Анализ методов сетевых атак и отмывания денег северокорейской хакерской группы Lazarus Group

Секретный отчет ООН показывает, что группа Lazarus в прошлом году украла средства из одной криптовалютной биржи и отмыла 147,5 миллиона долларов через одну виртуальную валютную платформу в марте этого года. Наблюдатели Комитета Совета Безопасности ООН по санкциям расследуют 97 подозрительных кибератак северокорейских хакеров на криптовалютные компании, произошедших в период с 2017 по 2024 годы, на общую сумму около 3,6 миллиарда долларов. Среди них — кража 147,5 миллиона долларов из одной криптовалютной биржи в конце прошлого года, которые затем были отмыты в марте этого года.

Исследование, проведенное определенными экспертами по криптовалютам, показало, что группа Lazarus конвертировала криптовалюту на сумму 200 миллионов долларов в фиатные деньги в период с августа 2020 года по октябрь 2023 года. Группа Lazarus давно обвиняется в проведении масштабных кибератак и финансовых преступлений, их цели охватывают различные сферы по всему миру, включая банковские системы, криптовалютные биржи, государственные учреждения и частные компании.

Методы атаки группы Lazarus

Социальная инженерия и фишинг-атаки

Группа Lazarus нацелилась на военные и аэрокосмические компании в Европе и на Ближнем Востоке, обманывая сотрудников через размещение поддельных объявлений на платформах по найму. Они требовали от соискателей загрузить PDF-файл с исполняемыми файлами, чтобы осуществить фишинг-атаку. Этот метод также использовался для атак на поставщиков криптовалютных платежей, что привело к убыткам в размере 37 миллионов долларов.

Нападение на криптовалютные биржи

С августа по октябрь 2020 года несколько криптовалютных бирж и проектов подверглись атакам:

• 24 августа, кошелек одной канадской криптовалютной биржи был украден.
• 11 сентября, из-за утечки приватного ключа, проект потерял 400 тысяч долларов в результате несанкционированного перевода.
• 6 октября на одной из торговых платформ из горячего кошелька было украдено криптоактивов на сумму 750000 долларов.

Эти украденные средства затем прошли через ряд сложных операций по переводу и сокрытию, в конечном итоге были преобразованы в фиатные деньги через платформы для смешивания и вывода.

Высокие атаки на личность

14 декабря 2020 года основатель одного из взаимных страховых соглашений подвергся атаке Хакера, в результате чего он понес убытки в 8,3 миллиона долларов. Нападающие с помощью многократных переводов, обменов и операций по смешиванию монет перевели часть средств на определенный адрес и в конечном итоге конвертировали средства в законное платежное средство через несколько платформ вывода.

Последние атаки

В августе 2023 года, после двух инцидентов, связанных с кражей большого количества ETH, злоумышленники использовали аналогичную модель перевода средств и отмывания денег. Украденные средства сначала переводились на платформу смешивания, а затем через ряд промежуточных адресов в конечном итоге собирались на фиксированный адрес для вывода.

Отмывание денег手法总结

Способы отмывания денег группы Lazarus в основном включают в себя следующие шаги:

1. Кросс-чейн перевод: перемещение украденных криптоактивов между различными блокчейнами.
2. Использование миксеров: активное использование платформ для микширования для сокрытия источника средств.
3. Сбор средств: С помощью нескольких промежуточных адресов средства собираются на определенный адрес.
4. Использование определенных платформ для вывода средств: в основном используются несколько фиксированных платформ для вывода, чтобы конвертировать криптоактивы в фиатные деньги.
5. OTC услуги: завершение окончательного обмена средств через услуги внебиржевой торговли.

Этот сложный процесс отмывания денег делает отслеживание и возврат похищенных активов крайне трудным. Лицом к продолжающимся масштабным атакам группы Lazarus, индустрия Web3 сталкивается с серьезными вызовами безопасности. Заинтересованные стороны должны усилить сотрудничество для совместной борьбы с такими преступными действиями и защиты безопасности цифровых активов.