Nedávná zpráva odhalila obrovský rozsah kriminality založené na kryptoměnách, kterou podporuje severokorejská vláda.
Kyberzločinci Korejské lidově demokratické republiky (KLDR) se v roce 2021 potvrdili jako pokročilá přetrvávající hrozba pro kryptoměnový průmysl, uvedla společnost Chainalysis.
Podle datové platformy založené na blockchainu, která podporuje vládní a soukromý sektor při odhalování a prevenci nezákonného používání kryptoměn, ukradli severokorejští hackeři v loňském roce kryptoměny v hodnotě 400 milionů dolarů, přičemž objem celkových neoprávněně odcizených prostředků se vyšplhal na historické maximum (ATH).
„Lazarus Group „
Cílí především na investiční firmy a centralizované burzy, severokorejští hackeři provedli nejméně sedm útoků na kryptoměnové platformy – v roce 2021 vylákali kryptoaktivy v hodnotě téměř 400 milionů dolarů.
Zatímco v porovnání s rokem 2020 počet útoků vyskočil ze čtyř na sedm, vytěžená hodnota vzrostla o 40 %.
Severokorejské hacky v průběhu času (Chainalysis)
K odčerpání finančních prostředků z „horkých“ peněženek těchto organizací na adresy kontrolované KLDR používali kyberzločinci phishingové nástrahy, zneužití kódu, malware a pokročilé sociální inženýrství.
Jakmile Severní Korea získala ukradené kryptografické prostředky do své péče, použila pečlivou taktiku praní špinavých peněz k jejich zakrytí a zpeněžení.
„Tyto komplexní taktiky a techniky vedly mnoho bezpečnostních výzkumníků k tomu, aby kybernetické aktéry KLDR charakterizovali jako pokročilé trvalé hrozby (APT),“ uvádí zpráva a dodává, že to platí zejména pro APT 38, alias „Lazarus Group“, kterou vede hlavní zpravodajská agentura KLDR, Generální úřad pro průzkum pod sankcemi Spojených států a OSN
Od roku 2018 skupina Lazarus každoročně kradla a prala obrovské částky kryptoměn – obvykle přesahující 200 milionů dolarů.
„Nejúspěšnější jednotlivé hackerské útoky, jeden na KuCoin a další na nejmenovanou kryptoměnovou burzu, vynesly každý sám o sobě více než 250 milionů dolarů,“ uvádí se ve zprávě s tím, že podle Rady bezpečnosti OSN příjmy z hackerských útoků podporují severokorejské programy zbraní hromadného ničení a balistických raket.
Proces praní špinavých peněz
V roce 2021 z hlediska hodnoty v dolarech představovalo Ethereum vůbec poprvé většinu kryptografických prostředků ukradených KLDR, zatímco na Bitcoin připadalo pouze 20 % a na tokeny ERC-20 a altcoiny 22 % prostředků.
Podíl ukradených kryptopeněz podle typu mincí v průběhu času (Chainalysis)
Rostoucí rozmanitost ukradených kryptoměn vedla k větší složitosti praní kryptoměn KLDR, uvádí společnost Chainalysis, která tento sofistikovaný proces rozdělila do několika kroků a v roce 2021 zaznamenala zvýšené používání „mixérů“ mezi severokorejskými hackery.
Tyto softwarové nástroje umožňují hackerům sdružovat a míchat kryptoměny z tisíců adres a značně komplikují sledování transakcí.
Chainalysis vysvětlila aktuálně používanou taktiku na základě jednoho z útoků z minulých let – výsledkem bylo vyprání 91,35 milionu dolarů v kryptoměnách.
V srpnu společnost Liquid.com oznámila, že neoprávněný uživatel získal přístup k některým peněženkám spravovaným touto kryptografickou burzou. Při útoku bylo z těchto kryptopeněženek přesunuto 67 různých tokenů ERC-20 spolu s velkými částkami Etherea a Bitcoinu na adresy kontrolované stranou pracující jménem KLDR.
V rámci obvykle používaného procesu praní špinavých peněz jsou tokeny ERC-20 a altcoiny vyměňovány za Ethereum na burzách DEX.
Vizualizace procesu praní v Chainalysis Reactor: Ukradené tokeny ERC-20 vyměňované za Ethereum na DEXech (Chainalysis)
V dalším kroku se Ethereum míchá a vyměňuje za Bitcoin na DEXech a CEXech.
Vizualizace procesu praní v řetězovém reaktoru: Smíšené Ethereum uložené na DEXech a CEXech a vyměněné za Bitcoin (Chainalysis)
Nakonec se Bitcoin smíchá a konsoliduje do nových peněženek – poté se pošle na depozitní adresy na burzách s kryptoměnami se sídlem v Asii.
Vizualizace procesu praní: Bitcoiny jsou smíchány, konsolidovány do nových peněženek a uloženy na směnárnách crypto-to-fiat k vyplacení peněz (Chainalysis)
Podle zprávy bylo v roce 2021 více než 65 % ukradených prostředků KLDR vypráno prostřednictvím směnáren, přičemž v roce 2020 to bylo 42 %.
Společnost Chainalysis popisuje používání více mixérů ze strany KLDR jako „promyšlenou snahu zakrýt původ svých nekalých kryptoměn a zároveň se odpoutat od fiat měn“.
Mezitím se hackeři KLDR uchylují k platformám DeFi, jako jsou DEXy, aby „zajistili likviditu pro širokou škálu tokenů ERC-20 a altcoinů, které jinak nemusí být směnitelné za hotovost“.
Výměna těchto kryptoměn za Ethereum nebo Bitcoin je činí nejen likvidnějšími, ale otevírá i větší výběr směnáren a burz.
Vzhledem k tomu, že platformy DeFi nejsou opatřeny důvěrnými informacemi, často neshromažďují informace typu „poznej svého zákazníka“ (know-your-customer, KYC), což podle Chainalysis umožňuje hackerům využívat jejich služeb, aniž by jim byla zmrazena aktiva nebo odhalena identita.
Hromadění neplacených finančních prostředků
„Společnost Chainalysis identifikovala 170 milionů dolarů v aktuálních zůstatcích – představujících ukradené prostředky ze 49 samostatných hackerských útoků v období 2017 až 2021 – které jsou pod kontrolou Severní Koreje, ale dosud nebyly vyprány prostřednictvím služeb,“ uvádí se ve zprávě.
Zpráva odhalila masivní neproprané zůstatky staré až šest let – přibližně 35 milionů dolarů z celkového objemu prostředků KLDR pochází z útoků v letech 2020 a 2021, zatímco více než 55 milionů dolarů pochází z útoků provedených v roce 2016.
Zůstatky v držení KLDR podle roku útoků (Chainalysis)
„Není jasné, proč by hackeři na těchto prostředcích stále seděli, ale je možné, že doufají, že zájem orgánů činných v trestním řízení o tyto případy opadne, aby je mohli zpeněžit, aniž by byli sledováni,“ uvádí se ve zprávě a dodává, že ať už je důvod jakýkoli, „doba, po kterou je KLDR ochotna tyto prostředky držet, je poučná, protože naznačuje pečlivý plán, nikoli zoufalý a ukvapený“.
