Det norske politibyrået Økokrim kunngjorde beslagleggelsen av 60 millioner kroner (omtrent 5,84 millioner dollar) i stjålet kryptovaluta av Lazarus Group i mars 2022 etter brohakket Axie Infinity Ronin.
– Denne saken viser at vi også har en sterk evne til å spore penger på blokkjeden, selv om kriminelle bruker avanserte metoder, sier den Oslo-baserte krimenheten i en uttalelse.
Utviklingen kommer mer enn 10 måneder etter at den nordkoreansk-støttede hackergruppen ble involvert av det amerikanske finansdepartementet i tyveriet av 620 millioner dollar fra den kjedelige Ronin Bridge.
I september 2022 kunngjorde den amerikanske regjeringen gjenvinning av mer enn 30 millioner dollar i kryptovaluta, eller 10 % av de stjålne midlene.
Økokrim sa at han har samarbeidet med internasjonale rettshåndhevelsespartnere for å spore opp og gjenoppbygge pengesporet, noe som gjør det vanskeligere for kriminelle aktører å utføre hvitvaskingsaktiviteter.
– Dette er penger som kan støtte Nord-Korea og dets atomvåpenprogram, la han til. «Derfor er det viktig å spore kryptovalutaer og prøve å stoppe penger når de prøver å få dem ut i form av fysiske eiendeler.
Beslaget kommer ettersom kryptovalutabørsene Binance og Huobi frøs kontoer som inneholder omtrent 1,4 millioner dollar i digital valuta fra Harmony’s Horizon Bridge-hack i juni 2022.
Angrepet, også tilskrevet Lazarus Group, tillot trusselaktører å hvitvaske deler av inntektene gjennom Tornado Cash, som ble sanksjonert av den amerikanske regjeringen i august 2022.
«De stjålne midlene lå i dvale inntil nylig, da våre etterforskere begynte å se dem ledet gjennom komplekse transaksjonskjeder til børser,» sa blockchain-analysefirmaet Elliptic forrige uke.
Videre ser det ut til at Blender, en annen kryptovaluta-mikser sanksjonert i mai 2022, har blitt gjenoppstått som Sinbad, og hvitvasker nesten 100 millioner dollar verdt av bitcoin gjennom angrep tilskrevet Lazarus Group, forteller Elliptics Tom Robinson til The Hacker News.
I følge selskapet ble midlene som ble underslått etter Horizon Bridge-tyveriet «vasket gjennom en kompleks serie transaksjoner som involverte børser, krysskjedebroer og miksere.»
«Tornado Cash ble brukt igjen, men i stedet for Blender ble en annen bitcoin-mikser brukt: Sinbad. »
Selv om tjenesten først ble lansert tidlig i oktober 2022, anslås den å ha lettet strømmen av titalls millioner dollar fra Horizon og andre Nord-Korea-relaterte hacks. .
I løpet av to-månedersperioden fra desember 2022 til januar 2023 sendte nasjonalstatsgruppen totalt 1 429,6 bitcoins verdt rundt 24,2 millioner dollar til mikseren, avslørte Chainalysis tidligere denne måneden.
Bevis på at Sinbad «mest sannsynlig» er en rebrand av Blender stammer fra overlappinger i retning av lommeboken som brukes, dens tilknytning til Russland og fellestrekk i måten de to blenderne fungerer på.
Oppdag de skjulte farene ved tredjeparts SaaS-applikasjoner
Er du klar over risikoen forbundet med tredjeparts tilgang til bedriftens SaaS-applikasjoner? Bli med på nettseminaret vårt for å lære mer om hvilke typer tillatelser som er gitt og hvordan du kan minimere risiko.
RESERVER PLASSEN DIN
«Analyse av blokkjedetransaksjoner viser at en bitcoin-lommebok som ble brukt til å betale folk som promoterte Sinbad, mottok bitcoins fra den påståtte Blender-operatørens lommebok,» sa Elliptic.
«Analyse av blokkjedetransaksjoner viser at nesten alle de første transaksjonene mottatt av Sinbad (omtrent $22 millioner) kom fra lommeboken til den påståtte Blender-operatøren. »
Sinbads skaper, som går ved «Mehdi», fortalte WIRED at tjenesten ble lansert som svar på «økende sentralisering av kryptovaluta» og at det var et legitimt prosjekt for å bevare personvernet på nettet med Monero, Zcash, Wasabi og Hill.
«Blandere kan brukes til å opprettholde ditt økonomiske privatliv, men denne spesielle mikseren ble først og fremst brukt til å hvitvaske inntektene fra angrep utført av Lazarus Group,» sa Robinson.
Funnene kommer også ettersom helseinstitusjoner er i trådkorset for en ny bølge av løsepengevare-angrep orkestrert av Lazarus Group-aktører for å generere ulovlige inntekter til det sanksjonsrammede landet.
Inntektene fra disse økonomisk motiverte angrepene brukes til å finansiere andre cyberaktiviteter, inkludert spionering mot forsvarssektorens organisasjoner og forsvarsindustribasen i Sør-Korea og USA, ifølge en felles melding utgitt av de to landene.
Men polititiltak har ennå ikke stoppet spredningen av angrep fra trusselaktøren, som har fortsatt å utvikle seg med ny atferd.
I en fersk rapport avslørte AhnLab Security Emergency Response Center (ASEC) at dette er et bredt spekter av anti-kriminaltekniske teknikker designet for å slette spor etter inntrenging og gjøre «analyse» vanskeligere.
«Lazarus-gruppen brukte totalt tre teknikker: dataskjulering, sletting av gjenstander og sporobfuskering,» sa ASEC-forskerne.
«Internettlærer. Problemløser. Utforsker. Musikkfanatiker. Ekstrem twitterfanatiker. Skaper.»