Grupa Lazarus przenosi 8.5 miliona dolarów na trzy łańcuchy bloków

Część z 290 milionów dolarów skradzionych środków z Alphapo, CoinsPaid, Atomic Wallet i Harmony została przeniesiona na setki adresów.

W ciągu ostatnich kilku lat wspierana przez państwo północnokoreańska grupa cyberprzestępcza Lazarus była powiązana z licznymi exploitami blockchain na dużą skalę. Teraz hakerzy zaczęli konsolidować środki skradzione z różnych exploitów w celu prania ich za pośrednictwem zdecentralizowanych sieci.

Blockchain śledzi zachXBT i tayvano znaleziono bezpośrednie powiązanie pomiędzy kryptowalutą wysłaną z mostu Harmony, hackami Atomic Wallet, CoinsPaid i Alphapo, przy czym łączną kwotę skradzionych środków szacuje się na około 290 milionów dolarów.

Sposób, w jaki przeprowadzono te ataki, w połączeniu z późniejszym przepływem skradzionych środków do niektórych portfeli, dał ekspertom ds. bezpieczeństwa blockchain mocne podstawy, aby sądzić, że stoi za nimi grupa Lazarus.

Śledząc środki w łańcuchu, obaj badacze odkryli, że hakerzy przenieśli te środki o wartości 8.5 miliona dolarów na 300 adresów i trzy różne łańcuchy bloków.

Kilka nocy temu, @zachxbt. i natknąłem się na szalony bezpośredni link pomiędzy środkami skradzionymi z Coinspaid/Alphapo <> Atomic Wallet <> Harmony.

Zeszłej nocy ~8.5 miliona dolarów ze środków z Coinspaid/Alphapo (wraz z resztkami z Atomic Wallet) trafiło do ponad 300 dodatków w 3 łańcuchach.

???? https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L

— Tay 💖 (@tayvano_) 3 sierpnia 2023 r.

W ciągu pięciu godzin hakerzy podzielili 4600 ETH na 125 nowych adresów Ethereum, po czym przekazali te środki do Avalanche, a następnie do Bitcoina. Według tayvano 290 BTC znajduje się pod 125 adresami Bitcoin, a każdy z tych portfeli mieści od jednego do trzech BTC. 

„Co najbardziej zdumiewające, podczas całego tego prania łącznie 514 transakcji przeniosło się z ETH->AVAX lub AVAX->BTC ​​za pośrednictwem tych samych usług wykorzystywanych do prania („prania”) skradzionych środków. 500 TXNS przeniosło skradzione środki z Alphapo/Coinspaid/Atomic Wallet”, tayvvano powiedziany na Twitterze.

Badacz na łańcuchu zauważył również, że jest to piąty raz, kiedy grupa Lazarus wyprała miliony dolarów w ciągu ostatnich kilku tygodni. 

Gdzie ostatecznie trafiają te środki? Według zachXBT środki te trafiają do traderów pozagiełdowych (OTC) w sieci Tron.

Zwykle obecnie trafia do sklepów OTC na Tron

— ZachXBT (@zachxbt) 1 sierpnia 2023 r.

Na początku tego roku Biuro Kontroli Aktywów Zagranicznych Departamentu Skarbu USA (OFAC) Sankcjonowane trzy osoby w Chinach za pomoc w praniu pieniędzy przez firmę Lazarus. Dwóch z tych spiskowców to handlarze kryptowalutami OTC z siedzibą w Chinach i Hongkongu, którzy w imieniu Lazarusa zamienili miliony skradzionych kryptowalut na walutę fiducjarną. Trzecia osoba współpracowała następnie z handlarzami OTC w celu wspierania produkcji broni i zakupu towarów w imieniu rządu za pośrednictwem podmiotu objętego sankcjami OFAC Korea Kwangson Banking Corp (KKBC).