Аналіз кібератак північнокорейської хакерської організації Lazarus Group та методів відмивання коштів

Нещодавно конфіденційний звіт ООН розкрив останні злочинні дії північнокорейської хакерської групи Lazarus Group. Ця організація у березні цього року відмила 147,5 мільйона доларів США через одну з віртуальних валютних платформ, ці кошти були отримані в результаті крадіжки з криптовалютної біржі минулого року.

Спеціалісти Комітету з санкцій Ради Безпеки ООН проводять розслідування 97 підозрілого мережевого нападу північнокорейських хакерів на криптовалютні компанії, що відбулися з 2017 по 2024 рік, загальна сума яких становить 3,6 мільярда доларів США. Серед них - атака на одну криптовалютну біржу наприкінці минулого року, внаслідок якої було вкрадено 147,5 мільйона доларів, а процес відмивання коштів завершився в березні цього року.

У 2022 році США ввели санкції проти цієї віртуальної криптовалютної платформи. Наступного року двох співзасновників платформи звинуватили в сприянні відмиванню понад 1 мільярда доларів, частина з яких була пов'язана з кіберзлочинним угрупуванням Північної Кореї Lazarus Group.

Дослідження, проведене аналітиком криптовалют, показало, що група Lazarus з серпня 2020 року по жовтень 2023 року конвертувала криптовалюту на суму 200 мільйонів доларів у фіатну валюту.

Група Lazarus вже давно вважається закулісним хакером великих масштабних кібернападів і фінансових злочинів у всьому світі. Їхні цілі охоплюють кілька сфер, зокрема банківські системи, криптовалютні біржі, державні установи та приватні підприємства. Нижче буде детально проаналізовано кілька типовий випадків атак цієї організації, щоб розкрити їх складні методи злочинної діяльності.

Соціальна інженерія та фішингові атаки групи Lazarus

Згідно з європейськими ЗМІ, Lazarus неодноразово намагався атакувати військові та аерокосмічні компанії Європи та Близького Сходу. Вони публікували фальшиві вакансії в соціальних мережах, щоб заманити шукачів роботи завантажити PDF-файли з вбудованим шкідливим кодом, тим самим здійснюючи фішингові атаки.

Цей тип соціальної інженерії та фішингових атак використовує психологічні маніпуляції, щоб спонукати жертв знизити пильність та виконати небезпечні дії, такі як клікання на посилання або завантаження файлів. Хакер через розгорнуте шкідливе програмне забезпечення може експлуатувати вразливості в системі жертви та викрадати чутливу інформацію.

Lazarus також вчиняв піврічну атаку на одного постачальника послуг криптовалюти, що призвело до втрат у 37 мільйонів доларів. Протягом всієї атаки хакер надсилав інженерам фальшиві пропозиції роботи, одночасно здійснюючи розподілені атаки відмови в обслуговуванні та намагаючись зламати паролі методом грубої сили.

Серія атак на криптовалютні біржі

З серпня по жовтень 2020 року кілька криптовалютних бірж зазнали атак. 24 серпня було вкрадено гаманець однієї канадської біржі. 11 вересня на кількох гаманцях, які контролювала команда одного проекту, відбулися несанкціоновані перекази, внаслідок чого було втрачено 400 тисяч доларів США. 6 жовтня ще одна біржа зазнала крадіжки криптоактивів на суму 750 тисяч доларів США через вразливість у безпеці.

Ці вкрадені кошти були зібрані на одну адресу на початку 2021 року. Протягом періоду з 11 по 15 січня зловмисники через певний сервіс змішування вклали та вивели майже 4500 ETH. До 2023 року ці кошти після кількох трансакцій і обмінів врешті-решт були надіслані на певні конкретні адреси депозитів.

Сфокусовані атаки на відомих осіб

14 грудня 2020 року засновник певної платформи взаємодопомоги зазнав атаки хакера, внаслідок якої було втрачено токени на суму 8,3 мільйона доларів. Зловмисник потім перевів і обміняв кошти через кілька адрес, частина коштів також була переведена на мережу біткоїн, а потім повернена в ефіріум, після чого була замішана через платформу для змішування.

З 16 по 20 грудня 2020 року зловмисники надіслали більше 2500 ETH до певної змішувальної служби. Через кілька годин інша адреса почала виводити ці кошти. З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на певну депозитну адресу. З лютого по червень 2023 року ще понад 11 мільйонів USDT було переведено на інші депозитні адреси.

Останні випадки атак

У серпні 2023 року сталося дві нові атаки. Вкрадені 1524 ETH були переведені до певної змішувальної служби. 12 жовтня того ж року ці кошти були виведені на нову адресу. У листопаді ця адреса почала переводити кошти, врешті-решт через проміжні транзакції та обміни, кошти були надіслані на кілька конкретних адрес депозитів.

Підсумок

Методи злочинної діяльності групи Lazarus демонструють певну схему: після викрадення криптоактивів вони зазвичай використовують крос-ланцюгові операції та сервіси змішування, щоб затемнити джерело коштів. Потім вони виводять змішані активи на цільову адресу та надсилають їх на певні групи адрес для виведення. Викрадені активи зазвичай зберігаються на спеціальних депозитних адресах, а потім обмінюються на фіатні гроші через послуги позабіржової торгівлі.

Стикаючись із постійними та масовими атаками групи Lazarus, галузь Web3 стикається з серйозними викликами безпеки. Відповідні організації постійно стежать за діями цього Хакера, щоб допомогти проектам, регуляторам та правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.