Аналіз крадіжок криптоактивів та відмивання грошей хакерською організацією Північної Кореї Lazarus Group
Нещодавно секретний звіт ООН розкрив останні дії північнокорейської хакерської групи Lazarus Group. Відомо, що організація минулого року вкрала кошти з криптоактивів та у березні цього року відмила 147,5 мільйона доларів через певну платформу віртуальної монети.
Спостерігачі Комітету санкцій Ради Безпеки ООН розслідують 97 підозрілих кібератак на компанії з шифрування валюти, що сталися з 2017 по 2024 рік, на загальну суму приблизно 3,6 мільярда доларів США. Серед них атака на одну з криптовалютних бірж наприкінці минулого року, яка призвела до збитків у розмірі 147,5 мільйона доларів, а потім у березні цього року завершилася відмиванням грошей.
У 2022 році США наклали санкції на цю платформу віртуальних монет. Наступного року двох її співзасновників звинуватили в допомозі у відмиванні грошей на суму понад 1 мільярд доларів, зокрема, у справі, пов'язаній з кіберзлочинною організацією Північної Кореї Lazarus Group.
Дослідження експертів з розслідування Криптоактивів показує, що група Lazarus з серпня 2020 року по жовтень 2023 року конвертувала Криптоактиви на суму 200 мільйонів доларів у фіатну валюту.
Група Лазаря протягом тривалого часу звинувачується у проведенні масштабних кібернетичних атак і фінансових злочинів. Їхні цілі не обмежуються конкретними галузями або регіонами, а охоплюють увесь світ, від банківських систем до криптоактивів, від державних установ до приватних підприємств. Далі будуть проаналізовані кілька типовіх випадків атак, щоб виявити, як Група Лазаря реалізує ці вражаючі атаки за допомогою своїх складних стратегій і технічних засобів.
Соціальна інженерія та фішингові атаки групи Lazarus
Lazarus раніше націлювався на військові та аерокосмічні компанії Європи та Близького Сходу, публікуючи фальшиві вакансії на соціальних платформах для обману працівників. Вони вимагали від кандидатів завантажити PDF-файл, що містить шкідливий виконуваний файл, щоб здійснити фішинг-атаку.
Ці атаки використовують психологічні маніпуляції, щоб змусити жертв знизити пильність і виконати небезпечні дії, такі як натискання на посилання або завантаження файлів. Їхнє шкідливе програмне забезпечення може націлюватися на вразливості в системах жертв і викрадати чутливу інформацію.
Протягом шестимісячної акції проти певного постачальника послуг оплати криптовалютами група Lazarus використовувала схожі методи, що призвело до викрадення 37 мільйонів доларів США у компанії. Протягом усього процесу вони надсилали інженерам фальшиві вакансії, здійснювали технічні атаки, такі як розподілена відмова в обслуговуванні, та намагалися зламати паролі методом грубого перебору.
Багаторазові атаки на криптоактиви
З серпня по жовтень 2020 року група Lazarus поетапно атакувала кілька криптоактивів, включаючи CoinBerry, Unibright та CoinMetro. Суми, що підлягали атакам, варіювалися від 400 000 до 750 000 доларів.
Атакувальники через ряд складних фінансових трансакцій та операцій з обманом врешті-решт зібрали кошти на певну адресу. У січні 2021 року вони через певну платформу для змішування монет внесли та вивели значну кількість ETH. До 2023 року ці кошти після кількох трансакцій та обмінів врешті-решт були надіслані на деякі адреси для виведення.
Цілеспрямовані атаки на цінні цілі
У грудні 2020 року засновник однієї платформи взаємодопомоги зазнав атаки групи Lazarus, внаслідок чого було втрачено токени вартістю 8,3 мільйона доларів. Зловмисники переказували та обмінювали кошти через кілька адрес, використовуючи міжланцюгові операції та платформи для змішування монет для приховування фінансів.
У середині грудня 2020 року зловмисники надіслали велику кількість ETH на платформу для змішування монет. Після цього вони через ряд операцій з переказу та обміну перевели частину коштів на раніше згадану адресу для збору та виведення коштів.
З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на адресу депозиту певної торгової платформи. З лютого по червень 2023 року вони знову перевели велику кількість USDT на інші торгові платформи через різні адреси.
Аналіз останніх атак
У серпні 2023 року група Lazarus атакувала проекти Steadefi та CoinShift, вкрадучи відповідно 624 монети та 900 монет ETH. Ці вкрадені кошти були потім переведені на платформи для змішування.
Зловмисники, після змішування коштів, вивели їх на кілька конкретних адрес. У жовтні 2023 року ці кошти були зосереджені на новій адресі. У наступному місяці зловмисники почали переміщати кошти, зрештою, через проміжні операції та обмін, надсилаючи кошти на депозитні адреси деяких торгових платформ.
Підсумок
Модель відмивання грошей групи Lazarus має певну закономірність: після крадіжки криптоактивів вони зазвичай здійснюють фінансове замішування через міжмережеві операції та платформи для змішування монет. Після замішування вони виводять кошти на певну адресу, а потім надсилають їх на фіксовані адреси для операцій з виведення. Ці вкрадені активи в кінцевому підсумку переважно зберігаються на депозитних адресах деяких торгових платформ, а потім обмінюються на фіатні гроші через послуги позабіржової торгівлі.
У зв'язку з постійною загрозою з боку групи Lazarus, індустрія Web3 стикається з серйозними викликами безпеки. Відповідні установи продовжують стежити за динамікою цього хакерського угруповання та проводять глибоке відстеження його способів відмивання грошей, щоб допомогти сторонам проекту, регуляторам та правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
3
Поділіться
Прокоментувати
0/400
BearMarketLightning
· 2год тому
Слід перевірити старі запаси, вже не можу витримувати.
Переглянути оригіналвідповісти на0
OldLeekMaster
· 2год тому
Ця група людей, напевно, рецидивісти...
Переглянути оригіналвідповісти на0
NullWhisperer
· 2год тому
цікава вразливість... lazarus продовжує використовувати ті ж самі вектори атаки, якщо чесно, смх
Група Лазаря Відмивання грошей 1,475 мільярда доларів США Експерти розкривають їх моделі атак на криптоактиви та відмивання грошей
Аналіз крадіжок криптоактивів та відмивання грошей хакерською організацією Північної Кореї Lazarus Group
Нещодавно секретний звіт ООН розкрив останні дії північнокорейської хакерської групи Lazarus Group. Відомо, що організація минулого року вкрала кошти з криптоактивів та у березні цього року відмила 147,5 мільйона доларів через певну платформу віртуальної монети.
Спостерігачі Комітету санкцій Ради Безпеки ООН розслідують 97 підозрілих кібератак на компанії з шифрування валюти, що сталися з 2017 по 2024 рік, на загальну суму приблизно 3,6 мільярда доларів США. Серед них атака на одну з криптовалютних бірж наприкінці минулого року, яка призвела до збитків у розмірі 147,5 мільйона доларів, а потім у березні цього року завершилася відмиванням грошей.
У 2022 році США наклали санкції на цю платформу віртуальних монет. Наступного року двох її співзасновників звинуватили в допомозі у відмиванні грошей на суму понад 1 мільярд доларів, зокрема, у справі, пов'язаній з кіберзлочинною організацією Північної Кореї Lazarus Group.
Дослідження експертів з розслідування Криптоактивів показує, що група Lazarus з серпня 2020 року по жовтень 2023 року конвертувала Криптоактиви на суму 200 мільйонів доларів у фіатну валюту.
Група Лазаря протягом тривалого часу звинувачується у проведенні масштабних кібернетичних атак і фінансових злочинів. Їхні цілі не обмежуються конкретними галузями або регіонами, а охоплюють увесь світ, від банківських систем до криптоактивів, від державних установ до приватних підприємств. Далі будуть проаналізовані кілька типовіх випадків атак, щоб виявити, як Група Лазаря реалізує ці вражаючі атаки за допомогою своїх складних стратегій і технічних засобів.
Соціальна інженерія та фішингові атаки групи Lazarus
Lazarus раніше націлювався на військові та аерокосмічні компанії Європи та Близького Сходу, публікуючи фальшиві вакансії на соціальних платформах для обману працівників. Вони вимагали від кандидатів завантажити PDF-файл, що містить шкідливий виконуваний файл, щоб здійснити фішинг-атаку.
Ці атаки використовують психологічні маніпуляції, щоб змусити жертв знизити пильність і виконати небезпечні дії, такі як натискання на посилання або завантаження файлів. Їхнє шкідливе програмне забезпечення може націлюватися на вразливості в системах жертв і викрадати чутливу інформацію.
Протягом шестимісячної акції проти певного постачальника послуг оплати криптовалютами група Lazarus використовувала схожі методи, що призвело до викрадення 37 мільйонів доларів США у компанії. Протягом усього процесу вони надсилали інженерам фальшиві вакансії, здійснювали технічні атаки, такі як розподілена відмова в обслуговуванні, та намагалися зламати паролі методом грубого перебору.
Багаторазові атаки на криптоактиви
З серпня по жовтень 2020 року група Lazarus поетапно атакувала кілька криптоактивів, включаючи CoinBerry, Unibright та CoinMetro. Суми, що підлягали атакам, варіювалися від 400 000 до 750 000 доларів.
Атакувальники через ряд складних фінансових трансакцій та операцій з обманом врешті-решт зібрали кошти на певну адресу. У січні 2021 року вони через певну платформу для змішування монет внесли та вивели значну кількість ETH. До 2023 року ці кошти після кількох трансакцій та обмінів врешті-решт були надіслані на деякі адреси для виведення.
Цілеспрямовані атаки на цінні цілі
У грудні 2020 року засновник однієї платформи взаємодопомоги зазнав атаки групи Lazarus, внаслідок чого було втрачено токени вартістю 8,3 мільйона доларів. Зловмисники переказували та обмінювали кошти через кілька адрес, використовуючи міжланцюгові операції та платформи для змішування монет для приховування фінансів.
У середині грудня 2020 року зловмисники надіслали велику кількість ETH на платформу для змішування монет. Після цього вони через ряд операцій з переказу та обміну перевели частину коштів на раніше згадану адресу для збору та виведення коштів.
З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на адресу депозиту певної торгової платформи. З лютого по червень 2023 року вони знову перевели велику кількість USDT на інші торгові платформи через різні адреси.
Аналіз останніх атак
У серпні 2023 року група Lazarus атакувала проекти Steadefi та CoinShift, вкрадучи відповідно 624 монети та 900 монет ETH. Ці вкрадені кошти були потім переведені на платформи для змішування.
Зловмисники, після змішування коштів, вивели їх на кілька конкретних адрес. У жовтні 2023 року ці кошти були зосереджені на новій адресі. У наступному місяці зловмисники почали переміщати кошти, зрештою, через проміжні операції та обмін, надсилаючи кошти на депозитні адреси деяких торгових платформ.
Підсумок
Модель відмивання грошей групи Lazarus має певну закономірність: після крадіжки криптоактивів вони зазвичай здійснюють фінансове замішування через міжмережеві операції та платформи для змішування монет. Після замішування вони виводять кошти на певну адресу, а потім надсилають їх на фіксовані адреси для операцій з виведення. Ці вкрадені активи в кінцевому підсумку переважно зберігаються на депозитних адресах деяких торгових платформ, а потім обмінюються на фіатні гроші через послуги позабіржової торгівлі.
У зв'язку з постійною загрозою з боку групи Lazarus, індустрія Web3 стикається з серйозними викликами безпеки. Відповідні установи продовжують стежити за динамікою цього хакерського угруповання та проводять глибоке відстеження його способів відмивання грошей, щоб допомогти сторонам проекту, регуляторам та правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.