In de afgelopen 2 maanden heeft de Noord-Koreaanse hackersgroep Lazarus voor meer dan 290 miljoen dollar aan cryptocurrencies gestolen. DefiLlama onderzocht de methoden die de dieven gebruikten om hun doel te bereiken.
Lazarus steelt voor meer dan $290 miljoen aan cryptocurrencies in 2 maanden
Tot nu toe lijkt 2023 kariger te zijn dan voorgaande jaren wat betreft hacks in het ecosysteem, met een totaal dat momenteel op $635 miljoen staat. In de afgelopen maanden hebben we echter nog steeds een aantal significante aanvallen gezien, waarbij alleen al de Noord-Koreaanse groep Lazarus in de afgelopen 2 maanden voor meer dan $290 miljoen aan cryptocurrencies heeft gestolen.
Gezien deze cijfers hebben de analisten van DefiLlama een onderzoek uitgevoerd naar de technieken die worden gebruikt door deze dieven, waarbij ze zich in het bijzonder hebben gericht op het recente geval van CoinsPaid, het slachtoffer van een aanval van $ 37 miljoen een paar weken geleden.
Er zijn inderdaad links bevestigd met de Lazarus groep, gezien het gebruik van wallets die betrokken waren bij de Harmony en Atomic Wallet bridge hacks:
Een paar nachten geleden stuitten @zachxbt en ik op een gekke directe link tussen fondsen gestolen van Coinspaid/Alphapo Atomic Wallet Harmony.
Gisteravond vlogen ~$8,5m van de fondsen van Coinspaid/Alphapo (met wat restjes van Atomic Wallet) over 300+ addies op 3 ketens.
https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L
– Tay (@tayvano_) Augustus 3, 2023
6 maanden van voorbereiding en verschillende aanvallen
Voorafgaand aan de aanval van 22 juli, spendeerden Lazarus hackers meer dan 6 maanden aan voorbereidingen, waarbij ze verschillende methodes gebruikten om de beveiliging van CoinsPaid in gevaar te brengen.
Op 7 juli, bijvoorbeeld, was een massale DDoS aanval gericht op het platform, waarbij 150.000 IP-adressen betrokken waren.
Tussen juni en juli werden ook pogingen tot omkoping gemeld, evenals valse aanbiedingen van banen voor de ingenieurs van het platform, voor salarissen tussen $16.000 en $24.000 per maand.
In feite was het het downloaden van kwaadaardige software door een werknemer die dacht dat hij een sollicitatiegesprek voerde voor Crypto.com dat een maas in de wet opende die leidde tot het succes van de hack. De malwarecode gaf de aanvallers toegang tot het systeem van CoinsPaid om een kwetsbaarheid uit te buiten.
De CoinsPaid teams vertelden DefiLlama over de social engineering vaardigheden van de Lazarus groep:
“
“.
Terwijl je zou denken dat een dergelijke poging om malware te installeren op de computer van een werknemer voor de hand zou liggen, zijn de hackers 6 maanden bezig geweest om elk mogelijk detail te leren over CoinsPaid, onze teamleden, de structuur van ons bedrijf, enz. Hackersgroepen op hoog niveau zoals Lazarus zijn in staat om een volledig geloofwaardig verhaal te creëren om voordeel te halen uit potentiële doelwitten. “
Hoewel de meest indrukwekkende hacks meestal te wijten zijn aan het misbruiken van problemen in de broncode van gedecentraliseerde financiële applicaties (DeFi), zien we hier dat de menselijke factor niet onderschat mag worden. En daar is een goede reden voor, want het is voor een kwaadwillende vaak gemakkelijker om deze hefboomwerking uit te buiten dan te zoeken naar technische kwetsbaarheden.
