В недавнем докладе Организации Объединенных Наций упоминается тревожный факт. В прошлом году Северная Корея финансировала свои военные программы в основном за счет успешной кражи криптовалют. Как происходят подобные атаки?
Согласно отчету в Совет Безопасности ООН, в 2020 году и первой половине 2021 года северокорейцы получили 50 миллионов долларов от кражи криптоактивов. Об этом сообщило агентство Рейтер.
Однако сама информация не является абсолютно новой, и сама сумма может быть на самом деле намного больше. Криминалистическая компания Blockchain Chainalysis в январе представила собственную оценку, в которой утверждается, что потери значительно выше. Северокорейские хакеры должны были установить исторический рекорд в прошлом году, заработав солидные 400 миллионов долларов на украденных криптовалютах.
Для страны полученные таким образом криптоактивы должны сыграть важную роль в обходе международных санкций. Как на самом деле происходят такие атаки? Благодаря Chainalysis и отчетам антивирусных компаний, занимающихся кибербезопасностью, мы можем немного заглянуть под завесу тайны.
По данным Chainalysis, в 2021 году северокорейские хакеры осуществили как минимум семь атак на крупные криптовалютные платформы, в ходе которых должны были похитить криптоактивы на вышеупомянутые 400 миллионов долларов. Жертвами в основном были централизованные фондовые биржи и учреждения, держащие на хранении значительный объем криптоактивов, как правило, инвестиционные фирмы.
Как проходили атаки?
Хотя Северную Корею обычно не приводят в пример технологического совершенства, ее хакеры — известное исключение из правил. В нашем конкретном случае это в основном продвинутая постоянная угроза APT 38, печально известной хакерской группы Lazarus Group, которая действует с 2009 года и, как говорят здесь, поддерживается Генеральным бюро разведки, также известным как Chongch'al Ch'onggu, или сокращенно RGB. Всего в стране, по оценкам, работает около 7000 хакеров.
Интересно, что сам Lazarus не имел дела с криптовалютами с самого начала, он только вошел в них в 2017 году. Однако с тех пор кражи и вымогательства, связанные с криптовалютами, составили существенную часть деятельности группы. По данным Checkpoint, группировка изначально специализировалась на атаках на Южную Корею и США, но сегодня действует практически по всему миру.
— Мы анализируем текущую деятельность Lazarus Group. Мы можем подтвердить, что эта группа сочетает широкомасштабные и целенаправленные атаки на различные криптовалютные биржи, где они смогли получить доступ к внутренним онлайн-кошелькам, а также угрожали отдельным владельцам большего и меньшего количества криптовалют. Например, они часто выдают себя за сотрудников службы технической поддержки и используют методы социальной инженерии, чтобы убедить пользователей отправить им разные суммы в криптовалюте или предоставить им дополнительную информацию об их счетах. Но в данный момент мы не можем вдаваться в подробности, — говорит Жан-Иан Бутен , руководитель отдела исследования угроз безопасности в ESET.
Chainalysis утверждает, что группа обнаружила золотую жилу в криптовалютах примерно в 2018 году и с тех пор крадет и отмывает криптоактивы в среднем на 200 миллионов долларов в год. Одним из самых успешных действий группы является взлом криптовалюты KuCoin летом 2020 года, когда группа похитила криптовалюты на 280 миллионов долларов. Однако прошлый год также стал рекордным для группы, количество успешных взломов увеличилось с четырех в 2020 году до семи, а стоимость украденных криптовалют, выраженная в фиатных деньгах, увеличилась примерно на 40%.
Больше всего украденных средств было в Эфире — 58 процентов, на долю Биткоинов приходилось 20 процентов, а остальные 22 процента — токены ERC-20 и минорные криптовалюты.
Конечно, количество криптовалют усложняет отмывание денег для хакеров. Основная схема такого процесса выглядит следующим образом. В случае с токенами ERC-20 и менее значимыми альткоинами они сначала обмениваются на Эфир через децентрализованную биржу, затем полученный Эфир проходит через миксер и снова обменивается на децентрализованной бирже, на этот раз на Биткоин.
Впоследствии Биткоин загоняется сервисом микширования на смену и постепенно консолидируется на новых «чистых» адресах. Консолидированные Биткоины отсюда направляются на классические централизованные криптовалютные Восточные фондовые биржи, как правило, в Азии, где может иметь место потенциальный вывод средств (обычно в китайских юанях).
По данным Chainalysis, прошлый год был исключительным для северокорейских злоумышленников с точки зрения использования сервисов микширования. В 2021 году через них утекло 65% средств, которые украл Lazarus, но в 2020 году было меньше половины — 42%, а в 2019 году даже всего 21%. Таким образом, нападавшие стали намного осторожнее. Однако не всем северокорейцам удается их отмывать.
Chainalysis выявила кошельки в результате 49 атак с 2017 по 2021 год, которые содержали ожидающие криптовалюты на сумму 170 миллионов долларов в январе этого года. Около 35 миллионов из этой суммы приходится на атаки в период с 2020 по 2021 год.
Интересно, что украденные криптовалюты на $55 млн пришлись на атаки 2016 г. По совпадению, на Bitfinex было украдено рекордные 120 000 Биткоинов. Некоторые совпадения просто невозможно выдумать.
Подписывайтесь на «Гродно 24» в Дзен Новости и на наш канал в Дзен