Одна з секретних доповідей ООН розкриває останні дії північнокорейської хакерської групи Lazarus Group. Відомо, що організація вкрала кошти з біржі криптоактивів минулого року, а в березні цього року відмило 147,5 мільйона доларів через певну платформу віртуальних грошей.
Контролер Комітету санкцій Ради безпеки ООН проводить розслідування 97 підозрілих кібернападів північнокорейських хакерів на компанії з криптоактивів, які відбулися в період з 2017 по 2024 роки, на загальну суму приблизно 3,6 мільярда доларів. Серед них є атака на одну криптобіржу наприкінці минулого року, в результаті якої було вкрадено 147,5 мільйона доларів, а відмивання грошей завершилося у березні цього року.
У 2022 році США наклали санкції на цю віртуальну гроші платформу. У 2023 році двоє співзасновників цієї платформи були звинувачені в сприянні відмиванню грошей на суму понад 1 мільярд доларів, зокрема в зв'язку з кіберзлочинним угрупованням Lazarus Group, пов'язаним з Північною Кореєю.
Згідно з дослідженнями експертів з криптоактивів, група Lazarus з серпня 2020 року по жовтень 2023 року конвертувала криптоактиви на суму 200 мільйонів доларів у законні гроші.
Група Лазаря вже давно звинувачується в проведенні масових кібератак і фінансових злочинів. Їхні цілі розташовані по всьому світу, включаючи банківські системи, біржі Криптоактивів, урядові установи та приватні підприємства. Далі буде проаналізовано кілька典型них випадків атак, щоб показати, як Група Лазаря реалізує ці атаки за допомогою складних стратегій та технологічних засобів.
Соціальна інженерія та фішингові атаки групи Lazarus
За інформацією європейських ЗМІ, Lazarus неодноразово намагався атакувати військові та аерокосмічні компанії в Європі та на Близькому Сході. Вони публікували фальшиві оголошення про роботу в соціальних мережах, щоб спонукати співробітників завантажувати PDF-файли, що містять виконувані файли, таким чином здійснюючи фішинг-атаки.
Ці соціальні інженерії та фішингові атаки використовують психологічні маніпуляції, щоб спонукати жертв знизити пильність і виконувати небезпечні дії, такі як натискання на посилання або завантаження файлів. Їхнє шкідливе програмне забезпечення здатне націлюватися на вразливості в системах жертв і красти чутливу інформацію.
Lazarus також здійснив шестимісячну атаку на одного постачальника Криптоактивів, що призвело до викрадення 37 мільйонів доларів США. Протягом усієї атаки вони надсилали інженерам фальшиві пропозиції про роботу, здійснювали атаки типу «відмова в обслуговуванні» та намагалися зламати паролі методом брутфорса.
Події атак CoinBerry, Unibright тощо
24 серпня 2020 року гаманець певної канадської платформи Криптоактиви був вкрадений.
11 вересня 2020 року, Unbright через витік приватного ключа, у кількох гаманцях, що контролюються командою, відбулася несанкціонована переказка в 400 тисяч доларів.
6 жовтня 2020 року в одному з криптоактивів платформи безкоштовного доступу було несанкціоновано переміщено активи на суму 750 000 доларів.
На початку 2021 року ці атаки призвели до збору коштів на одну й ту ж адресу. Після цього зловмисники через численні перекази та обміни врешті-решт відправили вкрадені кошти на деякі адреси для виведення.
Засновник певної платформи взаємодопомоги став жертвою хакерської атаки
14 грудня 2020 року засновника одного з платформ взаємодопомоги обікрали на 370 000 NXM (приблизно 8 300 000 доларів США). Вкрадені кошти були переведені між кількома адресами та обміняні на інші активи. Група Lazarus провела операції з розпорошення, змішування та концентрації коштів через ці адреси.
Частина коштів переходить через крос-чейн до мережі біткойн, потім повертається назад до мережі ефір, після чого проходить через платформу змішування для приховування, а на завершення надсилається на платформу для виведення.
З 16 по 20 грудня 2020 року адреса хакера надіслала понад 2500 ETH на певну платформу для змішаних монет. Через кілька годин інша асоційована адреса почала операції з виведення.
З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на певну біржу.
З лютого по червень 2023 року зловмисники через проміжні адреси надіслали загалом 11 170 000 USDT на кілька адрес для виведення.
Steadefi та CoinShift хакерська атака
У серпні 2023 року 624 вкрадених ETH з події Steadefi та 900 вкрадених ETH з події Coinshift були переміщені на певну платформу для змішування монет.
Потім ці кошти були вилучені на кілька конкретних адрес. 12 жовтня 2023 року ці адреси об'єднають кошти, вилучені з платформи змішування, на нову адресу.
У листопаді 2023 року ця адреса почала переміщувати кошти, в кінцевому підсумку через посередництво та обмін, відправивши кошти на кілька адрес для виведення.
Підсумок події
Група Лазаря після крадіжки криптоактивів в основному здійснює фінансове замішування через крос-чейн операції та використання міксуючих сервісів. Після замішування вони виводять викрадені активи на цільову адресу і надсилають їх на фіксовану групу адрес для виведення. Викрадені криптоактиви зазвичай зберігаються на певній адресі для виведення, а потім обмінюються на фіатні гроші через позабіржові торгові послуги.
Стикаючись з безперервними та масовими атаками групи Lazarus, індустрія Web3 стикається з серйозними викликами безпеки. Безпекові установи продовжують стежити за цією хакерською групою, відстежуючи їх динаміку та відмивання грошей, щоб допомогти проектам, регуляторам і правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 лайків
Нагородити
12
5
Поділіться
Прокоментувати
0/400
blockBoy
· 11год тому
Хакер просто так робить що хоче?
Переглянути оригіналвідповісти на0
RektHunter
· 11год тому
Знову бачимо північнокорейського Хакера!
Переглянути оригіналвідповісти на0
NotFinancialAdviser
· 11год тому
Щодня відбувається обман для дурнів.
Переглянути оригіналвідповісти на0
WhaleSurfer
· 11год тому
Чому ж таке велике, що не подумали про поліцейських?
Звіт ООН викриває відмивання грошей в 1,475 мільярда доларів хакерами Північної Кореї, розкрито методи атаки групи Lazarus
Одна з секретних доповідей ООН розкриває останні дії північнокорейської хакерської групи Lazarus Group. Відомо, що організація вкрала кошти з біржі криптоактивів минулого року, а в березні цього року відмило 147,5 мільйона доларів через певну платформу віртуальних грошей.
Контролер Комітету санкцій Ради безпеки ООН проводить розслідування 97 підозрілих кібернападів північнокорейських хакерів на компанії з криптоактивів, які відбулися в період з 2017 по 2024 роки, на загальну суму приблизно 3,6 мільярда доларів. Серед них є атака на одну криптобіржу наприкінці минулого року, в результаті якої було вкрадено 147,5 мільйона доларів, а відмивання грошей завершилося у березні цього року.
У 2022 році США наклали санкції на цю віртуальну гроші платформу. У 2023 році двоє співзасновників цієї платформи були звинувачені в сприянні відмиванню грошей на суму понад 1 мільярд доларів, зокрема в зв'язку з кіберзлочинним угрупованням Lazarus Group, пов'язаним з Північною Кореєю.
Згідно з дослідженнями експертів з криптоактивів, група Lazarus з серпня 2020 року по жовтень 2023 року конвертувала криптоактиви на суму 200 мільйонів доларів у законні гроші.
Група Лазаря вже давно звинувачується в проведенні масових кібератак і фінансових злочинів. Їхні цілі розташовані по всьому світу, включаючи банківські системи, біржі Криптоактивів, урядові установи та приватні підприємства. Далі буде проаналізовано кілька典型них випадків атак, щоб показати, як Група Лазаря реалізує ці атаки за допомогою складних стратегій та технологічних засобів.
Соціальна інженерія та фішингові атаки групи Lazarus
За інформацією європейських ЗМІ, Lazarus неодноразово намагався атакувати військові та аерокосмічні компанії в Європі та на Близькому Сході. Вони публікували фальшиві оголошення про роботу в соціальних мережах, щоб спонукати співробітників завантажувати PDF-файли, що містять виконувані файли, таким чином здійснюючи фішинг-атаки.
Ці соціальні інженерії та фішингові атаки використовують психологічні маніпуляції, щоб спонукати жертв знизити пильність і виконувати небезпечні дії, такі як натискання на посилання або завантаження файлів. Їхнє шкідливе програмне забезпечення здатне націлюватися на вразливості в системах жертв і красти чутливу інформацію.
Lazarus також здійснив шестимісячну атаку на одного постачальника Криптоактивів, що призвело до викрадення 37 мільйонів доларів США. Протягом усієї атаки вони надсилали інженерам фальшиві пропозиції про роботу, здійснювали атаки типу «відмова в обслуговуванні» та намагалися зламати паролі методом брутфорса.
Події атак CoinBerry, Unibright тощо
24 серпня 2020 року гаманець певної канадської платформи Криптоактиви був вкрадений.
11 вересня 2020 року, Unbright через витік приватного ключа, у кількох гаманцях, що контролюються командою, відбулася несанкціонована переказка в 400 тисяч доларів.
6 жовтня 2020 року в одному з криптоактивів платформи безкоштовного доступу було несанкціоновано переміщено активи на суму 750 000 доларів.
На початку 2021 року ці атаки призвели до збору коштів на одну й ту ж адресу. Після цього зловмисники через численні перекази та обміни врешті-решт відправили вкрадені кошти на деякі адреси для виведення.
Засновник певної платформи взаємодопомоги став жертвою хакерської атаки
14 грудня 2020 року засновника одного з платформ взаємодопомоги обікрали на 370 000 NXM (приблизно 8 300 000 доларів США). Вкрадені кошти були переведені між кількома адресами та обміняні на інші активи. Група Lazarus провела операції з розпорошення, змішування та концентрації коштів через ці адреси.
Частина коштів переходить через крос-чейн до мережі біткойн, потім повертається назад до мережі ефір, після чого проходить через платформу змішування для приховування, а на завершення надсилається на платформу для виведення.
З 16 по 20 грудня 2020 року адреса хакера надіслала понад 2500 ETH на певну платформу для змішаних монет. Через кілька годин інша асоційована адреса почала операції з виведення.
З травня по липень 2021 року зловмисники перевели 11 мільйонів USDT на певну біржу.
З лютого по червень 2023 року зловмисники через проміжні адреси надіслали загалом 11 170 000 USDT на кілька адрес для виведення.
Steadefi та CoinShift хакерська атака
У серпні 2023 року 624 вкрадених ETH з події Steadefi та 900 вкрадених ETH з події Coinshift були переміщені на певну платформу для змішування монет.
Потім ці кошти були вилучені на кілька конкретних адрес. 12 жовтня 2023 року ці адреси об'єднають кошти, вилучені з платформи змішування, на нову адресу.
У листопаді 2023 року ця адреса почала переміщувати кошти, в кінцевому підсумку через посередництво та обмін, відправивши кошти на кілька адрес для виведення.
Підсумок події
Група Лазаря після крадіжки криптоактивів в основному здійснює фінансове замішування через крос-чейн операції та використання міксуючих сервісів. Після замішування вони виводять викрадені активи на цільову адресу і надсилають їх на фіксовану групу адрес для виведення. Викрадені криптоактиви зазвичай зберігаються на певній адресі для виведення, а потім обмінюються на фіатні гроші через позабіржові торгові послуги.
Стикаючись з безперервними та масовими атаками групи Lazarus, індустрія Web3 стикається з серйозними викликами безпеки. Безпекові установи продовжують стежити за цією хакерською групою, відстежуючи їх динаміку та відмивання грошей, щоб допомогти проектам, регуляторам і правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.