Північнокорейська хакерська група Lazarus, схоже, нещодавно активізувала свою діяльність, з 3 червня було підтверджено чотири атаки, спрямовані на індустрію шифрування. Нещодавно їх підозрювали у здійсненні п'ятої атаки.Офіцер з інформаційної безпеки SlowMist 23pds написав у Twitter, що хакерська атака на біржу шифрування CoinEx на суму 55 мільйонів доларів була спричинена хакерами, спонсорованими державою Північної Кореї.
Варто зазначити, що спонсоровані Північною Кореєю хакери викрали приблизно 1,2 мільярда доларів у криптовалюті з усього світу з 2017 року, згідно з попереднім звітом Associated Press із посиланням на головне шпигунське агентство Південної Кореї, Національну розвідувальну службу (NIS). NIS вважає, що Північна Корея є однією з найбільш мотивованих країн у світі, коли справа стосується крадіжки криптовалют, і країна звернула увагу на кіберзлочинність після того, як ООН у 2017 році посилила економічні санкції у відповідь на її ядерні та ракетні випробування.
Крім того, за останні 104 дні було підтверджено, що північнокорейська хакерська група Lazarus вкрала майже 2,4 мільйона доларів з Atomic Wallet (100 мільйонів доларів), CoinsPaid (37,3 мільйона доларів), Alphapo (60 мільйонів доларів) і Stake.com (41 мільйон доларів) .млрд криптоактивів.
Як показано на зображенні вище, Еліптичний аналіз показує, що деякі кошти, вкрадені з CoinEx, були надіслані на адресу, яку використовує організація Lazarus для зберігання коштів, викрадених із Stake.com, хоча й на іншому блокчейні. Потім кошти були перехресно підключені до Ethereum через перехресний міст, який раніше використовувався Lazarus, а потім відправлені назад на адресу, контрольовану хакерами CoinEx.
Elliptic спостерігав таке змішування коштів від різних хакерів під час інциденту Lazarus, нещодавно, коли криптовалюта, викрадена з Stake.com, була змішана з коштами, викраденими з гаманця Atomic. Ці випадки об’єднання коштів від різних хакерів показано помаранчевим кольором на зображенні нижче.
01. Лазар здійснив 5 атак за 104 дні
У 2022 році Lazarus приписали низку резонансних хакерських атак, зокрема атаки на Horizon Bridge від Harmony та Ronin Bridge від Axie Infinity, обидві вони відбулися в першій половині минулого року. З тих пір і до червня цього року Lazarus публічно не приписував жодних великих крадіжок криптовалюти. Тому різноманітні хакерські атаки за останні 104 дні свідчать про зростання активності цього північнокорейського хакерського угруповання.
3 червня 2023 року користувачі некастодіального децентралізованого гаманця для криптовалют Atomic Wallet втратили понад 100 мільйонів доларів. Elliptic офіційно звинуватив Lazarus у зломі 6 червня 2023 року після виявлення кількох факторів, які вказували на відповідальність північнокорейської хакерської групи, що пізніше було підтверджено ФБР.
22 липня 2023 року Lazarus отримав доступ до гарячого гаманця, що належить платформі криптоплатежів CoinsPaid, через атаку соціальної інженерії. Цей доступ дозволив зловмиснику створювати запити на авторизацію, щоб вивести приблизно 37,3 мільйона доларів криптоактивів із гарячого гаманця платформи. 26 липня CoinsPaid опублікував звіт, у якому стверджував, що Lazarus відповідальний за атаку, що також було підтверджено Федеральним бюро розслідувань (ФБР).
Того ж дня, 22 липня, Lazarus провів ще одну резонансну атаку, цього разу націлену на постачальника централізованих крипто-платежів Alphapo, викравши криптоактиви на 60 мільйонів доларів. Можливо, зловмисник отримав доступ через раніше розкритий закритий ключ. Пізніше ФБР підтвердило, що відповідальність за напад несе Лазарус.
4 вересня 2023 року криптовалютна онлайн-платформа для азартних ігор Stake.com зазнала атаки, і було викрадено віртуальні валюти на загальну суму приблизно 41 мільйон доларів США, ймовірно, через крадіжку закритих ключів. 6 вересня ФБР оголосило, що організатором нападу була організація Lazarus.
Нарешті, 12 вересня 2023 року централізована криптовалютна біржа CoinEx зазнала хакерської атаки та викрала 54 мільйони доларів. Як згадувалося вище, численні докази вказують на те, що Лазар є хакером, відповідальним за цю атаку.
02. Лазар змінив свою тактику?
Аналіз останньої діяльності Lazarus показує, що з минулого року вони змістили свою увагу з децентралізованих послуг на централізовані. Чотири з останніх п’яти хакерів, які обговорювалися раніше, були спрямовані проти централізованих постачальників послуг криптоактивів. До 2020 року та до швидкого зростання екосистеми децентралізованих фінансів (DeFi) централізовані біржі були основною ціллю, обраною Lazarus.
Є кілька можливих пояснень того, чому Lazarus знову звертає увагу на централізовані служби.
Атаки на протокол DeFi ускладнюються
Попереднє дослідження Elliptic про хакерські атаки DeFi у 2022 році показало, що атака відбувалася в середньому кожні 4 дні у 2022 році, в середньому викрадаючи 32,6 мільйона доларів за атаку. Перехресні ланцюгові мости стали одним із типів протоколів DeFi, які найчастіше зламують у 2022 році. Ці тенденції могли спонукати до вдосконалення стандартів аудиту та розробки смарт-контрактів, звужуючи можливості хакерів для виявлення та використання вразливостей.
Централізовані установи мають високу складність соціальних відносин
У багатьох попередніх хакерських атаках метод атаки, обраний Lazarus Group, була соціальною інженерією. Наприклад, злом Ronin Bridge вартістю 540 мільйонів доларів був спричинений колишнім співробітником компанії, який був ошуканий фальшивою пропозицією про роботу в LinkedIn. Однак децентралізовані служби, як правило, не мають багато співробітників, і проекти децентралізовані до певної міри. Тому отримання зловмисного доступу до розробника не обов’язково прирівнюється до отримання адміністративного доступу до смарт-контракту.
У той же час централізовані біржі, ймовірно, залучать відносно велику кількість працівників, що розширює коло можливих цілей. Вони також можуть працювати за допомогою централізованих внутрішніх систем інформаційних технологій, що дає зловмисним програмам Lazarus більше шансів проникнути в бізнес.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
300 мільйонів доларів США за 100 днів, північнокорейські хакери "шалені гроші" в колі шифрування
Джерело/еліптичний
Компіляція/Нік
Північнокорейська хакерська група Lazarus, схоже, нещодавно активізувала свою діяльність, з 3 червня було підтверджено чотири атаки, спрямовані на індустрію шифрування. Нещодавно їх підозрювали у здійсненні п'ятої атаки.Офіцер з інформаційної безпеки SlowMist 23pds написав у Twitter, що хакерська атака на біржу шифрування CoinEx на суму 55 мільйонів доларів була спричинена хакерами, спонсорованими державою Північної Кореї.
Варто зазначити, що спонсоровані Північною Кореєю хакери викрали приблизно 1,2 мільярда доларів у криптовалюті з усього світу з 2017 року, згідно з попереднім звітом Associated Press із посиланням на головне шпигунське агентство Південної Кореї, Національну розвідувальну службу (NIS). NIS вважає, що Північна Корея є однією з найбільш мотивованих країн у світі, коли справа стосується крадіжки криптовалют, і країна звернула увагу на кіберзлочинність після того, як ООН у 2017 році посилила економічні санкції у відповідь на її ядерні та ракетні випробування.
Крім того, за останні 104 дні було підтверджено, що північнокорейська хакерська група Lazarus вкрала майже 2,4 мільйона доларів з Atomic Wallet (100 мільйонів доларів), CoinsPaid (37,3 мільйона доларів), Alphapo (60 мільйонів доларів) і Stake.com (41 мільйон доларів) .млрд криптоактивів.
Як показано на зображенні вище, Еліптичний аналіз показує, що деякі кошти, вкрадені з CoinEx, були надіслані на адресу, яку використовує організація Lazarus для зберігання коштів, викрадених із Stake.com, хоча й на іншому блокчейні. Потім кошти були перехресно підключені до Ethereum через перехресний міст, який раніше використовувався Lazarus, а потім відправлені назад на адресу, контрольовану хакерами CoinEx.
Elliptic спостерігав таке змішування коштів від різних хакерів під час інциденту Lazarus, нещодавно, коли криптовалюта, викрадена з Stake.com, була змішана з коштами, викраденими з гаманця Atomic. Ці випадки об’єднання коштів від різних хакерів показано помаранчевим кольором на зображенні нижче.
01. Лазар здійснив 5 атак за 104 дні
У 2022 році Lazarus приписали низку резонансних хакерських атак, зокрема атаки на Horizon Bridge від Harmony та Ronin Bridge від Axie Infinity, обидві вони відбулися в першій половині минулого року. З тих пір і до червня цього року Lazarus публічно не приписував жодних великих крадіжок криптовалюти. Тому різноманітні хакерські атаки за останні 104 дні свідчать про зростання активності цього північнокорейського хакерського угруповання.
3 червня 2023 року користувачі некастодіального децентралізованого гаманця для криптовалют Atomic Wallet втратили понад 100 мільйонів доларів. Elliptic офіційно звинуватив Lazarus у зломі 6 червня 2023 року після виявлення кількох факторів, які вказували на відповідальність північнокорейської хакерської групи, що пізніше було підтверджено ФБР.
22 липня 2023 року Lazarus отримав доступ до гарячого гаманця, що належить платформі криптоплатежів CoinsPaid, через атаку соціальної інженерії. Цей доступ дозволив зловмиснику створювати запити на авторизацію, щоб вивести приблизно 37,3 мільйона доларів криптоактивів із гарячого гаманця платформи. 26 липня CoinsPaid опублікував звіт, у якому стверджував, що Lazarus відповідальний за атаку, що також було підтверджено Федеральним бюро розслідувань (ФБР).
Того ж дня, 22 липня, Lazarus провів ще одну резонансну атаку, цього разу націлену на постачальника централізованих крипто-платежів Alphapo, викравши криптоактиви на 60 мільйонів доларів. Можливо, зловмисник отримав доступ через раніше розкритий закритий ключ. Пізніше ФБР підтвердило, що відповідальність за напад несе Лазарус.
4 вересня 2023 року криптовалютна онлайн-платформа для азартних ігор Stake.com зазнала атаки, і було викрадено віртуальні валюти на загальну суму приблизно 41 мільйон доларів США, ймовірно, через крадіжку закритих ключів. 6 вересня ФБР оголосило, що організатором нападу була організація Lazarus.
Нарешті, 12 вересня 2023 року централізована криптовалютна біржа CoinEx зазнала хакерської атаки та викрала 54 мільйони доларів. Як згадувалося вище, численні докази вказують на те, що Лазар є хакером, відповідальним за цю атаку.
02. Лазар змінив свою тактику?
Аналіз останньої діяльності Lazarus показує, що з минулого року вони змістили свою увагу з децентралізованих послуг на централізовані. Чотири з останніх п’яти хакерів, які обговорювалися раніше, були спрямовані проти централізованих постачальників послуг криптоактивів. До 2020 року та до швидкого зростання екосистеми децентралізованих фінансів (DeFi) централізовані біржі були основною ціллю, обраною Lazarus.
Є кілька можливих пояснень того, чому Lazarus знову звертає увагу на централізовані служби.
Атаки на протокол DeFi ускладнюються
Попереднє дослідження Elliptic про хакерські атаки DeFi у 2022 році показало, що атака відбувалася в середньому кожні 4 дні у 2022 році, в середньому викрадаючи 32,6 мільйона доларів за атаку. Перехресні ланцюгові мости стали одним із типів протоколів DeFi, які найчастіше зламують у 2022 році. Ці тенденції могли спонукати до вдосконалення стандартів аудиту та розробки смарт-контрактів, звужуючи можливості хакерів для виявлення та використання вразливостей.
Централізовані установи мають високу складність соціальних відносин
У багатьох попередніх хакерських атаках метод атаки, обраний Lazarus Group, була соціальною інженерією. Наприклад, злом Ronin Bridge вартістю 540 мільйонів доларів був спричинений колишнім співробітником компанії, який був ошуканий фальшивою пропозицією про роботу в LinkedIn. Однак децентралізовані служби, як правило, не мають багато співробітників, і проекти децентралізовані до певної міри. Тому отримання зловмисного доступу до розробника не обов’язково прирівнюється до отримання адміністративного доступу до смарт-контракту.
У той же час централізовані біржі, ймовірно, залучать відносно велику кількість працівників, що розширює коло можливих цілей. Вони також можуть працювати за допомогою централізованих внутрішніх систем інформаційних технологій, що дає зловмисним програмам Lazarus більше шансів проникнути в бізнес.