сотрудник ФБР Взлом Tide Межсетевой мост Harmony Horizon с Lazarus, группой кибершпионажа, связанной с правительством Северной Кореи. кража, Случилось прошлым летомПривел к краже криптовалютных активов на сумму 100 миллионов долларов.
В прошлом году, вскоре после того, как злоумышленники получили контроль над контрактом MultiSigWallet и использовали его для перевода больших объемов токенов на свой адрес, аналитики Elliptic Blockchain. Прикрепил Атака с активностью Lazar заметила, что украденные средства были переведены на кошельки, ранее связанные с этой группой.
Теперь ФБР официально подтвердило правильность выводов экспертов по безопасности: за атакой стояли северокорейские хакеры из группы Lazarus (APT38). По данным правоохранительных органов, северокорейские хакерские группы воруют и отмывают виртуальную валюту для поддержки государственных программ по созданию баллистических ракет и оружия массового поражения.
Связь Лазаря с ограблением была выявлена благодаря одной из попыток отмывания награбленного имущества, предпринятой хакерами на прошлой неделе. Сообщается, что 13 января 2023 года злоумышленники попытались перевести 41 000 ETH (около 63,5 млн долларов США) через Railgun, который использовался в качестве замены недавно санкционированному миксеру криптовалюты Tornado Cash, прежде чем конвертировать средства в BTC и вывести их на несколько адресов на трех Обмены криптовалют.
Найдено около 350 адресов находятся под непосредственным контролем Лазара, а часть украденных денег в итоге была заморожена на счетах бирж Binance и Hubi. Однако основная часть активов по-прежнему остается под контролем хакеров в кошельках:
- 1BK769SseNefb6fe9QuFEi8W4KGbtP8gi3;
- 15FcqYRbwh2JsRUyBjvZ4jJ2XAD3PycGch;
- 1HwSof6jnbMFpfrRRa2jvydYdopkkGB4Sn;
- 15emeZ7buVegqhYh9PekH7cwFEJcCeVNps;
- 3MSbCJCYtx5sj1nkzD4AMEhhvviXBc8XJ;
- 17z79rzpck8kuijseg5aelvikaolnirmun;
- bc1qp2vvntdedxw4xwtyd4y3gc2t9ufk6pwz2ga4ge;
- 3P9WebHkiDxCi8LDXiRQp8atNEagcQeRA3;
- 37fnBxofDeph2fpBZxZKypNkwdXAt9nT6F;
- 185
По данным властей, во время этой атаки, а также при атаке на Action Infinity и сайдчейн Ronin хакеры использовали вредоносное ПО. Торговец ПредательНаправлены на компрометацию машин сотрудников компаний-мишеней. Это вредоносное ПО обычно доставляется жертвам с помощью социальной инженерии (по электронной почте или в личных сообщениях), замаскированной под предложения высокооплачиваемой работы.
Вредоносное ПО написано на кросс-платформенном JavaScript, который работает внутри Electron и способен развертывать вторичные полезные нагрузки как в системах Windows, так и в macOS (в зависимости от платформы, используемой скомпрометированным сотрудником).
Известно, что помимо криптовалютных платформ, Lazarus использовал это вредоносное ПО для атак на компании в игровой и финансовой сферах.