W ciągu ostatnich 2 miesięcy północnokoreańska grupa hakerska Lazarus ukradła kryptowaluty o wartości ponad 290 milionów dolarów. Dlatego DefiLlama zbadała metody stosowane przez złodziei, aby osiągnąć swoje cele.
Lazarus kradnie ponad 290 milionów dolarów w kryptowalutach w 2 miesiące
Jak dotąd, rok 2023 wydaje się być rzadszy niż poprzednie lata pod względem hacków w ekosystemie, z łączną kwotą wynoszącą obecnie 635 milionów dolarów. Jednak w ostatnich miesiącach nadal byliśmy świadkami kilku znaczących ataków, a sama północnokoreańska grupa Lazarus ukradła kryptowaluty o wartości ponad 290 milionów dolarów w ciągu ostatnich 2 miesięcy.
Biorąc pod uwagę te liczby, analitycy DefiLlama przeprowadzili dochodzenie w sprawie technik stosowanych przez tych złodziei, koncentrując się w szczególności na niedawnym przypadku CoinsPaid, ofiary ataku o wartości 37 milionów dolarów kilka tygodni temu.
Rzeczywiście, potwierdzono powiązania z grupą Lazarus, biorąc pod uwagę wykorzystanie portfeli zaangażowanych w hacki mostowe Harmony i Atomic Wallet:
Kilka nocy temu, @zachxbt i ja natknęliśmy się na szalony bezpośredni link pomiędzy funduszami skradzionymi z Coinspaid/Alphapo Atomic Wallet Harmony.
Zeszłej nocy ~ 8,5 mln USD środków z Coinspaid / Alphapo (z resztkami z Atomic Wallet) rozeszło się po ponad 300 dodatkach w 3 łańcuchach.
https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L
– Tay (@tayvano_) August 3, 2023
6 miesięcy przygotowań i różnych ataków
Przed atakiem z 22 lipca hakerzy Lazarus spędzili ponad 6 miesięcy na przygotowaniach, wykorzystując różne metody w celu naruszenia bezpieczeństwa CoinsPaid.
Na przykład 7 lipca przeprowadzono zmasowany atak DDoS na platformę, obejmujący 150 000 adresów IP.
W okresie od czerwca do lipca raporty wspominają również o próbach przekupstwa, a także fałszywych ofertach pracy dla inżynierów platformy, za wynagrodzenie w wysokości od 16 000 do 24 000 dolarów miesięcznie.
W rzeczywistości to pobranie złośliwego oprogramowania przez pracownika myślącego, że przeprowadza rozmowę kwalifikacyjną dla Crypto.com, otworzyło lukę prowadzącą do sukcesu włamania. Kod złośliwego oprogramowania umożliwił atakującym dostęp do systemu CoinsPaid w celu wykorzystania luki w zabezpieczeniach.
Zespoły CoinsPaid powiedziały DefiLlama o umiejętnościach socjotechnicznych grupy Lazarus:
„
„.
Chociaż można by pomyśleć, że taka próba zainstalowania złośliwego oprogramowania na komputerze pracownika byłaby oczywista, hakerzy spędzili 6 miesięcy ucząc się każdego możliwego szczegółu o CoinsPaid, członkach naszego zespołu, strukturze naszej firmy itp. Grupy hakerów wysokiego szczebla były w stanie wykorzystać tę lukę na swoją korzyść. Grupy hakerów wysokiego szczebla, takie jak Lazarus, są w stanie stworzyć całkowicie wiarygodną historię, aby wykorzystać potencjalne cele. „
Chociaż najbardziej imponujące włamania są zwykle wynikiem wykorzystania problemów w kodzie źródłowym zdecentralizowanych aplikacji finansowych (DeFi), widzimy tutaj, że nie należy lekceważyć czynnika ludzkiego. I nie bez powodu, złośliwemu podmiotowi często łatwiej jest wykorzystać tę dźwignię, niż szukać luk technicznych.