові атаки 2023 року
У серпні 2023 року сталося два нових випадки атак:
В обох випадках вкрадені кошти були переведені до певного сервісу зміни валют. Після цього кошти були виведені на три різні адреси, а 12 жовтня зібрані на нову адресу. У листопаді 2023 року ця адреса почала переводити кошти, в кінцевому підсумку через проміжні операції та обмін, відправивши кошти на дві конкретні адреси для депозиту.
Підсумок
Група Lazarus після крадіжки криптоактивів переважно використовує крос-ланцюгові операції та послуги змішування для маскування коштів. Після маскування вони виводять вкрадені активи на цільову адресу та надсилають їх на певну групу адрес для виведення. Вкрадені криптоактиви зазвичай зберігаються на певній депозитній адресі, а потім обмінюються на фіатні гроші через позабіржові торгові послуги.
Стикаючись із постійними та масовими атаками групи Lazarus, індустрія Web3 стикається з серйозними викликами безпеки. Відповідні органи постійно слідкують за цією хакерською групою, відстежуючи її динаміку та способи відмивання грошей, щоб допомогти проектам, регуляторам та правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.