L’FBI ha annunciato che il Lazarus Group, un gruppo di hacker nordcoreani, è responsabile del recente attacco da 41 milioni di dollari alla piattaforma Stake. L’FBI ha dichiarato che continuerà a monitorare le attività del Lazarus Group e ha consigliato alle aziende di difendersi da attacchi di questo tipo, che hanno già fruttato al regime di Pyongyang oltre 1 miliardo di dollari.
La Corea del Nord dietro un nuovo hack?
Mercoledì scorso, il Federal Bureau of Investigation (FBI) degli Stati Uniti ha rilasciato una dichiarazione in cui affermava che il Lazarus Group, uno dei principali gruppi di hacker nordcoreani accusati di essere al servizio del regime di Pyongyang, era dietro il recente hacking di Stake, costato 41 milioni di dollari.
Al momento dell’attacco, molti osservatori già dubitavano dell’origine degli hacker, poiché le transazioni erano state effettuate in modo altamente organizzato e metodico, come negli hack già osservati attribuiti a Lazarus Group.
“L’FBI ha confermato che questo furto è avvenuto il 4 settembre 2023 circa e lo attribuisce al Gruppo Lazarus (noto anche come APT38) che è composto da cyber attori della RPDC. “
Da parte sua, la piattaforma di analisi on-chain Arkham ha anche raggruppato le decine di indirizzi utilizzati per il transito dei fondi provenienti dall’hacking di Stake, etichettandoli con il nome del Gruppo Lazarus:
Panoramica delle criptovalute detenute da indirizzi attribuiti al Gruppo Lazarus
Rintracciando i vari indirizzi condivisi dall’FBI, sembra che siano collegati anche all’hack di Atomic Wallet da 100 milioni di dollari dello scorso giugno e all’hack di CoinsPaid, per un valore di oltre 37 milioni di dollari.
Un business succoso, ma ora sotto esame
Gli hacker nordcoreani sono noti anche per essere dietro l’attacco alla sidechain Ronin del valore di oltre 620 milioni di dollari nel marzo 2022, il più grande nella storia delle criptovalute, e l’attacco al ponte Harmony del valore di oltre 100 milioni di dollari lo scorso gennaio.
Da parte sua, l’FBI ha dichiarato che continuerà a seguire le attività del Lazarus Group e che una pagina online (TraderTraitor) è a disposizione delle aziende che desiderano proteggersi dagli attacchi degli hacker. Parallelamente, l’Office of Foreign Assets Control (OFAC) aveva già sanzionato Lazarus nel 2019.
“Si consiglia alle entità del settore privato di rivedere l’avviso di cybersecurity precedentemente pubblicato su TraderTraitor e di esaminare i dati blockchain associati agli indirizzi di valuta virtuale summenzionati e di esercitare la vigilanza per difendersi dalle transazioni direttamente collegate o derivate da tali indirizzi. “
Per quanto riguarda l’hack di Stake, i team del progetto sono stati molto discreti al riguardo, dopo aver temporaneamente interrotto i prelievi e i depositi. Al momento dell’incidente è stata accusata una perdita delle chiavi private associate ai portafogli interessati.
