In den letzten 2 Monaten hat die nordkoreanische Hackergruppe Lazarus Kryptowährungen im Wert von über 290 Millionen US-Dollar gestohlen. DefiLlama untersuchte die Methoden der Diebe, um ihre Ziele zu erreichen
Lazarus stiehlt Kryptowährungen im Wert von über 290 Millionen US-Dollar in zwei Monaten
Zum jetzigen Zeitpunkt scheint das Jahr 2023 in Bezug auf Hacks im Ökosystem verschonter zu sein als die Jahre zuvor, mit einer Gesamtsumme, die sich derzeit auf 635 Millionen US-Dollar beläuft. Dennoch haben wir in den letzten Monaten einige größere Angriffe beobachtet, und allein die nordkoreanische Gruppe Lazarus soll in den letzten zwei Monaten Kryptowährungen im Wert von über 290 Millionen US-Dollar gestohlen haben.
Angesichts dieser Zahlen haben die Analysten von DefiLlama eine Untersuchung über die von diesen Dieben verwendeten Techniken durchgeführt und sich dabei besonders auf den jüngsten Fall von CoinsPaid konzentriert, das vor einigen Wochen Opfer eines 37-Millionen-Dollar-Angriffs geworden war.
Tatsächlich konnten Verbindungen zur Lazarus-Gruppe bestätigt werden, angesichts der Tatsache, dass die Wallets verwendet wurden, die in die Bridge-Hacks von Harmony und Atomic Wallet verwickelt waren:
A few nights back, @zachxbt and I stumbled on a crazy direct link btwn funds stolen from Coinspaid/Alphapo <> Atomic Wallet <> Harmony.
Letzte Nacht flogen ~$8.5m der Gelder von Coinspaid/Alphapo (w/ some leftovers from Atomic Wallet) über 300+ Addies auf 3 Ketten.
https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L
– Tay (@tayvano_) August 3, 2023
6 Monate Vorbereitungszeit und verschiedene Angriffe
Vor dem Angriff am 22. Juli hatten sich die Hacker von Lazarus über 6 Monate lang vorbereitet und verschiedene Methoden angewendet, um die Sicherheit von CoinsPaid zu kompromittieren.
Am 7. Juli beispielsweise zielte ein riesiger Versuch einer Denial-of-Service-Attacke (DDoS) auf die Plattform, an der 150.000 IP-Adressen beteiligt waren.
Zwischen Juni und Juli wurden in den Berichten auch Bestechungsversuche genannt, aber auch gefälschte Stellenangebote für die Ingenieure der Plattform mit Gehältern zwischen 16.000 und 24.000 US-Dollar pro Monat.
Der Download einer Schadsoftware durch einen Angestellten, der dachte, er führe ein Vorstellungsgespräch für Crypto.com, öffnete eine Lücke, die zum Erfolg des Hacks führte. Der Code der Malware ermöglichte es den Angreifern, auf das System von CoinsPaid zuzugreifen, um eine Schwachstelle auszunutzen.
Die CoinsPaid-Teams berichteten DefiLlama von den Social-Engineering-Fähigkeiten der Lazarus-Gruppe:
“ Obwohl man meinen könnte, dass ein solcher Versuch, Malware auf dem Computer eines Mitarbeiters zu installieren, offensichtlich ist, haben die Hacker sechs Monate damit verbracht, alle möglichen Details über CoinsPaid, unsere Teammitglieder, die Struktur unseres Unternehmens usw. zu erfahren. Hochrangige Hackergruppen wie Lazarus sind in der Lage, eine völlig glaubwürdige Geschichte zu erschaffen, um potenzielle Ziele auszunutzen. „
Während die beeindruckendsten Hacks in der Regel auf die Ausnutzung von Problemen im Quellcode von Anwendungen für dezentrale Finanzsysteme (DeFi) zurückzuführen sind, sehen wir hier, dass der menschliche Faktor nicht unterschätzt werden sollte. Und aus gutem Grund ist es für eine böswillige Einheit oft einfacher, diesen Hebel auszunutzen, als nach technischen Schwachstellen zu suchen.
