Za poslední dva měsíce ukradla severokorejská hackerská skupina Lazarus kryptoměny v hodnotě více než 290 milionů dolarů. DefiLlama proto prozkoumala metody, které zloději používají, aby dosáhli svých cílů.
Lazarus ukradl za 2 měsíce kryptoměny za více než 290 milionů dolarů
Odhaduje se, že rok 2023 bude z hlediska hackerských útoků v ekosystému zatím skoupější než předchozí roky, přičemž celková částka aktuálně činí 635 milionů dolarů. Přesto jsme v posledních měsících zaznamenali několik významných útoků, přičemž jen severokorejská skupina Lazarus údajně za poslední dva měsíce ukradla kryptoměny v hodnotě více než 290 milionů dolarů.
Vzhledem k těmto číslům provedli analytici společnosti DefiLlama šetření technik používaných těmito zloději, přičemž se zaměřili zejména na nedávný případ společnosti CoinsPaid, která se před několika týdny stala obětí útoku v hodnotě 37 milionů dolarů.
Byly totiž potvrzeny vazby na skupinu Lazarus, a to vzhledem k použití peněženek zapojených do hackerských útoků na mosty Harmony a Atomic Wallet:
Před několika dny jsme s @zachxbt narazili na šílené přímé spojení mezi prostředky ukradenými z Coinspaid/Alphapo Atomic Wallet Harmony.
Včera v noci se ~8,5 milionu dolarů z prostředků z Coinspaid/Alphapo (s nějakými zbytky z Atomic Wallet) rozletělo přes 300+ addies na 3 řetězcích.
https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L
– Tay (@tayvano_) August 3, 2023
6 měsíců příprav a různých útoků
Před útokem z 22. července se hackeři Lazarus připravovali více než 6 měsíců a použili různé metody k narušení bezpečnosti společnosti CoinsPaid.
Například 7. července se na platformu zaměřil masivní útok DDoS, do kterého bylo zapojeno 150 000 IP adres.
Mezi červnem a červencem se ve zprávách uvádějí také pokusy o úplatky a falešné nabídky práce pro inženýry platformy s platem 16 000 až 24 000 dolarů měsíčně.
Ve skutečnosti to bylo stažení škodlivého softwaru zaměstnancem v domnění, že vede pracovní pohovor pro Crypto.com, které otevřelo mezeru vedoucí k úspěchu hackerského útoku. Kód škodlivého softwaru umožnil útočníkům přístup do systému společnosti CoinsPaid s cílem zneužít zranitelnost.
Týmy CoinsPaid sdělily DefiLlamě o dovednostech skupiny Lazarus v oblasti sociálního inženýrství:
„
„.
Ačkoli byste si mohli myslet, že takový pokus o instalaci malwaru do počítače zaměstnance bude zřejmý, hackeři strávili 6 měsíců tím, že se dozvěděli každý možný detail o společnosti CoinsPaid, členech našeho týmu, struktuře naší společnosti atd. Skupiny hackerů na vysoké úrovni dokázaly tuto zranitelnost využít ve svůj prospěch. Hackerské skupiny na vysoké úrovni, jako je Lazarus, jsou schopny vytvořit zcela věrohodný příběh, aby využily potenciální cíle.“
Přestože nejpůsobivější hacky jsou obvykle způsobeny využitím problémů ve zdrojovém kódu decentralizovaných finančních aplikací (DeFi), vidíme zde, že lidský faktor by se neměl podceňovat. A to z dobrého důvodu, neboť pro škodlivý subjekt je často snazší využít této páky, než hledat technické zranitelnosti.
