Feds Seize 'Sinbad' Crypto Mixer som används av Nordkoreas Lazarus

Feds Seize 'Sinbad' Crypto Mixer som används av Nordkoreas Lazarus

Tidsstämpel: 30 november 2023 12:35
Källnod: 2987414

I sina fortsatta ansträngningar att slå ner Nordkoreas mest formidabla statligt sponsrade hotgrupp, har den amerikanska regeringen beslagtagit en virtuell valutamixer som har fungerat som det huvudsakliga sättet att tvätta pengar som stulits från dess cyberkriminella aktivitet.

Det amerikanska finansdepartementets kontor för kontroll av utländska tillgångar (OFAC) sanktionerade Sinbad.io, eller bara Sinbad, en kryptoblandningstjänst att FB sa att den har bearbetat virtuell valuta till ett värde av miljontals dollar från kryptorån av Lazarusgruppen, enligt a pressmeddelande från OFAC.

Som ett resultat av åtgärden måste all Sinbad egendom och intressen i egendom i USA eller kontrolleras av någon i USA blockeras och rapporteras till OFAC, och personer i USA är förbjudna att ha någon inblandning i tjänsten. Vidare kan alla som deltar i transaktioner med tjänsten också bli utsatta för sanktioner.  

Kryptoblandning — en teknik som använder pooler av kryptovaluta för att komplicera spårningen av elektroniska transaktioner — är en populär tjänst som utnyttjas av cyberbrottslingar för att dölja deras illegala transaktioner. När det gäller Lazarus använde gruppen Sinbad för att tvätta krypto från olika skadliga incidenter, inklusive Horizon Bridge och Axie Infinity-rajs, sa regeringen.

Den produktiva hotaktören är väl känd för dirigering cyberattack på uppdrag av regimen för Nordkoreas ledare, Kim Jong Un, engagerad i utbredd kryptostöld genom olika cyberattacker – bl.a. riktar sig till kryptoingenjörer eller använda komprometterade system för att bryta krypto - för att finansiera statliga aktiviteter, bland annat. Den amerikanska regeringen sanktionerade officiellt Lazarus 2019, vilket i praktiken gjorde det till ett brott att göra någon form av affärer med gruppen eller dess medarbetare.

Åtgärder mot kryptoblandning

Andra cyberkriminella grupper använder också Sinbad för att hålla olika olagliga finansiella aktiviteter som narkotikahandel, köp av barnpornografi och andra Dark Web-transaktioner borta från brottsbekämpande myndigheters nyfikna ögon. Globala myndigheter har dock kommit på användningen av kryptomixer och börjar nu övervaka och blockera aktiviteten.

I mars ledde en internationell brottsbekämpande insats ledd av det amerikanska justitiedepartementet (DoJ) till att en annan känd kryptoblandningstjänst, ChipMixer, stängdes. Sedan i maj respektive tidigare den här månaden beslagtog FB också en kryptomixer, Blender.io (Blender), och omdesignade en annan, TornadoCash — båda kända för att användas av Lasarus, sa de.

OFAC i april sanktionerade också två virtuella valutahandlare över disk som underlättade omvandlingen av stulen virtuell valuta till fiatvaluta för nordkoreanska aktörer associerade med Lazarus.

"Medan vi uppmuntrar ansvarsfull innovation i ekosystemet för digitala tillgångar, kommer vi inte att tveka att vidta åtgärder mot otillåtna aktörer", säger biträdande finansminister Wally Adeyemo i ett uttalande. "Att blanda tjänster som gör det möjligt för kriminella aktörer, som Lazarus Group, att tvätta stulna tillgångar kommer att få allvarliga konsekvenser."

Valfri kryptomixer

Alla berättade, Lazarus, som har varit aktiv i mer än 10 år, tros ha stulit digitala tillgångar till ett värde av mer än 2 miljarder dollar över flera kryptovaluta-rån, enligt den amerikanska regeringen.

Sinbad, som verkar på Bitcoin-blockkedjan, har varit en av de primära underlättarna för handeln med dessa medel som gruppens föredragna blandningstjänst. Tjänsten, som vissa säkerhetsexperter tror är efterföljaren till Blender, hjälper cyberkriminella transaktioner genom att fördunkla deras ursprung, destination och motparter, så de är svåra att spåra.

Några av de större summorna som Lazarus har tvättat genom kryptomixern inkluderar "en betydande del" av följande kryptorån: 100 miljoner dollar stulna i juni från kunder hos Atomic Wallet; 620 miljoner dollar stals från Axie Infinity i mars 2022; och 100 miljoner dollar greps från Horizon Bridge i juni 2022. 

Trots att han är sanktionerad och ständigt övervakad av både säkerhetsforskare och globala myndigheter, förblir Lazarus oförskräckt och visar få tecken på att sakta ner. Några av gruppens senaste aktiviteter inkluderar utger sig som Meta att distribuera en komplex bakdörr hos en flyg- och rymdorganisation, och siktar på att locka kryptoproffs med falska jobbannonser — det senare en vanlig taktik för gruppen.

Det finns tecken på att det ökande trycket på gruppen har påverkat dem. Lasarus nyligen justerade med andra nordkoreanska statssponsrade hotaktörer för att göra dem kollektivt svårare att spåra. Men detta samarbete skapar också förutsättningar för mer aggressiva och komplexa cyberattacker som kommer att kräva strategiskt försvar och svar från målens sida.

Tidsstämpel:

Mer från Mörk läsning