ФБР связывает северокорейских хакеров со взломом Harmony и кражей 100 миллионов долларов

сотрудник ФБР связанный взлом Межсетевой мост Harmony Horizon с Lazarus, группой кибершпионажа, связанной с правительством Северной Кореи. ограбление, произошло прошлым летомпривело к краже криптовалютных активов на сумму 100 миллионов долларов.

В прошлом году, вскоре после того, как злоумышленники получили контроль над контрактом MultiSigWallet и использовали его для перевода большого количества токенов на свои адреса, сообщили аналитики блокчейна Elliptic. занятый атаку с активностью Lazarus, и заметил, что украденные средства были переведены на кошельки, ранее связанные с этой группой.

Теперь ФБР официально подтвердило правильность выводов экспертов по безопасности: за этой атакой стояли северокорейские хакеры из группировки Lazarus (APT38). По данным полиции, северокорейские хакерские группы крадут и отмывают виртуальную валюту для поддержки государственных программ по созданию баллистических ракет и оружия массового уничтожения.

Связь Lazarus с ограблением была выявлена ​​благодаря одной из попыток отмывания украденных активов, осуществленной хакерами на прошлой неделе. 13 января 2023 года злоумышленники предположительно попытались перевести 41 000 ETH (примерно 63,5 миллиона долларов) через Railgun, который используется в качестве замены недавно санкционированному миксеру криптовалюты Tornado Cash, прежде чем конвертировать средства в BTC и вывести их на несколько адресов на дровах. биржи криптовалют.

Схема отмывания денег

Было обнаружено ок. 350 адресов находится под непосредственным контролем Lazarus, а часть украденных средств в итоге была заморожена на счетах бирж Binance и Huobi. Однако основная часть активов по-прежнему остается под контролем хакеров на этих кошельках:

  • 1BK769SseNefb6fe9QuFEi8W4KGbtP8gi3;
  • 15FcqYRbwh2JsRUyBjvZ4jJ2XAD3pycGch;
  • 1HwSof6jnbMFpfrRRa2jvydYdopkkGB4Sn;
  • 15emeZ7buVegqhYh9PekH7cwFEJcCeVNpS;
  • 3MSbCJCYtx5sj1nkzD4AMEhhvvviXBc8XJ;
  • 17Z79rZpkk8kUiJseg5aELwYKaoLnirMUn;
  • bc1qp2vvntdedxw4xwtyd4y3gc2t9ufk6pwz2ga4ge;
  • 3P9WebHkiDxCi8LDXiRQp8atNEagcQeRA3;
  • 37fnBxofDeph2fpBZxZKypNkwdXAt9nT6F;
  • 185NxhFAmKZrdwn9rVga3kqbvDP4FkbTNw;

По данным властей, во время этой атаки, а также во время атаки на Axie Infinity и сайдчейн Ronin хакеры использовали вредоносное ПО. ТорговецПредательнаправленные на компрометацию машин сотрудников компаний-мишеней. Это вредоносное ПО обычно доставляется жертвам через социальные сети (через электронную почту или личные сообщения), замаскированные под хорошо оплачиваемые предложения работы.

Вредоносное ПО написано на кроссплатформенном JavaScript, работающем внутри Electron, и способно развертывать вторичные полезные нагрузки как в системах Windows, так и в macOS (в зависимости от платформы, используемой скомпрометированным сотрудником).

Известно, что помимо криптовалютных платформ Lazarus использовал это вредоносное ПО для атак на компании в игровой и финансовой сферах.



Source

READ  Особенности изучения немецкого языка