Virtuell valutaplattform 'Tornado Cash' anklaget for å hjelpe APT-er

Den amerikanske regjeringen har innført sanksjoner mot den virtuelle valutamikseren Tornado Cash for hvitvasking av mer enn 7 milliarder dollar i kryptokontanter fra nettkriminell aktivitet. Minst 455 millioner dollar av dette ble flyttet til statsstøttet Lazarus-gruppen delvis for å hjelpe til med å finansiere Nord-Koreas missilprogram, sa tjenestemenn.

US Department of the Treasury's Office of Foreign Assets Control (OFAC) avduket handlingen– som i utgangspunktet fryser alle eiendelene og virksomheten til Tornado Cash og forbyr noen å gjøre forretninger med tjenesten – på mandag, med henvisning til en rekke anledninger at tjenesten vasket krypto for hackere. De nettsted av tjenesten allerede er tatt frakoblet, og enhver transaksjon som har med tjenesten eller noen tilknyttet den å gjøre, er nå blokkert i USA.
et blogginnlegg publisert torsdag.

I tillegg til den heftige summen som produktive Nordkoreansk-baserte Lazarus har beveget seg gjennom tjenesten, hvitvasket Tornado Cash også mer enn 96 millioner dollar av nettkriminelle midler hentet fra 24. juni tyveri av kryptovaluta fra Horizon blockchain-broen fra Harmony, og minst 7.8 millioner dollar fra en 2. august angrep som stjal 190 millioner dollar fra kryptofirmaet Nomad, sa amerikanske tjenestemenn.

Bevegelsen for å sanksjonere Tornado Cash for Lazarus' aktiviteter på børsen er en integrert del av Det hvite huss svar på Nord-Koreas bruk av cyberkrigføring mot kryptovalutabørser for å finansiere sitt missilprogram, sa en senior administrasjonstjenestemann, ifølge en tweet fra Politico cybersikkerhetsreporter Erik Geller.

Faktisk er Lazarus velkjent i cybersikkerhetskretser som en økonomisk motivert avansert vedvarende trussel (APT) rettet mot å stjele kontanter samt utfører nettspionasjeaktiviteter for regimet til Kim Jong-un. OFAC sanksjonerte allerede gruppen og alle dens underenheter i 2019 for deres forskjellige nettkriminelle handlinger for å støtte Nord-Koreas våpenprogrammer.

Advarsel uaktet

Sanksjonene mot Tornado Cash kommer etter at operatørene ble advart om den ulovlige aktiviteten på børsen, som FB har overvåket, ifølge finansdepartementet.

Faktisk har regjeringen generelt holdt et øye med såkalte kryptomiksere og vil fortsette å gjøre det i fremtiden, sa undersekretær for finansministeren for terrorisme og finansiell etterretning Brian Nelson. Disse tjenestene, som lar anonyme brukere overføre ulike typer krypto, blir besøkt av nettkriminelle for å flytte betalinger fra løsepenge-angrep og andre ulovlige handlinger.

"Til tross for offentlige forsikringer ellers, har Tornado Cash gjentatte ganger unnlatt å pålegge effektive kontroller designet for å stoppe den fra å hvitvaske midler for ondsinnede cyberaktører på en regelmessig basis og uten grunnleggende tiltak for å håndtere risikoene," sa Nelson i en pressemelding.

Tornado Cash opererer på Ethereum-blokkjeden og legger til rette for anonyme transaksjoner ved å skjule deres opprinnelse, destinasjon og andre involverte parter, og har ingen interesse av å vite hvor pengene kommer fra, ifølge finansdepartementet.

Tjenesten mottar en rekke transaksjoner og blander dem sammen før de overføres til deres individuelle mottakere. Mens Tornado Cash påstår å opprettholde anonymitet for brukere for personvernformål, gjør dette også og ganske praktisk det enkelt for nettkriminelle – spesielt de som raner betydelige pengesummer – å skjule aktiviteten sin.

Lazarus har vært aktiv siden minst 2009 og anses av både offentlige tjenestemenn og sikkerhetsforskere for å være en av verdens mest produktive trusler. Gruppen har en rekke avanserte malware, ransomware og andre verktøy i bagen med triks, og bytter opp taktikk og mål ofte for å holde rettshåndhevelsen på tærne.