Home » Norge tar 5,84 millioner dollar i krypto stjålet av Lazarus Hackers

Norge tar 5,84 millioner dollar i krypto stjålet av Lazarus Hackers

by Liv Ullmann

Det norske politibyrået Økokrim kunngjorde beslagleggelsen av 60 millioner kroner (omtrent 5,84 millioner dollar) i stjålet kryptovaluta av Lazarus Group i mars 2022 etter brohakket Axie Infinity Ronin.

– Denne saken viser at vi også har en sterk evne til å spore penger på blokkjeden, selv om kriminelle bruker avanserte metoder, sier den Oslo-baserte krimenheten i en uttalelse.

Utviklingen kommer mer enn 10 måneder etter at den nordkoreansk-støttede hackergruppen ble involvert av det amerikanske finansdepartementet i tyveriet av 620 millioner dollar fra den kjedelige Ronin Bridge.

I september 2022 kunngjorde den amerikanske regjeringen gjenvinning av mer enn 30 millioner dollar i kryptovaluta, eller 10 % av de stjålne midlene.

Økokrim sa at han har samarbeidet med internasjonale rettshåndhevelsespartnere for å spore opp og gjenoppbygge pengesporet, noe som gjør det vanskeligere for kriminelle aktører å utføre hvitvaskingsaktiviteter.

– Dette er penger som kan støtte Nord-Korea og dets atomvåpenprogram, la han til. «Derfor er det viktig å spore kryptovalutaer og prøve å stoppe penger når de prøver å få dem ut i form av fysiske eiendeler.

Beslaget kommer ettersom kryptovalutabørsene Binance og Huobi frøs kontoer som inneholder omtrent 1,4 millioner dollar i digital valuta fra Harmony’s Horizon Bridge-hack i juni 2022.

Angrepet, også tilskrevet Lazarus Group, tillot trusselaktører å hvitvaske deler av inntektene gjennom Tornado Cash, som ble sanksjonert av den amerikanske regjeringen i august 2022.

«De stjålne midlene lå i dvale inntil nylig, da våre etterforskere begynte å se dem ledet gjennom komplekse transaksjonskjeder til børser,» sa blockchain-analysefirmaet Elliptic forrige uke.

Videre ser det ut til at Blender, en annen kryptovaluta-mikser sanksjonert i mai 2022, har blitt gjenoppstått som Sinbad, og hvitvasker nesten 100 millioner dollar verdt av bitcoin gjennom angrep tilskrevet Lazarus Group, forteller Elliptics Tom Robinson til The Hacker News.

I følge selskapet ble midlene som ble underslått etter Horizon Bridge-tyveriet «vasket gjennom en kompleks serie transaksjoner som involverte børser, krysskjedebroer og miksere.»

«Tornado Cash ble brukt igjen, men i stedet for Blender ble en annen bitcoin-mikser brukt: Sinbad. »

Selv om tjenesten først ble lansert tidlig i oktober 2022, anslås den å ha lettet strømmen av titalls millioner dollar fra Horizon og andre Nord-Korea-relaterte hacks. .

I løpet av to-månedersperioden fra desember 2022 til januar 2023 sendte nasjonalstatsgruppen totalt 1 429,6 bitcoins verdt rundt 24,2 millioner dollar til mikseren, avslørte Chainalysis tidligere denne måneden.

Bevis på at Sinbad «mest sannsynlig» er en rebrand av Blender stammer fra overlappinger i retning av lommeboken som brukes, dens tilknytning til Russland og fellestrekk i måten de to blenderne fungerer på.

WEBINAR

Oppdag de skjulte farene ved tredjeparts SaaS-applikasjoner

Er du klar over risikoen forbundet med tredjeparts tilgang til bedriftens SaaS-applikasjoner? Bli med på nettseminaret vårt for å lære mer om hvilke typer tillatelser som er gitt og hvordan du kan minimere risiko.

RESERVER PLASSEN DIN

«Analyse av blokkjedetransaksjoner viser at en bitcoin-lommebok som ble brukt til å betale folk som promoterte Sinbad, mottok bitcoins fra den påståtte Blender-operatørens lommebok,» sa Elliptic.

«Analyse av blokkjedetransaksjoner viser at nesten alle de første transaksjonene mottatt av Sinbad (omtrent $22 millioner) kom fra lommeboken til den påståtte Blender-operatøren. »

Sinbads skaper, som går ved «Mehdi», fortalte WIRED at tjenesten ble lansert som svar på «økende sentralisering av kryptovaluta» og at det var et legitimt prosjekt for å bevare personvernet på nettet med Monero, Zcash, Wasabi og Hill.

«Blandere kan brukes til å opprettholde ditt økonomiske privatliv, men denne spesielle mikseren ble først og fremst brukt til å hvitvaske inntektene fra angrep utført av Lazarus Group,» sa Robinson.

Funnene kommer også ettersom helseinstitusjoner er i trådkorset for en ny bølge av løsepengevare-angrep orkestrert av Lazarus Group-aktører for å generere ulovlige inntekter til det sanksjonsrammede landet.

Inntektene fra disse økonomisk motiverte angrepene brukes til å finansiere andre cyberaktiviteter, inkludert spionering mot forsvarssektorens organisasjoner og forsvarsindustribasen i Sør-Korea og USA, ifølge en felles melding utgitt av de to landene.

Men polititiltak har ennå ikke stoppet spredningen av angrep fra trusselaktøren, som har fortsatt å utvikle seg med ny atferd.

I en fersk rapport avslørte AhnLab Security Emergency Response Center (ASEC) at dette er et bredt spekter av anti-kriminaltekniske teknikker designet for å slette spor etter inntrenging og gjøre «analyse» vanskeligere.

«Lazarus-gruppen brukte totalt tre teknikker: dataskjulering, sletting av gjenstander og sporobfuskering,» sa ASEC-forskerne.

Har du vært interessert i denne artikkelen? Følg oss Twitter og LinkedIn for å lese mer eksklusivt innhold vi publiserer.

You may also like