През последните 2 месеца севернокорейската хакерска група Lazarus е откраднала криптовалути на стойност над 290 млн. долара. Затова DefiLlama проучи методите, използвани от крадците, за да постигнат целите си.
Лазарус открадна криптовалути на стойност над 290 млн. долара за 2 месеца
Засега 2023 г. изглежда по-оскъдна от предходните години по отношение на хакванията в екосистемата, като общата сума в момента възлиза на 635 млн. долара. Въпреки това през последните месеци все пак станахме свидетели на някои значителни атаки, като само за севернокорейската група Lazarus се съобщава, че през последните 2 месеца е откраднала криптовалути на стойност над 290 млн. долара.
Като се имат предвид тези цифри, анализаторите на DefiLlama проведоха разследване на техниките, използвани от тези крадци, като се съсредоточиха по-специално върху неотдавнашния случай с CoinsPaid, станал жертва на атака на стойност 37 млн. долара преди няколко седмици.
Всъщност бяха потвърдени връзки с групата Lazarus, като се има предвид използването на портфейли, участвали в хакерските атаки на мостовете Harmony и Atomic Wallet:
Преди няколко вечери @zachxbt и аз се натъкнахме на безумна пряка връзка между средствата, откраднати от Coinspaid/Alphapo Atomic Wallet Harmony.
Миналата нощ ~8,5 млн. долара от средствата от Coinspaid/Alphapo (с/някои остатъци от Atomic Wallet) се разлетяха през над 300 добавки на 3 вериги.
https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L
– Tay (@tayvano_) August 3, 2023
6 месеца подготовка и различни атаки
Преди атаката на 22 юли хакерите на Lazarus прекараха повече от 6 месеца в подготовка, като използваха различни методи, за да компрометират сигурността на CoinsPaid.
На 7 юли например срещу платформата беше насочена масирана DDoS атака, в която участваха 150 000 IP адреса.
Между юни и юли в докладите се споменават и опити за подкупи, както и фалшиви предложения за работа на инженерите на платформата, за заплати между 16 000 и 24 000 долара на месец.
Всъщност именно изтеглянето на зловреден софтуер от служител, който си мисли, че провежда интервю за работа за Crypto.com, отваря вратичка, водеща до успеха на хакерската атака. Кодът на зловредния софтуер е позволил на нападателите да получат достъп до системата на CoinsPaid, за да се възползват от уязвимост.
Екипите на CoinsPaid разказаха на DefiLlama за уменията на групата Lazarus в областта на социалното инженерство:
„
„.
Въпреки че може да си помислите, че подобен опит за инсталиране на зловреден софтуер на компютъра на служител би бил очевиден, хакерите са прекарали 6 месеца в изучаване на всяка възможна подробност за CoinsPaid, членовете на екипа ни, структурата на компанията и т.н. Хакерски групи на високо ниво са успели да се възползват от тази уязвимост в своя полза. Хакерски групи на високо ниво като Lazarus са в състояние да създадат напълно правдоподобна история, за да се възползват от потенциалните си цели.“
Въпреки че най-впечатляващите хакове обикновено се дължат на възползване от проблеми в изходния код на децентрализирани финансови приложения (DeFi), тук виждаме, че човешкият фактор не бива да се подценява. И за това има основателна причина, тъй като често е по-лесно за злонамерен субект да се възползва от този лост, вместо да търси технически уязвимости.
