Так называемая группа Lazarus использовала сложные схемы фишинга и передовые инструменты отмывания денег, чтобы украсть деньги для режима Ким Чен Ына.
Кибератаки на криптовалютные биржи стали обычным явлением, но кража чуть более 7 миллионов долларов с сингапурской биржи DragonEx в марте прошлого года выделяется как минимум по трем причинам.
Во-первых, существует чрезвычайно сложная схема фишинга, которую использовали злоумышленники, которая включала в себя не только поддельные веб-сайты, но и поддельных криптовалютных ботов. Тогда есть отличный способ, которым они отмывают крипто-деньги, которые они украли. И последнее, но не менее важное: они, похоже, работают на Ким Чен Ына.
Ограбление, новые подробности которого недавно были опубликованы аналитической фирмой Chainalysis в блокчейне, показывает, насколько хороши сегодняшние грабители цифровых банков. И если этот и другие сообщения верны в том, что они обвиняют северокорейских хакеров в качестве преступников, это выглядит как часть более масштабной стратегии выживания режима Кима, которая была отрезана от мировой финансовой системы международными экономическими санкциями, направленными на сокращение его ядерной активности. оружейная программа.
DragonEx был не первым крипто-обменом, который стал жертвой именно этой хакерской группы, которую некоторые аналитики по безопасности называют Lazarus Group. Эта группа ориентируется на отрасль как минимум с 2017 года в рамках более широкой кампании, ориентированной на финансовые учреждения. В августе группа независимых экспертов сообщила Организации Объединенных Наций, что Северная Корея создала приблизительно 2 миллиарда долларов для своей ракетной программы, используя «широко распространенные и все более изощренные» кибератаки для кражи с банков и обмена криптовалютами. Использование режимом криптовалюты для уклонения от санкций стоит за недавним предупреждением той же группы экспертов ООН не участвовать в предстоящей конференции блокчейнов в Пхеньяне.
Широко распространено мнение, что Lazarus Group стояла за несколькими хакерскими заголовками, включая взлом Sony Pictures в 2014 году и хакерскую программу Wanna Cry Ransomware в 2017 году , которая затронула сотни тысяч компьютеров в 150 странах. Но именно его кража в размере 81 млн. Долл. США из центрального банка Бангладеш в 2016 году предопределила его возможный таргетинг на крипто-обмены. По данным ФБР, злоумышленники потратили больше года на разведку, прежде чем получить доступ к компьютерной системе банка посредством сложной фишинг-кампании.
Из-за слабой безопасности экосистема криптовалюты была «легкой целью» для северокорейских хакеров, которые уже имели опыт работы с финансовыми учреждениями, говорит Присцилила Мориучи , глава исследования национальных государств в Recorded Future, компании по кибербезопасности. «Они гораздо более способные, чем они могут себе позволить, особенно в сфере финансовых преступлений», - говорит Мориучи.
Чтобы скомпрометировать DragonEx, Lazarus создал поддельную компанию, которая рекламировала автоматизированного бота по торговле криптовалютой под названием Worldbit-bot, говорит Chainalysis . У изобретенной компании был веб-сайт, а у ее вымышленных сотрудников даже присутствовали социальные сети. Когда они предоставили бесплатную пробную версию торгового программного обеспечения сотрудникам DragonEx, кто-то укусил загрузку вредоносного ПО на компьютер, на котором были закрытые ключи для кошельков биржи.
В исследовании, опубликованным ранее в этом месяце, «Лаборатории Касперского» описывают еще одну из недавних схем Lazarus Group, которая, по-видимому, также ориентирована на криптовалютный бизнес. В этом случае злоумышленники создали поддельные компании, а затем заманили цели для загрузки вредоносных программ с помощью популярного приложения для обмена сообщениями Telegram.
Однако взломать и украсть деньги недостаточно. Они должны обналичить. По данным Chainalysis, в прошлом году группа Lazarus полностью обновила способ, которым она это делает. В прошлом году она выглядела довольно бесхитростной в своих методах отмывания денег, обычно позволяя украденным средствам сидеть от 12 до 18 месяцев, прежде чем обналичивать деньги с помощью обмена, который не отслеживает, кто его клиенты. (Биржи криптовалют в большинстве юрисдикций обязаны отслеживать личность своих клиентов именно по этой причине.)
То, как группа перевела свои деньги после взлома DragonEx в марте прошлого года, очевидно, было гораздо более изощренным. Они использовали еще много промежуточных шагов, включая обмены и различные цифровые кошельки. Монеты оказались в специальном кошельке, использующем биткойн-совместимую технологию конфиденциальности под названием CoinJoin, которая объединяет транзакции от нескольких пользователей таким образом, что затрудняется определить, кто отправил какой платеж кому получателю. И хакеры обналичили быстрее: почти все средства были переведены на «ликвидационные услуги» в течение 60 дней, по данным Chainalysis.
Новые и улучшенные методы северокорейских хакеров могут сказать меньше о своих собственных возможностях, чем об инструментах отмывания денег, доступных в настоящее время в мире крипто. Руководитель исследования Chainalysis Ким Грауэр (Kim Grauer) говорит, что в 2019 году ее команда заметила большой скачок в «развитой инфраструктуре отмывания, к которой могут подключиться различные преступные организации». Другими словами, даже преступники, которые не разбираются в блокчейнах, могут иметь готовый доступ к сложным методам покрытия своих треков после того, как они украдут вашу криптографию. В любом случае, пока у бирж есть дыры в безопасности, такие группы, как Lazarus, будут продолжать их грабить.
