Анализ атак Криптоактивов и методов Отмывания денег группы хакеров Лазарус из Северной Кореи

Недавно конфиденциальный отчет ООН раскрыл последние действия северокорейской хакерской группы Lazarus Group. Сообщается, что после кражи средств из одной из криптоактивов бирж в прошлом году, в марте этого года организация отмыла 147,5 миллиона долларов через одну из виртуальных валютных платформ.

Наблюдатели Комитета по санкциям Совета Безопасности ООН расследуют 97 подозрительных сетевых атак северокорейских хакеров на криптоактивы компании, произошедших в период с 2017 по 2024 год, на общую сумму до 3,6 миллиарда долларов. В их числе - кража в 147,5 миллиона долларов, произошедшая в конце прошлого года на одной из криптовалютных бирж, средства которой затем прошли процесс отмывания денег в марте этого года.

Следует отметить, что одна платформа для обмена токенами была подвергнута санкциям США в 2022 году, а в следующем году двое ее соучредителей были обвинены в содействии отмыванию денег на сумму более 1 миллиарда долларов, включая средства, связанные с киберпреступной организацией Лазарус Групп из Северной Кореи.

Согласно исследованию криптоаналитиков, группа Lazarus с августа 2020 года по октябрь 2023 года конвертировала криптоактивы на сумму 200 миллионов долларов в фиатную валюту.

Группа Лазаря на протяжении долгого времени обвиняется в проведении массовых кибератак и финансовых преступлений. Их цели находятся по всему миру и охватывают такие сферы, как банковские системы, криптоактивы, государственные учреждения и частные компании.

Методы атак группы Lazarus

Социальная инженерия и фишинг-атаки

Группа Lazarus ранее нацеливалась на военно-промышленные и аэрокосмические компании в Европе и на Ближнем Востоке. Они размещали ложные вакансии на социальных платформах, чтобы обманом заставить соискателей скачать PDF-файлы с вредоносными программами, тем самым осуществляя фишинг-атаки. Этот метод не ограничивается конкретными отраслями и также использовался в атаках на провайдеров криптоактивов.

Многочисленные атаки на платформы криптоактивов

С августа по октябрь 2020 года несколько платформ криптоактивов подверглись атакам, включая одну канадскую биржу, один блокчейн-проект и другую платформу криптоактивов. Ущерб, причиненный этими атаками, варьировался от десятков тысяч долларов до миллионов долларов.

Атакующие через ряд сложных переводов и операций с токенами собирают украденные средства в конечный адрес. Затем они используют услуги смешивания токенов для отмывания средств и переводят очищенные средства на платформу для вывода.

Атака на высокопрофильные цели

В декабре 2020 года основатель одной из платформ взаимного страхования подвергся нападению Хакера, в результате чего были потеряны около 8,3 миллиона долларов. Нападающие осуществляли перевод и обмен средств через несколько адресов, используя технологии, такие как кросс-чейн и смешивание токенов, чтобы скрыть направление движения средств. В конечном итоге большая часть украденных средств была переведена на определенный адрес для вывода.

Последние случаи атак

В 2023 году два случая атак на проекты DeFi привлекли внимание. Хакеры переводили украденые эфиры в сервис смешивания, а затем через ряд адресов перемещали средства, в конечном итоге отправляя деньги на популярные платформы для вывода.

Модель отмывания денег группы Lazarus

Анализируя вышеуказанный случай, можно подвести итог типичной схемы отмывания денег Lazarus Group:

1. Смешивание средств: использование кросс-цепочных операций и услуг смешивания токенов для сокрытия источника средств.
2. Децентрализованный перевод: распределение средств через несколько промежуточных адресов.
3. Сбор средств: собрать отмытые средства по определенному адресу.
4. Финальный вывод: Обмен криптоактивов на фиатные деньги с использованием фиксированной платформы для вывода.

Этот сложный процесс отмывания денег делает отслеживание и возврат украденных активов крайне трудным.

С учетом продолжающихся массовых атак группы Lazarus, индустрия Web3 сталкивается с серьезными проблемами безопасности. Соответствующие организации продолжают следить за действиями этого хакерского объединения, надеясь эффективно бороться с подобными преступлениями и поддерживать безопасность экосистемы криптоактивов.