211service.com
Hoe de Noord-Koreaanse hackers achter WannaCry wegkwamen met een verbluffende crypto-overval
De Noord-Koreaanse leider Kim Jong Un inspecteert de gevechtsgereedheid van eenheid 1017 van de lucht- en luchtafweermacht van het Koreaanse Volksleger, op een onbekende locatie in Noord-Korea. Associated Press
Cyberaanvallen tegen cryptocurrency-uitwisselingen zijn nu gebruikelijk, maar de diefstal van iets meer dan $ 7 miljoen van de in Singapore gevestigde uitwisseling DragonEx afgelopen maart valt op om ten minste drie redenen.
Ten eerste is er het extreem uitgebreide phishing-schema waar de aanvallers binnenkwamen, waarbij niet alleen nepwebsites waren betrokken, maar ook nep-crypto-trading-bots. Dan is er een gelikte manier waarop ze het cryptogeld dat ze hadden gestolen witgewassen. Last but not least: ze blijken voor Kim Jong-un te hebben gewerkt.
De overval, waarvan nieuwe details waren: onlangs gepubliceerd door blockchain-analysebedrijf Chainalysis, laat zien hoe goed de digitale bankovervallers van vandaag zijn geworden. En als dit en andere rapporten Noord-Koreaanse hackers gelijk hebben als de daders, lijkt het deel uit te maken van een grotere overlevingsstrategie van het regime van Kim, dat is afgesneden van het wereldwijde financiële systeem door internationale economische sancties die bedoeld zijn om zijn kernwapenprogramma in te perken.
DragonEx was niet de eerste crypto-uitwisseling die het slachtoffer werd van deze specifieke hackerband, die sommige beveiligingsanalisten de Lazarus Group noemen. De groep richt zich sinds minstens 2017 op de sector, als onderdeel van een bredere campagne gericht op financiële instellingen. In augustus, rapporteerde een groep onafhankelijke deskundigen aan de Verenigde Naties dat Noord-Korea naar schatting $ 2 miljard heeft gegenereerd voor zijn raketprogramma door wijdverbreide en steeds geavanceerdere cyberaanvallen te gebruiken om te stelen van banken en cryptocurrency-uitwisselingen. Het gebruik van cryptovaluta door het regime om sancties te ontwijken zit achter een recente waarschuwing van dezelfde groep VN-experts om een aanstaande blockchainconferentie in Pyongyang niet bij te wonen.
Algemeen wordt aangenomen dat de Lazarus Group achter verschillende hacks zit die de krantenkoppen halen, waaronder de inbreuk op Sony Pictures in 2014 en de WannaCry-ransomwarehack in 2017, die honderdduizenden computers in 150 landen trof. Maar het was de diefstal van $ 81 miljoen van de centrale bank van Bangladesh in 2016 die een voorbode was van de uiteindelijke targeting van crypto-uitwisselingen. Volgens de FBI , hebben de aanvallers meer dan een jaar op verkenning gedaan voordat ze via een uitgebreide phishing-campagne toegang kregen tot het computersysteem van de bank.
Geplaagd door lakse beveiliging, was het cryptocurrency-ecosysteem een gemakkelijk doelwit voor Noord-Koreaanse hackers, die al ervaring hadden met het achtervolgen van financiële instellingen, zegt Priscilla Moriuchi , hoofd van nationaal onderzoek bij Recorded Future, een cyberbeveiligingsbedrijf. Ze zijn veel beter in staat dan ze de eer krijgen, vooral op het gebied van financiële criminaliteit, zegt Moriuchi.
Om DragonEx te compromitteren, heeft Lazarus een nepbedrijf opgericht dat reclame maakte voor een geautomatiseerde cryptocurrency-handelsbot genaamd Worldbit-bot, zegt: kettinganalyse . Het uitgevonden bedrijf had een website en de verzonnen werknemers waren zelfs aanwezig op sociale media. Toen ze een gratis proefversie van de handelssoftware aan DragonEx-medewerkers gooiden, beet iemand en downloadde malware naar een computer die de privésleutels voor de portemonnee van de beurs bezat.
In onderzoek gepubliceerd eerder deze maand beschrijft Kaspersky nog een van de recente plannen van de Lazarus Group, die blijkbaar ook gericht waren op cryptocurrency-bedrijven. In dit geval hebben de aanvallers nepbedrijven opgericht en vervolgens doelen verleid om malware te downloaden met behulp van de populaire berichten-app Telegram.
Inbreken en geld stelen is echter niet genoeg. Ze moeten uitbetalen. Volgens Chainalysis heeft de Lazarus Group het afgelopen jaar de manier waarop ze dit doet volledig vernieuwd. Vorig jaar leek het vrij eenvoudig in zijn witwastechnieken, waarbij het gestolen geld meestal 12 tot 18 maanden bleef staan voordat het werd uitbetaald via een uitwisseling die niet bijhoudt wie zijn klanten zijn. (Om precies deze reden zijn cryptovaluta-uitwisselingen in de meeste rechtsgebieden vereist om de identiteit van hun klanten bij te houden.)
De manier waarop de groep zijn geld verplaatste na de DragonEx-hack van afgelopen maart was blijkbaar veel verfijnder. Ze gebruikten veel meer tussenstappen, waaronder uitwisselingen en een verscheidenheid aan digitale portemonnees. De munten kwamen terecht in een speciaal soort portemonnee die gebruikmaakt van een Bitcoin-compatibele privacytechnologie genaamd CoinJoin, die transacties van meerdere gebruikers combineert op een manier die het moeilijk maakt om te zien wie welke betaling naar welke ontvanger heeft gestuurd. En de hackers verzilverden sneller: bijna al het geld werd binnen 60 dagen naar liquidatiediensten verplaatst, aldus Chainalysis.
De nieuwe en verbeterde methoden van de Noord-Koreaanse hackers zeggen misschien minder over hun eigen mogelijkheden dan over de witwastools die nu beschikbaar zijn in de cryptowereld. Chainalysis's hoofd onderzoek, Kim Grauer, zegt dat haar team in 2019 een grote stijging opmerkte in geavanceerde witwasinfrastructuur waar verschillende criminele organisaties gewoon op kunnen aansluiten. Met andere woorden, zelfs criminelen die niet goed op de hoogte zijn van blockchains, kunnen gemakkelijk toegang hebben tot geavanceerde methoden om hun sporen te verbergen nadat ze uw crypto hebben gestolen. Hoe dan ook, zolang beurzen beveiligingslekken hebben, zullen groepen zoals Lazarus ze blijven beroven.