21 февраля этого года была взломана одна из крупнейших криптовалютных бирж — ByBit. Хакеры похитили 401 346 ETH (эквивалент 1,5 миллиардов долларов), что стало крупнейшим ограблением криптобирж в истории.
Что известно о группировке хакеров Lazarus, провернувших крупнейший взлом криптобиржи в истории
Одна из самых известных хакерских группировок, на днях укравшая 1,5 миллиарда долларов, может быть связана с правительством Северной Кореи.
Unsplash
Содержание
Кража ByBit
Следователи связывают атаку с северокорейской группировкой Lazarus, которую уже не в первый раз обвиняют во взломе криптовалютной платформы. Хакеры с помощью сложной схемы социальной инженерии и вредоносного ПО получили доступ к холодному кошельку биржи, а затем вывели средства и отмыли их через различные микшеры, в том числе популярный Tornado Cash.
Биржа практически моментально подтвердила инцидент, заявив, что резервы позволяют покрыть потери в соотношении один к одному. Позже за информацию о хакерах даже объявили вознаграждение – 140 миллионов долларов.
Что известно о Lazarus?
Lazarus — одна из самых известных хакерских организаций в мире, предположительно связанная с правительством Северной Кореи. По данным ФБР, они специализируются на кибератаках на банки, криптовалютные биржи, государственные структуры и военные предприятия. Первая крупная атака произошла в 2014-м году, когда они взломали Sony Pictures после высмеивающего Ким Чен Ына фильма The Interview. В 2016-м через систему SWIFT северокорейские хакеры похитили из банка Бангладеша 81 миллион долларов. В 2017-м они запустили глобальный вирус-шифровальщик «WannaCry», заразивший сотни тысяч компьютеров.
Как они провернули атаки?
По данным Kaspersky Lab, основные методы хакеров включают – фейковые вакансии и предложения работы через LinkedIn и e-mail, вредоносные обновления ПО и скрытые эксплойты, а также ааки на системы двухфакторной аутентификации. В том числе с помощью этих методов Lazarus украли у ByBit 1,5 миллиарда долларов.
Далее украденные средства они отправляли через микшеры, подставные фирмы и децентрализованные криптобиржи, чтобы след было сложнее обнаружить, а вернуть похищенные деньги – нереально.
Таким же образом в 2022-м хакеры украли 620 миллионов долларов у Axie Infinity.
Взлом Axie Infinity
Одним из самых громких преступлений Lazarus стал взлом Ronin Network в марте 2022 года. Тогда хакеры вывели 173 600 ETH и 25,5 млн USDC – на тот момент около 625 миллионов долларов.
Разработчики заявили, что атаку удалось провернуть из-за недостаточной децентрализации. Злоумышленник нашел уязвимость в системе защиты, что позволило подтверждать абсолютно все транзакции на бирже. Таким образом инцидент стал крупнейшим в истории и заставил все крупнейшие криптобиржи усилить охрану своих активов.
Связь Lazarus с Северной Кореей
По данным ФБР, Lazarus работает на правительство Северной Кореи – все украденные средства помогают семье Ким обходить санкции и даже финансировать военные программы. В подтверждение связи сотрудники ФБР указывают на географическое происхождение атак – большинство из них осуществлялись в рабочие часы по КНДР.
В феврале 2021 года Министерство юстиции США предъявило обвинения трем членам Генерального бюро разведки, северокорейского военного разведывательного агентства, за участие в нескольких хакерских кампаниях Lazarus: Пак Джин Хёк , Джон Чан Хёк и Ким Ир Пак. Джин Хёк уже был обвинен ранее в сентябре 2018 года. Они также были обвинены в том, что они действовали в качестве денежных мулов и отмывали деньги для группы Lazarus.