Аналіз атак на Криптоактиви та методів Відмивання грошей північнокорейської хакерської організації Lazarus Group

Нещодавно вийшов у світ секретний звіт ООН, в якому розкрито останні дії північнокорейського хакерського угруповання Lazarus Group. Відомо, що організація минулого року вкрала кошти з однієї криптовалютної біржі, а в березні цього року відмила 1,475 мільярда доларів через одну з віртуальних валютних платформ.

Спостерігачі Комітету санкцій Ради Безпеки ООН розслідують 97 підозрілих кібератак хакерів з Північної Кореї на криптоактиви компанії, які сталися з 2017 по 2024 роки, на загальну суму до 3,6 мільярда доларів. Серед них випадок крадіжки 147,5 мільйона доларів, що стався в кінці минулого року в одному з криптовалютних обмінників, які згодом завершили процес відмивання грошей у березні цього року.

Варто зазначити, що одна з платформ для змішування монет була санкціонована США у 2022 році, а наступного року її двох співзасновників звинуватили в допомозі у відмиванні грошей на суму понад 1 мільярд доларів, включаючи фінансування, пов'язане з кіберзлочинним угрупованням Lazarus Group з Північної Кореї.

Згідно з дослідженням аналітиків криптоактивів, група Lazarus з серпня 2020 року по жовтень 2023 року конвертувала криптоактиви на суму 200 мільйонів доларів у фіатну валюту.

Група Лазаря протягом тривалого часу звинувачується в проведенні масових кібератак та фінансових злочинів. Їхніми цілями є банки, криптоактиви, урядові установи та приватні підприємства по всьому світу.

Методи атаки групи Lazarus

Соціальна інженерія та фішингові атаки

Група Лазаря раніше націлювалася на військові та аерокосмічні компанії в Європі та на Близькому Сході. Вони розміщували фальшиві оголошення про роботу на соціальних платформах, спокушаючи шукачів роботи завантажувати PDF-файли з шкідливими програмами, щоб здійснити фішинг-атаки. Цей метод не обмежується певними галузями, подібні прийоми також використовувалися в атаках на постачальників криптоактивів.

Багато випадків атак на платформи криптоактивів

У період з серпня по жовтень 2020 року кілька платформ криптоактивів зазнали атак, включаючи одну канадську біржу, один блокчейн-проєкт та ще одну платформу для криптоактивів. Ці атаки стосувалися коштів від десятків тисяч доларів до мільйонів доларів.

Атакуючі через ряд складних переказів та операцій з монетами зібрали вкрадені кошти в певну адресу. Після цього вони використовують послуги змішування для відмивання грошей, а потім переводять очищені кошти на платформи для виведення.

Атака на цілі з високою впізнаваністю

У грудні 2020 року засновник певної платформи взаємодопомоги зазнав атаки хакера, втративши близько 8,3 мільйона доларів США. Зловмисники здійснили переміщення та обмін коштів через кілька адрес, використовуючи технології крос-чейн, змішування монет та інші засоби для приховування напрямку коштів. Врешті-решт, більшість викрадених коштів була переведена на певну адресу для виведення.

Останній випадок атаки

У 2023 році дві атаки на DeFi проєкти привернули увагу. Зловмисники перевели вкрадені ефіри в сервіси змішування, а потім через низку адрес перемістили кошти, зрештою відправивши їх на звичні платформи для виведення.

Модель відмивання грошей групи Lazarus

Аналізуючи наведені вище випадки, можна підсумувати типовий спосіб відмивання грошей групи Lazarus:

1. Змішування коштів: використання кросчейн-операцій та сервісів змішування монет для затемнення джерела коштів.
2. Диверсифіковане переміщення: переміщення коштів через кілька проміжних адрес.
3. Збір коштів: збирати очищені кошти на певну адресу.
4. Остаточне виведення: використання фіксованої платформи для виведення для обміну криптоактивів на фіатні гроші.

Цей складний процес відмивання грошей ускладнює відстеження та повернення вкрадених активів.

Перед обличчям постійних масованих атак групи Lazarus, індустрія Web3 стикається з серйозними викликами безпеки. Відповідні установи постійно слідкують за рухами цього хакерського угрупування, сподіваючись ефективно протидіяти таким злочинним діям і забезпечити безпеку екосистеми криптоактивів.