Кібератака групи Lazarus: вкрадено $5.2 мільйона у криптотрейдера за допомогою шкідливого ПЗ

ГрупаLazarus з Північної Кореї була пов`язана з кібернападом, в результаті якого було вкрадено понад$5.2 мільйона у криптотрейдера 24 травня, згідно з даними блокчейн-розслідувачаZackXBT. Крадіжка сталася внаслідок складної атаки з використанням шкідливого програмного забезпечення, при цьому кошти були виведені з кількох типів гаманців, включаючиmultisig,EOA та гаманці криптобірж.

Інцидент, що був оприлюднений наTelegram-каналі ZackXBTу вівторок, натякнув на те, що група може змінити свій фокус з високоприбуткових осіб та компаній на індивідуальних трейдерів.

Після крадіжки, приблизно1000 ETH були переведені в Tornado Cash, сервіс для змішування криптовалюти, який зазвичай використовують для закриття походження вкрадених цифрових активів. Вкрадені активи були швидко ліквідовані на відкритому ринку.

КаналZackXBT навів три адреси Ethereum, пов’язані з крадіжкою. Разом із невеликими балансами токенівQBX,Blocklords,Astra Protocol таDAI на загальну суму близько$1340, головна адреса мала більше40 ETH, що становить близько$107,000 за поточними ринковими значеннями. Вважається, що ці кошти були частиною прибутків від атаки шкідливого програмного забезпечення.

У минулі вихідні через другу адресу були оброблені лишедев`ять транзакцій, яка, здавалося, була новою. Вона надіслала понад200 ETH на основну адресу. На момент публікації, інша криптоадреса утримувала близько$2.7 мільйона DAI, що було більшістю вкрадених коштів.

Ця поведінка відповідає тому, що було виявлено в недавньому дослідженні компаніїTRM Labs, яке описує світову мережу російських кримінальних організацій та китайських брокерів, яких Північна Корея використовує для відмивання своїх незаконних прибутків.

Згідно з доповіддю,Lazarus постачає технічну експертизу, але їхні партнери забезпечують канали для інтеграції вкрадених коштів у легальні ринки. Процес відмивання грошей продовжується уQ2 2025.

У квітні, аналітична фірмаSpotOnChain повідомила, що гаманець, що вважається пов`язаним зLazarus, продав40.78 Wrapped Bitcoin (WBTC) за$3.51 мільйона. Bitcoin, спочатку куплений у лютому 2023 року за близько$999,900 під час торгівлі WBTC за$24,521, був проданий за$83,459 за монету з прибутком251% за два роки.

Дохід було конвертовано в1,847 ETH і пізніше розподілено між трьома гаманцями. Найбільша частка1,865 ETH була відстежена до іншого гаманця, яким, як повідомляється, керує група. Замість того, щоб утримувати конвертований ETH,Lazarus розподілив2,507 ETH між кількома адресами.

Хакери, пов`язані з Північною Кореєю, також були пов`язані з відомим$1.5 мільярда злочином на криптобіржіBybit. Після порушення безпеки група, за повідомленням, відмила майже500,000 ETH, що еквівалентно близько$1.39 мільярда, через кілька транзакцій всього за десять днів.

Щонайменше$605 мільйонів було переведено через децентралізований ліквідний протоколTHORChain за один день. Проте, платформа блокчейн-інтелектуArkham Intelligence оцінює, що гаманці, пов`язані зLazarus, досі утримують приблизно$1.1 мільярда в криптозапасах, включаючи значні активи в Bitcoin, Ethereum і Tether.

Розслідувачі ООН, які контролюють дотримання санкцій, вважають, що доходи від цих кібернападів перенаправляються на програму розробки зброї Північної Кореї. Між 2017 і 2023 роками, країна, як повідомляється, використовувала криптовалютні доходи для покращення своєї ракетної технології, збільшуючи свою здатність вражати цілі далеко за межами Корейського півострова.

У доповіді, опублікованій в грудні минулого року,Chainalysis підтвердила, що хакери, пов`язані з режимом, вкрали понад$1.3 мільярда в криптовалюті в 2024 році через 47 інцидентів.

“Хакери, пов`язані з Північною Кореєю, стали відомими своїми складними та невгамовними методами”, - зазначає доповідьChainalysis, підкреслюючи, що ці зусилля використовуються для обходу міжнародних санкцій і фінансування незаконних операцій держави.