Het Amerikaanse ministerie van Financiën heeft de door Noord-Korea gesteunde Lazarus Group (ook bekend als Hidden Cobra) betrokken bij de diefstal van $ 540 miljoen van het Ronin Network van videogame Axie Infinity vorige maand.
Op donderdag, de Schatkist gebonden de Ethereum portemonnee adres die het gestolen geld aan de dreigingsactor heeft ontvangen en het geld heeft gesanctioneerd door het adres toe te voegen aan de speciaal aangewezen onderdanen van het Office of Foreign Assets Control (OFAC) (SDN) Lijst.
“De FBI zal, in overleg met Treasury en andere Amerikaanse regeringspartners, doorgaan met het aan de kaak stellen en bestrijden van het gebruik door de DVK van illegale activiteiten – waaronder cybercriminaliteit en diefstal van cryptovaluta – om inkomsten voor het regime te genereren”, aldus de inlichtingen- en wetshandhavingsinstantie. zei in een verklaring.
De cryptocurrency-overval, de op één na grootste cyberdiefstal tot op heden omvatte het overhevelen van 173.600 Ether (ETH) en 25,5 miljoen USD-munten van de Ronin cross-chain bridge, waarmee gebruikers hun digitale activa van het ene cryptonetwerk naar het andere kunnen overbrengen, op 23 maart 2022.
“De aanvaller gebruikte gehackte privésleutels om nep-opnames te vervalsen”, aldus het Ronin-netwerk uitgelegd in zijn onthullingsrapport een week later nadat het incident aan het licht kwam.
De sancties verbieden Amerikaanse individuen en entiteiten om transacties uit te voeren met het adres in kwestie om ervoor te zorgen dat de door de staat gesponsorde groep geen verdere fondsen kan uitbetalen. Uit een analyse van Elliptic blijkt dat de acteur erin is geslaagd om op 14 april 18% van de overgehevelde digitale fondsen (ongeveer $ 97 miljoen) wit te wassen.
“Eerst werd de gestolen USDC geruild voor ETH via gedecentraliseerde beurzen (DEX’s) om te voorkomen dat deze in beslag werden genomen”, zegt Elliptic. dat is genoteerd. “Door de tokens bij DEXs om te zetten, vermeed de hacker de anti-witwas- (AML) en ‘ken je klant’- (KYC)-controles die werden uitgevoerd op gecentraliseerde beurzen.”
Bijna $ 80,3 miljoen van de witgewassen fondsen hebben betrekking op het gebruik van Tornado Cash, een mengservice op de Ethereum-blockchain die is ontworpen om het spoor van fondsen te verdoezelen, met nog eens $ 9,7 miljoen aan ETH die waarschijnlijk op dezelfde manier zal worden witgewassen.
Lazarus Group, een overkoepelende naam die is toegewezen aan productieve door de staat gesponsorde actoren die opereren namens Noord-Koreaanse strategische belangen, heeft een staat van dienst in het plegen van diefstallen van cryptocurrency sinds ten minste 2017 om sancties te omzeilen en de nucleaire en ballistische raketprogramma’s van het land te financieren.
“Er wordt aangenomen dat de spionageoperaties van het land een afspiegeling zijn van de onmiddellijke zorgen en prioriteiten van het regime, dat momenteel waarschijnlijk gericht is op het verwerven van financiële middelen door middel van crypto-overvallen, gericht op media, nieuws en politieke entiteiten, [and] informatie over buitenlandse betrekkingen en nucleaire informatie’, zei Mandiant onlangs in een diepe duik.
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft: geschilderd de cyberactoren als een steeds geavanceerdere groep die een breed scala aan malwaretools over de hele wereld heeft ontwikkeld en ingezet om deze activiteiten te vergemakkelijken.
Het is bekend dat de groep in 2021 naar schatting $ 400 miljoen aan digitale activa van cryptoplatforms heeft geplunderd, een sprong van 40% vanaf 2020, volgens Chainalysis, die ontdekte dat “slechts 20% van het gestolen geld Bitcoin was, [and that] Ether was goed voor een meerderheid van de gestolen fondsen met 58%.”
Niettegenstaande sancties opgelegd door de Amerikaanse overheid aan het hackingcollectief, hebben recente campagnes van de groep gekapitaliseerd op trojaanse gedecentraliseerde financiële (DeFi) portemonnee-apps om Windows-systemen achter de deur te houden en geld van nietsvermoedende gebruikers te verduisteren.
Dat is niet alles. In een ander cyberoffensief dat deze week door Broadcom Symantec werd onthuld, is de acteur… opgemerkt gericht op Zuid-Koreaanse organisaties die actief zijn in de chemische sector in wat lijkt op een voortzetting van een malwarecampagne genaamd “Operation Dream Job”, wat de bevindingen van Google’s Threat Analysis Group in maart 2022 bevestigt.
De inbreuken, die eerder in januari werden gedetecteerd, begonnen met een verdacht HTM-bestand dat werd ontvangen als een link in een phishing-e-mail of dat werd gedownload van internet en dat, wanneer het wordt geopend, een infectiereeks in gang zet, wat uiteindelijk leidt tot het ophalen van een tweede-traps payload van een externe server om verdere invallen te vergemakkelijken.
Het doel van de aanvallen, zo oordeelde Symantec, is “intellectueel eigendom te verkrijgen om Noord-Korea’s eigen achtervolgingen in dit gebied te bevorderen”.
De voortdurende aanval van illegale activiteiten van de Lazarus Group heeft het Amerikaanse ministerie van Buitenlandse Zaken er ook toe gebracht: aankondigen een beloning van $ 5 miljoen voor “informatie die leidt tot de verstoring van financiële mechanismen van personen die betrokken zijn bij bepaalde activiteiten die Noord-Korea ondersteunen.”
De ontwikkeling komt dagen nadat een Amerikaanse rechtbank in New York Virgil Griffith, een 39-jarige voormalige Ethereum-ontwikkelaar, tot vijf jaar en drie maanden gevangenisstraf heeft veroordeeld voor het helpen van Noord-Korea bij het gebruik van virtuele valuta om sancties te omzeilen.
Om de zaken nog erger te maken, hebben kwaadwillenden alleen al in de eerste drie maanden van 2022 $ 1,3 miljard aan cryptocurrency gestolen, in vergelijking met $ 3,2 miljard dat in heel 2021 werd geplunderd, wat wijst op een “snelle stijging” van diefstallen van cryptoplatforms.
“Bijna 97% van alle cryptocurrency die in de eerste drie maanden van 2022 is gestolen, is afkomstig van DeFi-protocollen, een stijging van 72% in 2021 en slechts 30% in 2020”, Chainalysis zei in een rapport dat deze week is gepubliceerd.
“Vooral voor DeFi-protocollen zijn de grootste diefstallen echter meestal te danken aan foutieve code. Code-exploits en flitsleningaanvallen – een type code-exploit waarbij de prijzen van cryptocurrency worden gemanipuleerd – hebben een groot deel van de waarde veroorzaakt die buiten de Ronin is gestolen. aanval”, aldus de onderzoekers.
