Группировка Lazarus. Хищение $250.000.000
Рассказываю историю хакерской группировки Lazarus, которой удалось похитить более 250 миллионов долларов с бирж.
Всем салют, дорогие друзья! На связи Golden - глава Hacker Place
Очень часто меня просят осветить тему заработка хакеров. Именно поэтому сегодня я подготовил для вас интереснейшую статью, из которой вы узнаете о хакерской группировке Lazarus и о том, как ей удалось похитить в общей сложности более $250.000.000 долларов.
Усаживайтесь поудобнее, мы начинаем.
Кто такие?
Давно известно, что Северная Корея использует хакеров для обхода экономических санкций и финансирует свои программы, такие как создание оружия массового уничтожения. За несколько лет режиму удалось взломать банки и криптообменники на общую сумму около $2 миллиардов.
Для этих целей неоднократно привлекалась группа хакеров Lazarus. Хотя о них мало что известно, считается, что группой управляет разведывательное подразделение Корейской народной армии. Lazarus известны с 2009 года и за это время совершили крупные финансовые преступления в 31 стране. Ходят слухи, что они были ответственными за взлом Sony в 2014 году, причастны к атакам Wannacry и взлому криптобирж Bithumb на $7 млн в 2017 и DragonEX на $7 млн в 2019.
Но не только это подтверждает их профессионализм. На графике ниже показан подход Lazarus к отмыванию украденных средств в сравнении с предыдущими двумя годами. Как видно, их методы становились все продвинутее с целью избежания преследования крипто-криминалистов.
Выделяют 3 основные особенности:
1) более сложный фишинговый подход с применением масштабной социальной инженерии
2) применение миксеров и CoinJoin кошельков
3) последующая быстрое отмывание похищенных средств (для избежания маркировки используемых адресов).
Похищение средств на биржах
Одна из последних фишинговых атак на DragonEx в марте 2019 удивляет своей изощренной подготовкой. Lazarus создали фальшивую фирму, у которой был реалистичный сервис — учебный бот. Сначала фирму раскрутили в социальных сетях, а затем предложили ее продукт сотрудникам DragonEx.
Хотя программное обеспечение было настоящим учебным ботом, оно также похищало данные с зараженного компьютера. В итоге это ПО попало в компьютер, на котором хранились ключи от горячих кошельков DragonEx. Это позволило Lazarus заполучить доступ к средствам. Подобным образом хакеры действовали и в 2018 году, когда похитили на криптовалютных биржах почти $250 млн через тысячи фишинговых мейлов.
Однако, завладение ключами было только первым шагом в заполучении средств. Хакерам нужно было перевести крипту в нал, не вызывая подозрений. И вот тут за дело берутся специалисты.
Профессиональные отмыватели
Одной из причин, по которой хакеры не стали отмывать украденные средства самостоятельно, является тот факт, что Северная Корея находится под санкциями. Поэтому Lazarus привлекли двух граждан Китая Ли Дзядуна и Тянь Иньина, которые должны были провести отмывание средств, украденных с бирж в апреле 2018, через китайские банки.
Тянь Иньин получил доступ к одному из счетов, на котором хранились $91 млн в различных криптовалютах, и позже к $7,5 млн на другой бирже. Один депозит на биржу в размере более 10 000 BTC вызвал бы подозрения, и активы могли заморозить. Поэтому они переводили эти средства на множество личных криптокошельков, прежде чем выводить их в банки.
Схема отмывания
Чтобы оставаться незамеченными, китайские сообщники спланировали и применили схему «peel chains» (цепочка списаний). Подельники создали систему биткоин кошельков, через которую проходили автоматические транзакции криптовалют. После каждого перевода небольшой остаток на счету в размере 1-5 BTC переводился на криптобиржу. Поскольку суммы депозита были небольшие и поступали с разных кошельков, они не отслеживались системой безопасности бирж.
Таким образом, в схеме перевода на первую биржу было задействовано 146 блокчейн кошельков. Затем часть средств вывели в подарочные карты через другую биржу, также применив цепочку списаний. Это позволило сконвертировать различные украденные монеты в BTC и еще больше запутать следы.
Для более сложных схем отмыватели обычно автоматизируют процесс. Из-за множества адресов и количества транзакций, необходимых для отмывания, человеческий фактор может легко привести к потере средств. Поэтому Тянь и Ли использовали компьютерный скрипт, который быстро и автоматически переводил BTC между кошельками и биржами.
Интересно, что Министерство юстиции США показало не только перевод криптовалют между множеством адресов, но и финальный этап отмывания — интеграцию в фиат. Были задействованы 9 китайских банков. В одном из банков за 2 месяца до перевода был открыт счет, связанный с двумя аккаунтами на бирже. Затем Ли Дзядун провел 499 депозитов на этот счет на общую сумму $44 млн. У Ли были аккаунты во всех 9 банках и он положил в них 2000 депозитов на $33 млн. Часть средств были выведены в Apple gift cards ($1,4 млн), которые можно обратно сконвертировать в биткоины. Как видим, в традиционной банковской системе также есть уязвимости, которые позволили провести данные операции.
Почему KYC не сработало?
KYC применяется на начальном этапе для того, чтобы не допустить киберперступников в экосистему. В данном случае китайцы использовали фотошоп и реальные чужие персональные данные, украденные ранее, чтобы открыть аккаунты на биржах.
Для прохождения процедуры KYC зачастую необходимы только удостоверяющие личность документы и адрес проживания, а также подтверждение владельца документа посредством «FaceID». Для этого необходимо сфотографироваться с развернутым паспортом, чтобы была возможность сравнить фотографию в паспорте с его владельцем.
Чтобы обмануть службу KYC криптовалютных бирж, ребята воспользовались обыкновенным фотошопом. Как выяснилось позднее, помимо ложных персональных данных, предоставленных для идентификации, тела и головы также не соответствовали друг другу – они принадлежали неизвестным людям.
Аналогичным образом Ли связывал банковские счета в разных банках со своим счетом на бирже.
На этом мой сегодняшний рассказ подходит к концу. Уверен, что вы сможете вынести для себя что-то полезное и примените фишки, которыми пользуется Lazarus на практике. Как видите, не только я использую в своей работе фишинговые рассылки с соц. инженерией, ведь это действительно чертовски эффективно. Напоследок хотел бы напомнить, что Хакинг - это единственная сфера, в которой нет потолка. Здесь вы можете заработать столько денег, сколько вам нужно.
