Оригінальний текст складено: Babywhale, Foresight News
Північнокорейська хакерська група Lazarus, схоже, нещодавно активізувала свою діяльність.Вона підтвердила чотири атаки на криптовалютні компанії з 3 червня, а недавню атаку на криптовалютну біржу CoinEx, ймовірно, здійснив Lazarus. У відповідь CoinEx опублікував кілька твітів, в яких говориться, що підозрілі адреси гаманців все ще ідентифікуються, тому загальна вартість вкрадених коштів ще не ясна, але вона може досягти 54 мільйонів доларів.
Було підтверджено, що за останні 100 днів Lazarus вкрав майже 240 мільйонів доларів з Atomic Wallet (100 мільйонів доларів), CoinsPaid (37,3 мільйона доларів), Alphapo (60 мільйонів доларів) і Stake.com (41 мільйон доларів).
Як показано вище, Elliptic проаналізувала, що деякі кошти, вкрадені з CoinEx, були надіслані на адресу, яка використовується організацією Lazarus для зберігання коштів, викрадених із Stake.com, хоча й на іншому блокчейні. Потім кошти були перехресно підключені до Ethereum через перехресний міст, який раніше використовувався Lazarus, а потім відправлені назад на адресу, яка, як відомо, контролюється хакерами CoinEx. Elliptic спостерігав таке змішування коштів від різних хакерів під час інциденту Lazarus, нещодавно коли кошти, викрадені з Stake.com, були змішані з коштами, викраденими з гаманця Atomic. Ці випадки об’єднання коштів від різних хакерів показано помаранчевим кольором на зображенні нижче.
П'ять атак за 100 днів
У 2022 році Lazarus приписали кілька гучних хакерських атак, зокрема атаку на міст Horizon Bridge компанії Harmony і атаку на міст Ronin Bridge компанії Axie Infinity, обидва відбулися в першій половині минулого року. З тих пір і до червня цього року Lazarus публічно не приписував жодних великих крадіжок криптовалюти. Таким чином, різні хакерські атаки за останні 100 днів або близько того свідчать про те, що північнокорейські хакерські групи знову стають активними.
3 червня 2023 року користувачі некастодіального децентралізованого гаманця для криптовалют Atomic Wallet втратили понад 100 мільйонів доларів. Elliptic офіційно приписав злом Lazarus 6 червня 2023 року після визначення кількох факторів, які вказували на відповідальність північнокорейської групи хакерів, що пізніше було підтверджено ФБР.
22 липня 2023 року Lazarus отримав доступ до гарячого гаманця, що належить платформі криптоплатежів CoinsPaid, через атаку соціальної інженерії. Цей доступ дозволив зловмиснику створювати запити на авторизацію, щоб вивести приблизно 37,3 мільйона доларів криптоактивів із гарячого гаманця платформи. 26 липня CoinsPaid опублікував звіт, в якому стверджував, що Lazarus відповідальний за атаку, що було підтверджено ФБР.
Того ж дня, 22 липня, Lazarus провів ще одну атаку, цього разу націлену на постачальника централізованих криптовалютних платежів Alphapo, викравши криптовалютні активи на суму 60 мільйонів доларів. Можливо, зловмисник отримав доступ через раніше розкритий закритий ключ. Пізніше ФБР підтвердило, що Лазарус був нападником у цьому інциденті.
4 вересня 2023 року онлайн-платформу азартних ігор у криптовалюті Stake.com зазнали атаки, у результаті якої було викрадено криптовалюту на суму приблизно 41 мільйон доларів, ймовірно, через крадіжку закритих ключів. 6 вересня ФБР оприлюднило заяву, в якій підтвердило, що за нападом стоїть організація Lazarus.
Нарешті 12 вересня 2023 року жертвою хакерської атаки стала централізована криптовалютна біржа CoinEx, на якій було викрадено 54 мільйони доларів. Як згадувалося вище, численні докази вказують на те, що Лазар відповідальний за цей напад.
Лазар змінив свою "тактику"?
Аналіз останньої діяльності Lazarus показує, що з минулого року вони змістили свою увагу з децентралізованих послуг на централізовані. Чотири з п’яти недавніх хакерів, які обговорювалися раніше, були націлені на централізованих постачальників послуг криптоактивів. До 2020 року, до швидкого зростання екосистеми DeFi, централізовані біржі були основною метою Lazarus.
Є кілька можливих пояснень того, чому Lazarus знову звертає увагу на централізовані служби.
Приділіть більше уваги безпеці: попередні дослідження Elliptic про хакерські атаки DeFi у 2022 році показали, що атака відбуватиметься в середньому кожні чотири дні у 2022 році, в середньому викрадаючи 32,6 мільйона доларів за атаку. Перехресні ланцюгові мости стали одним із типів протоколів DeFi, які найчастіше зламують у 2022 році. Ці тенденції могли спонукати до вдосконалення стандартів аудиту та розробки смарт-контрактів, звужуючи можливості хакерів для виявлення та використання вразливостей.
Схильність до соціальної інженерії: під час численних хакерських атак група Lazarus Group вибрала метод атаки за допомогою соціальної інженерії. Наприклад, злом Ronin Bridge вартістю 540 мільйонів доларів був «прогалиною», знайденою через підроблені вакансії на LinkedIn. Однак децентралізовані служби, як правило, не мають багато співробітників і, як випливає з назви, децентралізовані різним ступенем. Тому отримання зловмисного доступу до розробника не обов’язково прирівнюється до отримання адміністративного доступу до смарт-контракту.
У той же час централізовані біржі, швидше за все, залучать відносно більшу робочу силу, розширюючи таким чином діапазон можливих цілей. Вони також можуть працювати за допомогою централізованих внутрішніх систем інформаційних технологій, що дає зловмисним програмам Lazarus більше шансів проникнути в бізнес.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Хакерське угруповання Північної Кореї Lazarus за 100 днів "зграбало" 300 мільйонів доларів і атакувало централізовані установи
Оригінальний автор: Elliptic
Оригінальний текст складено: Babywhale, Foresight News
Північнокорейська хакерська група Lazarus, схоже, нещодавно активізувала свою діяльність.Вона підтвердила чотири атаки на криптовалютні компанії з 3 червня, а недавню атаку на криптовалютну біржу CoinEx, ймовірно, здійснив Lazarus. У відповідь CoinEx опублікував кілька твітів, в яких говориться, що підозрілі адреси гаманців все ще ідентифікуються, тому загальна вартість вкрадених коштів ще не ясна, але вона може досягти 54 мільйонів доларів.
Було підтверджено, що за останні 100 днів Lazarus вкрав майже 240 мільйонів доларів з Atomic Wallet (100 мільйонів доларів), CoinsPaid (37,3 мільйона доларів), Alphapo (60 мільйонів доларів) і Stake.com (41 мільйон доларів).
Як показано вище, Elliptic проаналізувала, що деякі кошти, вкрадені з CoinEx, були надіслані на адресу, яка використовується організацією Lazarus для зберігання коштів, викрадених із Stake.com, хоча й на іншому блокчейні. Потім кошти були перехресно підключені до Ethereum через перехресний міст, який раніше використовувався Lazarus, а потім відправлені назад на адресу, яка, як відомо, контролюється хакерами CoinEx. Elliptic спостерігав таке змішування коштів від різних хакерів під час інциденту Lazarus, нещодавно коли кошти, викрадені з Stake.com, були змішані з коштами, викраденими з гаманця Atomic. Ці випадки об’єднання коштів від різних хакерів показано помаранчевим кольором на зображенні нижче.
П'ять атак за 100 днів
У 2022 році Lazarus приписали кілька гучних хакерських атак, зокрема атаку на міст Horizon Bridge компанії Harmony і атаку на міст Ronin Bridge компанії Axie Infinity, обидва відбулися в першій половині минулого року. З тих пір і до червня цього року Lazarus публічно не приписував жодних великих крадіжок криптовалюти. Таким чином, різні хакерські атаки за останні 100 днів або близько того свідчать про те, що північнокорейські хакерські групи знову стають активними.
3 червня 2023 року користувачі некастодіального децентралізованого гаманця для криптовалют Atomic Wallet втратили понад 100 мільйонів доларів. Elliptic офіційно приписав злом Lazarus 6 червня 2023 року після визначення кількох факторів, які вказували на відповідальність північнокорейської групи хакерів, що пізніше було підтверджено ФБР.
22 липня 2023 року Lazarus отримав доступ до гарячого гаманця, що належить платформі криптоплатежів CoinsPaid, через атаку соціальної інженерії. Цей доступ дозволив зловмиснику створювати запити на авторизацію, щоб вивести приблизно 37,3 мільйона доларів криптоактивів із гарячого гаманця платформи. 26 липня CoinsPaid опублікував звіт, в якому стверджував, що Lazarus відповідальний за атаку, що було підтверджено ФБР.
Того ж дня, 22 липня, Lazarus провів ще одну атаку, цього разу націлену на постачальника централізованих криптовалютних платежів Alphapo, викравши криптовалютні активи на суму 60 мільйонів доларів. Можливо, зловмисник отримав доступ через раніше розкритий закритий ключ. Пізніше ФБР підтвердило, що Лазарус був нападником у цьому інциденті.
4 вересня 2023 року онлайн-платформу азартних ігор у криптовалюті Stake.com зазнали атаки, у результаті якої було викрадено криптовалюту на суму приблизно 41 мільйон доларів, ймовірно, через крадіжку закритих ключів. 6 вересня ФБР оприлюднило заяву, в якій підтвердило, що за нападом стоїть організація Lazarus.
Нарешті 12 вересня 2023 року жертвою хакерської атаки стала централізована криптовалютна біржа CoinEx, на якій було викрадено 54 мільйони доларів. Як згадувалося вище, численні докази вказують на те, що Лазар відповідальний за цей напад.
Лазар змінив свою "тактику"?
Аналіз останньої діяльності Lazarus показує, що з минулого року вони змістили свою увагу з децентралізованих послуг на централізовані. Чотири з п’яти недавніх хакерів, які обговорювалися раніше, були націлені на централізованих постачальників послуг криптоактивів. До 2020 року, до швидкого зростання екосистеми DeFi, централізовані біржі були основною метою Lazarus.
Є кілька можливих пояснень того, чому Lazarus знову звертає увагу на централізовані служби.
Приділіть більше уваги безпеці: попередні дослідження Elliptic про хакерські атаки DeFi у 2022 році показали, що атака відбуватиметься в середньому кожні чотири дні у 2022 році, в середньому викрадаючи 32,6 мільйона доларів за атаку. Перехресні ланцюгові мости стали одним із типів протоколів DeFi, які найчастіше зламують у 2022 році. Ці тенденції могли спонукати до вдосконалення стандартів аудиту та розробки смарт-контрактів, звужуючи можливості хакерів для виявлення та використання вразливостей.
Схильність до соціальної інженерії: під час численних хакерських атак група Lazarus Group вибрала метод атаки за допомогою соціальної інженерії. Наприклад, злом Ronin Bridge вартістю 540 мільйонів доларів був «прогалиною», знайденою через підроблені вакансії на LinkedIn. Однак децентралізовані служби, як правило, не мають багато співробітників і, як випливає з назви, децентралізовані різним ступенем. Тому отримання зловмисного доступу до розробника не обов’язково прирівнюється до отримання адміністративного доступу до смарт-контракту.
У той же час централізовані біржі, швидше за все, залучать відносно більшу робочу силу, розширюючи таким чином діапазон можливих цілей. Вони також можуть працювати за допомогою централізованих внутрішніх систем інформаційних технологій, що дає зловмисним програмам Lazarus більше шансів проникнути в бізнес.