Северокорейская хакерская группа Lazarus, похоже, в последнее время активизировала свою деятельность: с 3 июня было подтверждено четыре атаки, направленные на индустрию шифрования. Недавно их заподозрили в проведении пятой атаки. Директор по информационной безопасности SlowMist 23pds написал в Твиттере, что хакерская атака стоимостью 55 миллионов долларов на биржу шифрования CoinEx была организована хакерами, спонсируемыми государством Северной Кореи.
Стоит отметить, что с 2017 года спонсируемые Северной Кореей хакеры украли около 1,2 миллиарда долларов в криптовалюте со всего мира, согласно предыдущему отчету Associated Press со ссылкой на главное шпионское агентство Южной Кореи — Национальную разведывательную службу (NIS). NIS считает, что Северная Корея является одной из наиболее мотивированных стран в мире, когда дело доходит до кражи криптовалют, и страна сосредоточила свое внимание на киберпреступности после того, как Организация Объединенных Наций в 2017 году ужесточила экономические санкции в ответ на ее ядерные и ракетные испытания.
Кроме того, за последние 104 дня было подтверждено, что северокорейская хакерская группа Lazarus украла почти 2,4 миллиона долларов из Atomic Wallet (100 миллионов долларов), CoinsPaid (37,3 миллиона долларов), Alphapo (60 миллионов долларов) и Stake.com (41 миллион долларов). 0,000 млрд криптоактивов.
Как показано на изображении выше, эллиптический анализ показывает, что часть средств, украденных у CoinEx, была отправлена на адрес, используемый организацией Lazarus для хранения средств, украденных у Stake.com, хотя и на другом блокчейне. Затем средства были перенаправлены на Ethereum через перекрестный мост, ранее использовавшийся Lazarus, а затем отправлены обратно на адрес, контролируемый хакерами CoinEx.
Elliptic наблюдала такое смешивание средств от разных хакеров в инциденте с Lazarus, совсем недавно, когда криптовалюта, украденная со Stake.com, была смешана со средствами, украденными из кошелька Atomic. Эти случаи объединения средств разных хакеров показаны оранжевым цветом на изображении ниже.
01. Лазарь провел 5 атак за 104 дня
В 2022 году на счет Lazarus был возложен ряд громких хакерских атак, в том числе атаки на Horizon Bridge компании Harmony и Ronin Bridge компании Axie Infinity, обе из которых произошли в первой половине прошлого года. С тех пор и до июня этого года Лазарусу публично не приписывалось ни одной крупной кражи криптовалюты. Таким образом, различные хакерские атаки за последние 104 дня свидетельствуют об активизации деятельности этой северокорейской хакерской группировки.
3 июня 2023 года пользователи некастодиального децентрализованного криптовалютного кошелька Atomic Wallet потеряли более 100 миллионов долларов. Elliptic официально обвинила Lazarus во взломе 6 июня 2023 года после выявления множества факторов, указывающих на ответственность северокорейской хакерской группы, что позже было подтверждено ФБР.
22 июля 2023 года Lazarus получил доступ к горячему кошельку, принадлежащему платформе криптовалютных платежей CoinsPaid, посредством атаки социальной инженерии. Этот доступ позволил злоумышленнику создать запросы на авторизацию для вывода криптоактивов на сумму около 37,3 миллиона долларов из горячего кошелька платформы. 26 июля CoinsPaid опубликовала отчет, в котором утверждается, что ответственность за атаку несет Лазарус, что также подтвердило Федеральное бюро расследований (ФБР).
В тот же день, 22 июля, Lazarus провел еще одну громкую атаку, на этот раз нацеленную на поставщика централизованных криптовалютных платежей Alphapo, похитив криптоактивы на сумму 60 миллионов долларов. Злоумышленник мог получить доступ через ранее утекший секретный ключ. Позже ФБР подтвердило, что ответственность за нападение несет Лазарус.
4 сентября 2023 года криптовалютная онлайн-платформа азартных игр Stake.com подверглась атаке, в ходе которой были украдены виртуальные валюты на общую сумму около 41 миллиона долларов США, возможно, из-за кражи закрытых ключей. 6 сентября ФБР объявило, что организатором нападения была организация Lazarus.
Наконец, 12 сентября 2023 года централизованная биржа криптовалют CoinEx подверглась хакерской атаке, в результате которой было украдено 54 миллиона долларов. Как упоминалось выше, многочисленные доказательства указывают на то, что Лазарус был хакером, ответственным за эту атаку.
02. Лазарь изменил тактику?
Анализ последней деятельности Lazarus показывает, что с прошлого года они сместили акцент с децентрализованных сервисов на централизованные. Четыре из последних пяти взломов, обсуждавшихся ранее, были направлены против централизованных поставщиков услуг криптовалютных активов. До 2020 года и до быстрого роста экосистемы децентрализованных финансов (DeFi) централизованные биржи были основной целью, выбранной Lazarus.
Есть несколько возможных объяснений того, почему Lazarus снова обращает внимание на централизованные сервисы.
Атаки по протоколу DeFi становятся сложнее
Предыдущее исследование Elliptic хакерских атак DeFi в 2022 году показало, что в 2022 году атаки будут происходить в среднем каждые 4 дня, при этом за одну атаку будет украдено в среднем 32,6 миллиона долларов. Межцепочные мосты стали одним из наиболее часто взламываемых типов протоколов DeFi в 2022 году. Эти тенденции, возможно, привели к улучшению стандартов аудита и разработки смарт-контрактов, сужая возможности хакеров для выявления и использования уязвимостей.
Централизованные институты характеризуются высокой сложностью социальных отношений
Во многих предыдущих хакерских атаках Lazarus Group выбрала метод социальной инженерии. Например, взлом Ronin Bridge стоимостью 540 миллионов долларов был совершен бывшим сотрудником компании, которого обманули фейковым предложением о работе в LinkedIn. Однако в децентрализованных службах, как правило, не так много сотрудников, и проекты в определенной степени децентрализованы. Таким образом, получение злонамеренного доступа к разработчику не обязательно может приравниваться к получению административного доступа к смарт-контракту.
В то же время на централизованных биржах, скорее всего, будет занято относительно большое количество сотрудников, тем самым расширяя диапазон возможных целей. Они также могут работать с использованием централизованных внутренних систем информационных технологий, что дает вредоносному ПО Lazarus больше шансов проникнуть в бизнес.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
300 миллионов долларов США за 100 дней: северокорейские хакеры «сумасшедшие деньги» в сфере шифрования
Источник/эллиптический
Компиляция/Ник
Северокорейская хакерская группа Lazarus, похоже, в последнее время активизировала свою деятельность: с 3 июня было подтверждено четыре атаки, направленные на индустрию шифрования. Недавно их заподозрили в проведении пятой атаки. Директор по информационной безопасности SlowMist 23pds написал в Твиттере, что хакерская атака стоимостью 55 миллионов долларов на биржу шифрования CoinEx была организована хакерами, спонсируемыми государством Северной Кореи.
Стоит отметить, что с 2017 года спонсируемые Северной Кореей хакеры украли около 1,2 миллиарда долларов в криптовалюте со всего мира, согласно предыдущему отчету Associated Press со ссылкой на главное шпионское агентство Южной Кореи — Национальную разведывательную службу (NIS). NIS считает, что Северная Корея является одной из наиболее мотивированных стран в мире, когда дело доходит до кражи криптовалют, и страна сосредоточила свое внимание на киберпреступности после того, как Организация Объединенных Наций в 2017 году ужесточила экономические санкции в ответ на ее ядерные и ракетные испытания.
Кроме того, за последние 104 дня было подтверждено, что северокорейская хакерская группа Lazarus украла почти 2,4 миллиона долларов из Atomic Wallet (100 миллионов долларов), CoinsPaid (37,3 миллиона долларов), Alphapo (60 миллионов долларов) и Stake.com (41 миллион долларов). 0,000 млрд криптоактивов.
Как показано на изображении выше, эллиптический анализ показывает, что часть средств, украденных у CoinEx, была отправлена на адрес, используемый организацией Lazarus для хранения средств, украденных у Stake.com, хотя и на другом блокчейне. Затем средства были перенаправлены на Ethereum через перекрестный мост, ранее использовавшийся Lazarus, а затем отправлены обратно на адрес, контролируемый хакерами CoinEx.
Elliptic наблюдала такое смешивание средств от разных хакеров в инциденте с Lazarus, совсем недавно, когда криптовалюта, украденная со Stake.com, была смешана со средствами, украденными из кошелька Atomic. Эти случаи объединения средств разных хакеров показаны оранжевым цветом на изображении ниже.
01. Лазарь провел 5 атак за 104 дня
В 2022 году на счет Lazarus был возложен ряд громких хакерских атак, в том числе атаки на Horizon Bridge компании Harmony и Ronin Bridge компании Axie Infinity, обе из которых произошли в первой половине прошлого года. С тех пор и до июня этого года Лазарусу публично не приписывалось ни одной крупной кражи криптовалюты. Таким образом, различные хакерские атаки за последние 104 дня свидетельствуют об активизации деятельности этой северокорейской хакерской группировки.
3 июня 2023 года пользователи некастодиального децентрализованного криптовалютного кошелька Atomic Wallet потеряли более 100 миллионов долларов. Elliptic официально обвинила Lazarus во взломе 6 июня 2023 года после выявления множества факторов, указывающих на ответственность северокорейской хакерской группы, что позже было подтверждено ФБР.
22 июля 2023 года Lazarus получил доступ к горячему кошельку, принадлежащему платформе криптовалютных платежей CoinsPaid, посредством атаки социальной инженерии. Этот доступ позволил злоумышленнику создать запросы на авторизацию для вывода криптоактивов на сумму около 37,3 миллиона долларов из горячего кошелька платформы. 26 июля CoinsPaid опубликовала отчет, в котором утверждается, что ответственность за атаку несет Лазарус, что также подтвердило Федеральное бюро расследований (ФБР).
В тот же день, 22 июля, Lazarus провел еще одну громкую атаку, на этот раз нацеленную на поставщика централизованных криптовалютных платежей Alphapo, похитив криптоактивы на сумму 60 миллионов долларов. Злоумышленник мог получить доступ через ранее утекший секретный ключ. Позже ФБР подтвердило, что ответственность за нападение несет Лазарус.
4 сентября 2023 года криптовалютная онлайн-платформа азартных игр Stake.com подверглась атаке, в ходе которой были украдены виртуальные валюты на общую сумму около 41 миллиона долларов США, возможно, из-за кражи закрытых ключей. 6 сентября ФБР объявило, что организатором нападения была организация Lazarus.
Наконец, 12 сентября 2023 года централизованная биржа криптовалют CoinEx подверглась хакерской атаке, в результате которой было украдено 54 миллиона долларов. Как упоминалось выше, многочисленные доказательства указывают на то, что Лазарус был хакером, ответственным за эту атаку.
02. Лазарь изменил тактику?
Анализ последней деятельности Lazarus показывает, что с прошлого года они сместили акцент с децентрализованных сервисов на централизованные. Четыре из последних пяти взломов, обсуждавшихся ранее, были направлены против централизованных поставщиков услуг криптовалютных активов. До 2020 года и до быстрого роста экосистемы децентрализованных финансов (DeFi) централизованные биржи были основной целью, выбранной Lazarus.
Есть несколько возможных объяснений того, почему Lazarus снова обращает внимание на централизованные сервисы.
Атаки по протоколу DeFi становятся сложнее
Предыдущее исследование Elliptic хакерских атак DeFi в 2022 году показало, что в 2022 году атаки будут происходить в среднем каждые 4 дня, при этом за одну атаку будет украдено в среднем 32,6 миллиона долларов. Межцепочные мосты стали одним из наиболее часто взламываемых типов протоколов DeFi в 2022 году. Эти тенденции, возможно, привели к улучшению стандартов аудита и разработки смарт-контрактов, сужая возможности хакеров для выявления и использования уязвимостей.
Централизованные институты характеризуются высокой сложностью социальных отношений
Во многих предыдущих хакерских атаках Lazarus Group выбрала метод социальной инженерии. Например, взлом Ronin Bridge стоимостью 540 миллионов долларов был совершен бывшим сотрудником компании, которого обманули фейковым предложением о работе в LinkedIn. Однако в децентрализованных службах, как правило, не так много сотрудников, и проекты в определенной степени децентрализованы. Таким образом, получение злонамеренного доступа к разработчику не обязательно может приравниваться к получению административного доступа к смарт-контракту.
В то же время на централизованных биржах, скорее всего, будет занято относительно большое количество сотрудников, тем самым расширяя диапазон возможных целей. Они также могут работать с использованием централизованных внутренних систем информационных технологий, что дает вредоносному ПО Lazarus больше шансов проникнуть в бизнес.