Un recente rapporto ha rivelato l’enorme portata del crimine legato alle criptovalute supportato dal governo della Corea del Nord.
I criminali informatici della Repubblica Democratica Popolare di Corea (DPRK) si sono affermati come una minaccia persistente avanzata per il settore delle criptovalute nel 2021, ha riferito Chainalysis.
Secondo la piattaforma di dati basata su blockchain che supporta il governo e i settori privati nell’individuare e prevenire l’uso illecito delle criptovalute, gli hacker nordcoreani hanno rubato 400 milioni di dollari di criptovalute l’anno scorso, mentre l’importo totale dei fondi illegalmente accumulati ha raggiunto un massimo storico (ATH).
“Lazarus Group “
Targeting principalmente le società di investimento e gli scambi centralizzati, gli hacker nordcoreani hanno lanciato almeno sette attacchi alle piattaforme di criptovaluta, estraendo quasi 400 milioni di dollari di cripto nel 2021.
Mentre, rispetto al 2020, il numero di attacchi è saltato da quattro a sette, il valore estratto è cresciuto del 40%.
Hack nordcoreani nel tempo (Chainalysis)
Per travasare i fondi dai portafogli “caldi” di queste organizzazioni in indirizzi controllati dalla DPRK, i criminali informatici hanno usato esche di phishing, exploit di codice, malware e ingegneria sociale avanzata;
Una volta che la Corea del Nord ha ottenuto la custodia della criptovaluta rubata, hanno usato attente tattiche di riciclaggio per coprire e incassare i fondi.
“Queste tattiche e tecniche complesse hanno portato molti ricercatori di sicurezza a caratterizzare gli attori informatici per la DPRK come minacce persistenti avanzate (APT)”, il rapporto ha osservato, aggiungendo che questo è particolarmente vero per l’APT 38, alias il “Gruppo Lazzaro”, guidato dall’agenzia di intelligence principale della DPRK, l’ufficio generale di ricognizione sanzionato dagli Stati Uniti e dalle Nazioni Unite.
Dal 2018 in poi, Lazarus Group ha rubato e riciclato massicce somme di criptovalute ogni anno, superando tipicamente i 200 milioni di dollari.
“I singoli hacking di maggior successo, uno su KuCoin e un altro su una borsa di criptovalute senza nome, hanno guadagnato più di 250 milioni di dollari ciascuno”, si legge nel rapporto, notando che, secondo il Consiglio di sicurezza dell’ONU, le entrate degli hacking sostengono i programmi di armi di distruzione di massa e missili balistici della Corea del Nord.
Processo di riciclaggio
Nel 2021, in termini di valore in dollari, Ethereum per la prima volta ha rappresentato la maggioranza delle criptovalute rubate dalla DPRK, mentre Bitcoin ha rappresentato solo il 20%, e i token ERC-20 e gli altcoin hanno rappresentato il 22% dei fondi.
Quota di fondi crypto rubati per tipo di moneta nel tempo (Chainalysis)
La crescente varietà di criptovalute rubate ha portato alla maggiore complessità del riciclaggio di criptovalute della RPDC, secondo Chainalysis, che ha suddiviso il sofisticato processo in diversi passaggi, osservando un maggiore uso di ‘mixer’ tra gli hacker nordcoreani nel 2021.
Questi strumenti software permettono agli hacker di mettere in comune e mischiare le criptovalute di migliaia di indirizzi e complicare enormemente il tracciamento delle transazioni.
Chainalysis ha spiegato le tattiche attualmente utilizzate sulla base di uno degli attacchi degli anni passati, che ha portato a 91,35 milioni di dollari in criptovalute riciclate.
Nel mese di agosto, Liquid.com ha riferito che un utente non autorizzato aveva ottenuto l’accesso ad alcuni dei portafogli gestiti dal crypto exchange. Nell’attacco, 67 diversi token ERC-20, insieme a grandi somme di Ethereum e Bitcoin sono stati spostati da questi portafogli di criptovalute a indirizzi controllati da una parte che lavora per conto della DPRK.
In un processo di riciclaggio tipicamente utilizzato, i token ERC-20 e gli altcoin vengono scambiati con Ethereum presso i DEX.
Visualizzazione del processo di riciclaggio nel reattore Chainalysis: Token ERC-20 rubati scambiati per Ethereum ai DEX (Chainalysis)
Nella fase successiva, Ethereum viene mescolato e scambiato con Bitcoin sui DEX e CEX.
Visualizzazione del processo di riciclaggio nel reattore Chainalysis: Ethereum misto depositato su DEX e CEX per scambiarlo con Bitcoin (Chainalysis)
Finalmente, il Bitcoin viene mischiato e consolidato in nuovi portafogli, dopodiché viene inviato a indirizzi di deposito presso gli scambi crypto-to-fiat con sede in Asia.
Visualizzazione del processo di riciclaggio: Bitcoin è mescolato, consolidato in nuovi portafogli, e depositato presso i servizi di scambio crypto-to-fiat per il cash out (Chainalysis)
Secondo il rapporto, più del 65% dei fondi rubati della RPDC sono stati riciclati attraverso i mixer nel 2021, dal 42% nel 2020.
Chainalysis descrive l’uso della DPRK di più miscelatori come un “tentativo calcolato di oscurare le origini delle loro criptovalute mal guadagnate mentre si dileguano in fiat”.
Nel frattempo, gli hacker del DPRK ricorrono a piattaforme DeFi come DEXs per “fornire liquidità per una vasta gamma di token ERC-20 e altcoins che altrimenti non potrebbero essere convertibili in denaro”.
Scambiare queste criptovalute con Ethereum o Bitcoin le rende non solo più liquide, ma apre una maggiore scelta di miscelatori e scambi.
Essendo non custodiali, le piattaforme DeFi spesso non raccolgono informazioni sul know-your-customer (KYC), il che permette agli hacker di utilizzare i loro servizi senza avere i loro beni congelati o le loro identità esposte, secondo Chainalysis.
Stoccaggio di fondi non riciclati
“Chainalysis ha identificato 170 milioni di dollari in saldi correnti – che rappresentano i fondi rubati da 49 hack separati che vanno dal 2017 al 2021 – che sono controllati dalla Corea del Nord ma devono ancora essere riciclati attraverso i servizi”, si legge nel rapporto.
Il rapporto ha rivelato massicci saldi non riciclati di ben sei anni – circa 35 milioni di dollari del patrimonio totale della DPRK provengono da attacchi nel 2020 e 2021, mentre più di 55 milioni di dollari provengono da attacchi effettuati nel 2016.
Saldi detenuti dalla DPRK per anno di attacchi (Chainalysis)
“Non è chiaro perché gli hacker sarebbero ancora seduti su questi fondi, ma potrebbe essere che stanno sperando che l’interesse delle forze dell’ordine nei casi si spenga, in modo da poter incassare senza essere osservati”, si legge nel rapporto, aggiungendo che qualunque sia la ragione “la lunghezza del tempo che la DPRK è disposta a tenere su questi fondi è illuminante perché suggerisce un piano attento, non uno disperato e frettoloso.”
