Análise das atividades do grupo de hackers norte-coreano Lazarus Group e suas técnicas de lavagem de dinheiro

Um relatório confidencial das Nações Unidas revelou que, no ano passado, uma bolsa de criptomoedas foi atacada pelo Lazarus Group, resultando no roubo de cerca de 147,5 milhões de dólares. Em março deste ano, esses fundos foram lavados através de uma determinada plataforma de moeda virtual.

Os inspetores do Comitê de Sanções do Conselho de Segurança da ONU estão investigando 97 incidentes suspeitos de ataques cibernéticos de hackers da Coreia do Norte a empresas de criptomoedas, ocorridos entre 2017 e 2024, envolvendo um montante de até 3,6 bilhões de dólares. Isso inclui um roubo de 147,5 milhões de dólares que ocorreu no final do ano passado em uma exchange de criptomoedas, cujo processo de lavagem de dinheiro foi concluído em março deste ano.

Em 2022, os Estados Unidos impuseram sanções a uma determinada plataforma de criptomoeda. No ano seguinte, dois cofundadores dessa plataforma foram acusados de ajudar na lavagem de dinheiro de mais de 1 bilhão de dólares, envolvendo uma organização de crimes cibernéticos relacionada à Coreia do Norte, o Lazarus Group.

Uma investigação de um analista de criptomoedas revelou que o Lazarus Group lavou 200 milhões de dólares em criptomoedas para moeda fiduciária entre agosto de 2020 e outubro de 2023.

O Grupo Lazarus tem sido acusado há muito tempo de realizar ataques cibernéticos em grande escala e crimes financeiros. Os seus alvos variam amplamente, incluindo sistemas bancários, bolsas de criptomoedas, agências governamentais e empresas privadas.

Ataques de engenharia social e phishing do Lazarus Group

A mídia europeia relatou que o Lazarus tinha como alvo empresas militares e aeroespaciais na Europa e no Oriente Médio, enganando funcionários por meio da publicação de anúncios de emprego falsos em plataformas sociais. Eles solicitavam que os candidatos baixassem um PDF contendo um arquivo executável, realizando assim ataques de phishing.

Este tipo de engenharia social e ataque de phishing tenta explorar a manipulação psicológica para enganar as vítimas a baixar a guarda e executar comportamentos arriscados, como clicar em links ou baixar arquivos. O seu malware é capaz de explorar vulnerabilidades nos sistemas das vítimas para roubar informações sensíveis.

A Lazarus também usou métodos semelhantes para realizar um ataque de seis meses a um provedor de pagamentos de criptomoedas, resultando em uma perda de 37 milhões de dólares para a empresa. Durante todo o ataque, eles enviaram falsas ofertas de trabalho aos engenheiros, iniciaram ataques técnicos como negação de serviço distribuída e tentaram quebrar senhas por força bruta.

Vários ataques a exchanges de criptomoedas

De agosto a outubro de 2020, várias exchanges de criptomoedas e projetos foram alvo de ataques:

• No dia 24 de agosto, a carteira de uma certa exchange de criptomoedas no Canadá foi roubada.
• No dia 11 de setembro, um projeto sofreu uma transferência não autorizada de 400 mil dólares em várias carteiras controladas pela equipe devido ao vazamento da chave privada.
• No dia 6 de outubro, outra bolsa teve 75 mil dólares em ativos criptográficos roubados de sua carteira quente devido a uma vulnerabilidade de segurança.

Esses fundos roubados foram transferidos e ofuscados várias vezes, até que finalmente se reuniram em alguns endereços específicos. Os atacantes enviaram os fundos para certos endereços de depósito através de várias transferências e trocas.

Fundador de uma plataforma de seguro mútuo sofre ataque de Hacker

No dia 14 de dezembro de 2020, o fundador de uma plataforma de seguro mútuo sofreu um ataque de Hacker, perdendo 370 mil tokens da plataforma, no valor de cerca de 8,3 milhões de dólares.

Os fundos roubados foram transferidos entre vários endereços e trocados por outros ativos. O Grupo Lazarus realizou operações de confusão, dispersão e agregação de fundos através desses endereços. Parte dos fundos foi transferida para a rede Bitcoin através de cross-chain, depois retornou para a rede Ethereum, e em seguida foi confundida através de plataformas de misturação, e finalmente enviada para plataformas de retirada.

De 16 a 20 de dezembro de 2020, um endereço Hacker enviou mais de 2500 ETH para uma plataforma de mistura. Algumas horas depois, outro endereço associado começou a realizar operações de saque.

De maio a julho de 2021, os atacantes transferiram 11 milhões de USDT para o endereço de depósito de uma determinada plataforma de negociação.

De fevereiro a junho de 2023, os atacantes enviaram mais de 11 milhões de USDT para diferentes endereços de depósito através de vários endereços.

Recentes incidentes de ataque

Em agosto de 2023, ETH roubado em dois ataques (624 e 900 unidades, respetivamente) foi transferido para uma plataforma de mistura. Após isso, esses fundos foram retirados para vários endereços específicos.

No dia 12 de outubro de 2023, os fundos desses endereços foram concentrados em um novo endereço. Em novembro, esse endereço começou a transferir fundos, que foram finalmente enviados para certos endereços de depósito através de transferências e trocas.

Resumo

O Grupo Lazarus, após roubar ativos criptográficos, confunde a origem dos fundos principalmente através de operações cross-chain e do uso de misturadores. Após a confusão, eles retiram os ativos roubados para um endereço alvo e enviam para um grupo de endereços fixos para retirada. Os ativos criptográficos roubados geralmente são depositados em endereços de depósito específicos e, em seguida, trocados por moeda fiduciária através de serviços de negociação de balcão.

Diante dos ataques contínuos e em larga escala do Lazarus Group, a indústria Web3 enfrenta desafios de segurança severos. As agências relevantes estão monitorando continuamente este Hacker e irão rastrear suas atividades e Lavagem de dinheiro, a fim de auxiliar as equipes de projeto, órgãos reguladores e departamentos de aplicação da lei a combater tais crimes e recuperar os ativos roubados.