Nos últimos 2 meses, o grupo de hackers norte-coreano Lazarus roubou mais de 290 milhões de dólares em criptomoedas. Por isso, o DefiLlama investigou os métodos utilizados pelos ladrões para atingir os seus objectivos.
Lazarus rouba mais de $290 milhões em criptomoedas em 2 meses
Até agora, 2023 parece ser mais esparso do que os anos anteriores em termos de hacks no ecossistema, com um total atualmente de US $ 635 milhões. No entanto, ainda vimos alguns ataques significativos nos últimos meses, com o grupo norte-coreano Lazarus sozinho relatando ter roubado mais de US $ 290 milhões em criptomoedas nos últimos 2 meses.
Tendo em conta estes números, os analistas da DefiLlama realizaram uma investigação sobre as técnicas utilizadas por estes ladrões, centrando-se em particular no caso recente da CoinsPaid, vítima de um ataque de 37 milhões de dólares há algumas semanas.
De facto, foram confirmadas ligações com o grupo Lazarus, dada a utilização de carteiras envolvidas nos hacks Harmony e Atomic Wallet bridge:
Algumas noites atrás, @zachxbt e eu tropeçámos numa ligação direta louca entre os fundos roubados da Coinspaid/Alphapo Atomic Wallet Harmony.
Ontem à noite, ~ $ 8.5 milhões dos fundos da Coinspaid / Alphapo (com algumas sobras da Atomic Wallet) voaram por mais de 300 addies em 3 cadeias.
https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L
– Tay (@tayvano_) agosto 3, 2023
6 meses de preparação e vários ataques
Antes do ataque de 22 de julho, os hackers do Lazarus passaram mais de 6 meses a preparar-se, utilizando uma variedade de métodos para comprometer a segurança da CoinsPaid.
Em 7 de julho, por exemplo, um ataque DDoS maciço visou a plataforma, envolvendo 150 000 endereços IP.
Entre junho e julho, os relatórios também citam tentativas de suborno, bem como falsas ofertas de emprego para os engenheiros da plataforma, com salários entre 16.000 e 24.000 dólares por mês.
De facto, foi o descarregamento de software malicioso por um empregado que pensava estar a conduzir uma entrevista de emprego para a Crypto.com que abriu uma brecha que levou ao sucesso do hack. O código malicioso permitiu que os atacantes acedessem ao sistema da CoinsPaid para explorar uma vulnerabilidade.
As equipas da CoinsPaid falaram ao DefiLlama sobre as capacidades de engenharia social do grupo Lazarus:
“
“.
Embora se possa pensar que uma tal tentativa de instalar malware no computador de um funcionário seria óbvia, os hackers passaram 6 meses a aprender todos os detalhes possíveis sobre a CoinsPaid, os membros da nossa equipa, a estrutura da nossa empresa, etc. Os grupos de hackers de alto nível têm sido capazes de explorar esta vulnerabilidade em seu proveito. Grupos de hackers de alto nível como o Lazarus são capazes de criar uma história completamente credível para tirar partido de potenciais alvos. “
Embora os hacks mais impressionantes se devam geralmente ao aproveitamento de problemas no código fonte das aplicações financeiras descentralizadas (DeFi), vemos aqui que o fator humano não deve ser subestimado. E por uma boa razão, é frequentemente mais fácil para uma entidade maliciosa explorar esta vantagem, em vez de procurar vulnerabilidades técnicas.
