Análise das atividades de roubo e lavagem de dinheiro em Ativos de criptografia do grupo de hackers Lazarus da Coreia do Norte

Recentemente, um relatório confidencial da ONU revelou as últimas atividades do grupo de hackers norte-coreano Lazarus Group. Sabe-se que a organização roubou fundos de uma exchange de criptomoeda no ano passado e, em março deste ano, lavou 147,5 milhões de dólares através de uma plataforma de moeda virtual.

Os inspetores do Comitê de Sanções do Conselho de Segurança da ONU estão investigando 97 ataques cibernéticos suspeitos de hackers da Coreia do Norte direcionados a empresas de ativos de criptografia que ocorreram entre 2017 e 2024, envolvendo um montante de cerca de 3,6 bilhões de dólares. Entre eles, está o ataque a uma bolsa de ativos de criptografia no final do ano passado, que resultou em perdas de 147,5 milhões de dólares, seguidas de uma lavagem de dinheiro concluída em março deste ano.

Em 2022, os Estados Unidos impuseram sanções à plataforma de ativos de criptografia. No ano seguinte, dois dos seus co-fundadores foram acusados de ajudar na lavagem de dinheiro de mais de 1 bilhão de dólares, envolvendo organizações de crimes cibernéticos relacionadas à Coreia do Norte, o Lazarus Group.

Ativos de criptografia调查专家的研究显示，Lazarus Group在2020年8月至2023年10月期间将价值2亿美元的Ativos de criptografia转换为法定货币。

O Lazarus Group tem sido acusado há muito tempo de realizar ataques cibernéticos em larga escala e crimes financeiros. Seus alvos não estão limitados a setores ou regiões específicas, mas se espalham pelo mundo, desde sistemas bancários até Ativos de criptografia, de agências governamentais a empresas privadas. A seguir, serão analisados alguns casos típicos de ataque, revelando como o Lazarus Group implementa esses impressionantes ataques através de suas estratégias e técnicas complexas.

Ataques de engenharia social e phishing do Grupo Lazarus

Lazarus já mirou empresas militares e aeroespaciais na Europa e no Oriente Médio, publicando anúncios de emprego falsos em plataformas sociais para enganar os funcionários. Eles pediram aos candidatos que dessem download de um PDF contendo um executável malicioso, implementando assim um ataque de phishing.

Esses ataques utilizam manipulação psicológica para induzir as vítimas a baixar a guarda e executar operações perigosas, como clicar em links ou baixar arquivos. O seu malware é capaz de explorar vulnerabilidades nos sistemas das vítimas e roubar informações sensíveis.

Durante uma ação de seis meses contra um fornecedor de pagamentos de criptomoeda, o Lazarus usou métodos semelhantes, resultando no roubo de 37 milhões de dólares dessa empresa. Ao longo do processo, eles enviaram oportunidades de trabalho falsas para engenheiros, iniciaram ataques técnicos como negação de serviço distribuída e tentaram quebrar senhas por força bruta.

Vários ataques a Ativos de criptografia

De agosto a outubro de 2020, o Lazarus Group atacou várias exchanges de ativos de criptografia, incluindo CoinBerry, Unibright e CoinMetro. Os valores envolvidos nesses ataques variaram de 400 mil a 750 mil dólares.

Os atacantes reuniram fundos em um endereço específico através de uma série de transferências de fundos complexas e operações de confusão. Em janeiro de 2021, eles depositaram e retiraram uma grande quantidade de ETH através de uma plataforma de mistura de moedas. Até 2023, esses fundos, após várias transferências e trocas, foram finalmente enviados para alguns endereços de retirada.

Ataques direcionados a alvos de alto valor

Em dezembro de 2020, o fundador de uma plataforma de seguros mútuos foi atacado pelo Lazarus Group, perdendo tokens no valor de 8,3 milhões de dólares. Os atacantes transferiram e trocaram fundos através de vários endereços, utilizando operações cross-chain e plataformas de mistura de moeda para confundir os fundos.

Em meados de dezembro de 2020, os atacantes enviaram uma grande quantidade de ETH para a plataforma de mistura. Depois, através de uma série de operações de transferência e troca, transferiram parte dos fundos para o endereço de retirada de fundos mencionado anteriormente.

De maio a julho de 2021, os atacantes transferiram 11 milhões de USDT para o endereço de depósito de uma plataforma de negociação. De fevereiro a junho de 2023, eles transferiram uma grande quantidade de USDT para outras plataformas de negociação através de diferentes endereços.

Análise dos últimos eventos de ataque

Em agosto de 2023, o Lazarus Group atacou os projetos Steadefi e CoinShift, roubando respetivamente 624 e 900 moedas ETH. Estes fundos roubados foram posteriormente transferidos para uma plataforma de mistura.

Os atacantes, após confundir os fundos, retiraram-nos para vários endereços específicos. Em outubro de 2023, esses fundos foram concentrados em um novo endereço. No mês seguinte, os atacantes começaram a transferir os fundos, eventualmente enviando-os para os endereços de depósito de algumas plataformas de negociação através de intermediários e trocas.

Resumo

O padrão de lavagem de dinheiro do Lazarus Group apresenta certas regularidades: após roubar ativos de criptografia, eles costumam confundir os fundos por meio de operações entre cadeias e plataformas de mistura de moedas. Após a confusão, eles retiram os fundos para um endereço específico e, em seguida, enviam para um grupo fixo de endereços para operações de saque. Esses ativos roubados são, em última análise, depositados em endereços de depósito de algumas plataformas de negociação e, em seguida, trocados por moeda fiduciária através de serviços de negociação de balcão.

Diante da ameaça contínua do Lazarus Group, a indústria Web3 enfrenta desafios de segurança severos. As entidades relevantes estão monitorando constantemente a dinâmica desse hacker e realizando um acompanhamento aprofundado de suas formas de lavagem de dinheiro, a fim de auxiliar os projetos, órgãos reguladores e autoridades de aplicação da lei a combater esse tipo de crime e recuperar os ativos roubados.