Análise dos ataques cibernéticos e métodos de lavagem de dinheiro do grupo hacker Lazarus da Coreia do Norte

Recentemente, um relatório confidencial das Nações Unidas revelou as mais recentes atividades criminosas do grupo de hackers norte-coreano Lazarus Group. A organização lavou 147,5 milhões de dólares em fundos ilícitos através de uma plataforma de criptomoedas em março deste ano, sendo que esses fundos provêm de um roubo ocorrido no ano passado em uma exchange de criptomoedas.

Os inspetores do Comitê de Sanções do Conselho de Segurança da ONU estão investigando 97 ataques cibernéticos suspeitos de hackers norte-coreanos a empresas de criptomoedas ocorridos entre 2017 e 2024, com um montante envolvido de até 3,6 bilhões de dólares. Isso inclui um ataque a uma determinada bolsa de criptomoedas no final do ano passado, que resultou na roubo de 147,5 milhões de dólares, seguido da conclusão do processo de lavagem de dinheiro em março deste ano.

Em 2022, os Estados Unidos impuseram sanções à plataforma de criptomoeda. No ano seguinte, dois cofundadores da plataforma foram acusados de ajudar a lavar mais de 1 bilhão de dólares, parte dos quais estava relacionada a organizações criminosas cibernéticas da Coreia do Norte, como o Lazarus Group.

Uma pesquisa de um analista de criptomoedas revelou que o Lazarus Group converteu criptomoedas no valor de 200 milhões de dólares em moeda fiduciária entre agosto de 2020 e outubro de 2023.

O Lazarus Group tem sido considerado há muito tempo o cérebro por trás de ataques cibernéticos em grande escala e crimes financeiros em todo o mundo. Os seus alvos abrangem várias áreas, incluindo sistemas bancários, bolsas de criptomoedas, agências governamentais e empresas privadas. A seguir, será feita uma análise detalhada de alguns casos típicos de ataques realizados por esta organização, revelando suas complexas táticas.

Engenharia social e ataques de phishing do Lazarus Group

Segundo relatos da mídia europeia, o Lazarus já teve como alvos empresas militares e aeroespaciais na Europa e no Oriente Médio. Eles publicaram anúncios de emprego falsos em plataformas sociais, enganando candidatos a emprego para baixar arquivos PDF que continham código malicioso, realizando assim ataques de phishing.

Este tipo de engenharia social e ataques de phishing utilizam táticas de manipulação psicológica para induzir as vítimas a baixar a guarda e executar operações perigosas, como clicar em links ou descarregar ficheiros. Os Hackers conseguem explorar vulnerabilidades no sistema das vítimas e roubar informações sensíveis através de malware implantado.

Lazarus ainda lançou um ataque de seis meses contra um fornecedor de pagamentos de criptomoedas, resultando em perdas de 37 milhões de dólares para a empresa. Durante todo o ataque, os hackers enviaram falsas oportunidades de trabalho aos engenheiros, enquanto lançavam ataques técnicos como negação de serviço distribuída e tentavam quebrar senhas por força bruta.

Uma série de ataques a exchanges de criptomoedas

De agosto a outubro de 2020, várias exchanges de criptomoedas foram alvo de ataques. No dia 24 de agosto, a carteira de uma exchange canadense foi roubada. Em 11 de setembro, várias carteiras controladas por uma equipe de projeto sofreram transferências não autorizadas, resultando em uma perda de 400 mil dólares. Em 6 de outubro, outra exchange teve 750 mil dólares em ativos cripto roubados devido a uma vulnerabilidade de segurança.

Esses fundos roubados foram reunidos em um mesmo endereço no início de 2021. Entre 11 e 15 de janeiro, os atacantes depositaram e retiraram quase 4500 ETH através de um serviço de mistura. Até 2023, esses fundos passaram por várias transferências e trocas, sendo finalmente enviados para alguns endereços de depósito específicos.

Ataques direcionados a figuras públicas

No dia 14 de dezembro de 2020, o fundador de uma plataforma de seguro mútuo foi alvo de um ataque hacker, resultando na perda de tokens no valor de 8,3 milhões de dólares. Os atacantes posteriormente transferiram e trocaram os fundos através de vários endereços, parte dos fundos foi ainda transferida para a rede Bitcoin, e depois devolvida à Ethereum, sendo posteriormente ofuscada através de uma plataforma de mistura.

De 16 a 20 de dezembro de 2020, o atacante enviou mais de 2500 ETH para um serviço de mistura. Algumas horas depois, outro endereço começou a retirar esses fundos. De maio a julho de 2021, o atacante transferiu 11 milhões de USDT para um endereço de depósito. De fevereiro a junho de 2023, mais de 11 milhões de USDT foram transferidos para outros endereços de depósito.

Últimos casos de ataque

Em agosto de 2023, ocorreram dois novos ataques. 1524 ETH roubados foram transferidos para um serviço de mistura. Em 12 de outubro do mesmo ano, esses fundos foram retirados para um novo endereço. Em novembro, esse endereço começou a transferir fundos, que foram finalmente enviados para vários endereços de depósito específicos através de intermediários e trocas.

Resumo

O modus operandi do Lazarus Group apresenta um certo padrão: após roubar ativos criptográficos, eles normalmente misturam a origem dos fundos através de operações cross-chain e usando serviços de mistura. Em seguida, retiram os ativos misturados para um endereço-alvo e os enviam para um conjunto fixo de endereços para retirada. Os ativos roubados acabam por ser depositados em endereços específicos de depósito, e depois trocados por moeda fiduciária através de serviços de negociação em balcão.

Diante dos ataques contínuos e em grande escala do Lazarus Group, a indústria Web3 enfrenta sérios desafios de segurança. As instituições relevantes estão monitorando continuamente os movimentos deste hacker, a fim de ajudar os projetos, as autoridades reguladoras e os órgãos de execução a combater esse tipo de crime e recuperar os ativos roubados.