Negli ultimi due mesi, il gruppo di hacker nordcoreani Lazarus ha rubato oltre 290 milioni di dollari di criptovalute. DefiLlama ha quindi indagato sui metodi utilizzati dai ladri per raggiungere i loro scopi.
Lazarus ruba oltre 290 milioni di dollari in criptovalute in 2 mesi
Finora il 2023 sembra essere più scarso degli anni precedenti in termini di hacking nell’ecosistema, con un totale che attualmente si attesta a 635 milioni di dollari. Tuttavia, negli ultimi mesi abbiamo assistito ad alcuni attacchi significativi, con il gruppo nordcoreano Lazarus che, da solo, avrebbe rubato più di 290 milioni di dollari di criptovalute negli ultimi due mesi.
Alla luce di queste cifre, gli analisti di DefiLlama hanno condotto un’indagine sulle tecniche utilizzate da questi ladri, concentrandosi in particolare sul recente caso di CoinsPaid, vittima di un attacco da 37 milioni di dollari qualche settimana fa.
Sono stati infatti confermati i legami con il gruppo Lazarus, visto l’utilizzo dei portafogli coinvolti negli hack Harmony e Atomic Wallet bridge:
Qualche notte fa, @zachxbt e io ci siamo imbattuti in un assurdo collegamento diretto tra i fondi rubati da Coinspaid/Alphapo Atomic Wallet Harmony.
Ieri sera, circa 8,5 milioni di dollari di fondi da Coinspaid/Alphapo (con alcuni avanzi da Atomic Wallet) sono volati attraverso oltre 300 addies su 3 catene.
https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L
– Tay (@tayvano_) August 3, 2023
6 mesi di preparazione e vari attacchi
Prima dell’attacco del 22 luglio, gli hacker di Lazarus hanno trascorso più di 6 mesi di preparazione, utilizzando diversi metodi per compromettere la sicurezza di CoinsPaid.
Il 7 luglio, ad esempio, un massiccio attacco DDoS ha preso di mira la piattaforma, coinvolgendo 150.000 indirizzi IP.
Tra giugno e luglio, inoltre, sono stati segnalati tentativi di corruzione e false offerte di lavoro per gli ingegneri della piattaforma, con stipendi compresi tra 16.000 e 24.000 dollari al mese.
In realtà, è stato il download di un software dannoso da parte di un dipendente che credeva di condurre un colloquio di lavoro per Crypto.com ad aprire una falla che ha portato al successo dell’hack. Il codice malware ha permesso agli aggressori di accedere al sistema di CoinsPaid per sfruttare una vulnerabilità.
I team di CoinsPaid hanno parlato a DefiLlama delle capacità di ingegneria sociale del gruppo Lazarus:
“
“.
Mentre si potrebbe pensare che un simile tentativo di installare un malware sul computer di un dipendente sarebbe ovvio, gli hacker hanno trascorso 6 mesi per imparare ogni possibile dettaglio su CoinsPaid, sui membri del nostro team, sulla struttura della nostra azienda, ecc. Gruppi di hacker di alto livello come Lazarus sono in grado di creare una storia del tutto credibile per trarre vantaggio da potenziali obiettivi. “
Sebbene gli hack più impressionanti siano solitamente dovuti allo sfruttamento di problemi nel codice sorgente delle applicazioni finanziarie decentralizzate (DeFi), vediamo che il fattore umano non deve essere sottovalutato. E per una buona ragione, spesso è più facile per un’entità malintenzionata sfruttare questa leva, piuttosto che cercare vulnerabilità tecniche.
