Северокорейские хакеры владеют неотмытой криптовалютой на сумму 170 миллионов долларов.

Киберпреступники из Корейской Народно-Демократической Республики (КНДР) заявили о себе как о серьезной постоянной угрозе индустрии криптовалют в 2021 году, сообщает Chainalysis.

Согласно платформе данных на основе блокчейна, которая поддерживает государственный и частный секторы в обнаружении и предотвращении незаконного использования криптовалют, северокорейские хакеры украли криптовалюту на сумму 400 миллионов долларов в прошлом году, в то время как общая сумма неотмытых средств достигла рекордно высокого уровня. (АТХ).

"Лазарь Групп"

Ориентируясь в первую очередь на инвестиционные фирмы и централизованные биржи, северокорейские хакеры предприняли как минимум семь атак на криптовалютные платформы, получив в 2021 году криптовалюту на сумму почти 400 миллионов долларов.

Хотя по сравнению с 2020 годом количество атак увеличилось с четырех до семи, извлекаемая стоимость выросла на 40%.

Чтобы перекачивать средства из «горячих» кошельков этих организаций на адреса, контролируемые КНДР, киберпреступники использовали фишинговые приманки, кодовые эксплойты, вредоносное ПО и передовую социальную инженерию.

Как только Северная Корея получила украденную криптовалюту, они использовали осторожную тактику отмывания, чтобы скрыть и обналичить средства.

«Эти сложные тактики и методы побудили многих исследователей в области безопасности охарактеризовать кибер-актеров для КНДР как продвинутые постоянные угрозы (APT)», — отмечается в отчете, добавляя, что это особенно верно для APT 38, также известной как «Группа Лазаря», возглавляемой КНДР. Главное разведывательное управление США и Генеральное бюро разведки, санкционированное ООН

С 2018 года Lazarus Group каждый год воровала и отмывала огромные суммы криптовалюты, обычно превышающие 200 миллионов долларов.

«Самые успешные отдельные взломы, один на Kucoin, а другой на неназванной криптовалютной бирже, принесли более 250 миллионов долларов каждый», — говорится в отчете, в котором отмечается, что, по данным Совета безопасности ООН, доходы от взлома поддерживают Северную Корею. s ОМУ и баллистические ракеты.

Процесс отмывания

В 2021 году в долларовом выражении на Ethereum впервые приходилась большая часть украденной КНДР криптовалюты, в то время как на биткойн приходилось всего 20%, а на токены ERC-20 и альткойны приходилось 22% средств.

Растущее разнообразие украденных криптовалют привело к увеличению сложности отмывания криптовалюты в КНДР, согласно Chainalysis, которая разбила сложный процесс на несколько этапов, наблюдая более широкое использование «миксеров» среди северокорейских хакеров в 2021 году.

Эти программные инструменты позволяют хакерам объединять и перемешивать криптовалюты с тысяч адресов и значительно усложняют отслеживание транзакций.

Chainalysis объяснила используемую в настоящее время тактику, основанную на одной из атак прошлых лет, в результате которой было отмыто 91,35 миллиона долларов в криптовалюте.

В августе Liquid.com сообщил, что неавторизованный пользователь получил доступ к некоторым кошелькам, управляемым криптобиржей. В ходе атаки 67 различных токенов ERC-20, а также крупные суммы Ethereum и Bitcoin были перемещены из этих криптокошельков на адреса, контролируемые стороной, работающей от имени КНДР.

В обычно используемом процессе отмывания токены и альткойны ERC-20 обмениваются на Ethereum на DEX.

На следующем этапе Ethereum смешивается и обменивается на биткойны на DEX и Cex.

Наконец, биткойн смешивается и объединяется в новые кошельки, после чего он отправляется на депозитные адреса на биржах крипто-фиат, базирующихся в Азии.

Согласно отчету, в 2021 году через миксеры было отмыто более 65% украденных средств КНДР по сравнению с 42% в 2020 году.

Chainalysis описывает использование КНДР нескольких миксеров как «преднамеренную попытку скрыть происхождение добытых нечестным путем криптовалют при одновременном переходе к фиату».

Тем временем хакеры из КНДР прибегают к платформам DeFi, таким как DEX, чтобы «обеспечить ликвидность для широкого спектра токенов и альткойнов ERC-20, которые иначе нельзя было бы конвертировать в наличные деньги».

Обмен этих криптовалют на Ethereum или Bitcoin делает их не только более ликвидными, но и открывает более широкий выбор миксеров и бирж.

Платформы DeFi, не связанные с тюремным заключением, часто не собирают информацию о знании своего клиента (KYC), что позволяет хакерам использовать их услуги без замораживания их активов или раскрытия их личности, согласно Chainalysis.

Накопление неотмытых средств

«Компания Chainalysis выявила текущие остатки на сумму 170 миллионов долларов, представляющие собой украденные средства в результате 49 отдельных взломов с 2017 по 2021 год, которые контролируются Северной Кореей, но еще не были отмыты с помощью сервисов», — говорится в отчете.

В отчете были обнаружены огромные неотмытые остатки шестилетней давности: примерно 35 миллионов долларов США из общего объема активов КНДР были получены в результате атак в 2020 и 2021 годах, а более 55 миллионов долларов США было получено в результате атак, совершенных в 2016 году.

«Непонятно, почему хакеры до сих пор сидят на этих средствах, но, возможно, они надеются, что интерес правоохранительных органов к этим делам утихнет, и они смогут обналичить деньги без присмотра», — говорится в отчете. какова бы ни была причина, «продолжительность времени, в течение которого КНДР готова удерживать эти средства, проясняет ситуацию, потому что она предполагает продуманный план, а не отчаянный и поспешный».