Gli Stati Uniti stanno dando la caccia agli hacker nordcoreani che hanno rubato oltre 2,67 milioni di dollari in criptovalute. Il 4 ottobre, il governo ha presentato due denunce per sequestrare questa criptovaluta rubata.
L'obiettivo? Il famigerato Lazarus Group, una squadra di hacker legata al governo nordcoreano. I fondi in questione sono stati rubati da due grandi furti di criptovalute.
$ 1,7 milioni in USDT dall'hacking di Deribit del 2022 e $ 970.000 in Bitcoin (BTC.b) con ponte Avalanche da Stake.com nel 2023.
La tradizione di Lazzaro
Il Gruppo Lazarus ha hackerato aziende e rubato milioni almeno dal 2009.
Tutto è iniziato con attacchi di alto profilo come l’hacking della Sony Pictures del 2014 e la rapina alla Bangladesh Bank del 2016. Ora il suo focus è sulle criptovalute.
Gli analisti stimano che dal 2017 il gruppo abbia prelevato tra i 3 e i 4,1 miliardi di dollari dalle società crittografiche.
L'hacking di Deribit era il classico Lazarus Group. Ha violato un hot wallet e ha sottratto 28 milioni di dollari in criptovalute. Dopo aver preso i fondi, ha utilizzato Tornado Cash per nascondere le sue tracce.
Il Gruppo Lazarus ha quindi spostato la criptovaluta attraverso diversi indirizzi Ethereum per rendere le cose ancora più difficili da tracciare.
Anche se il gruppo utilizzava mixer e indirizzi multipli, le forze dell'ordine sono rimaste alle calcagna. Ora vogliono recuperare almeno 1,7 milioni di dollari dell’USDT rubato.
Traccia di precedenti nel furto di criptovalute
Lazarus Group, noto anche come APT38 o Bluenoroff, è noto per i suoi attacchi informatici e i furti di criptovalute. Il gruppo è altamente qualificato, con strumenti su misura per ogni target.
Ciò che è scioccante è la portata delle operazioni del gruppo. I rapporti di società di analisi come Chainalysis e TRM Labs mostrano quanti danni hanno causato gli hacker.
Si stima che Lazarus abbia rubato tra i 3 e i 4,1 miliardi di dollari dal 2017, principalmente da scambi. Nell'agosto 2023, hanno preso il controllo del portafoglio di distribuzione di Steadefi e hanno prosciugato 1,2 milioni di dollari in criptovalute.
Questo attacco è stato il massimo dell’ingegneria sociale. Un membro del team Steadefi ha scaricato un file dannoso da qualcuno che si spacciava per gestore di fondi su Telegram.
In un altro attacco, la piattaforma Coinshift ha perso oltre 900.000 dollari in Ethereum (ETH) e, proprio come con Deribit, Steadefi e gli altri, gli hacker hanno riciclato la criptovaluta rubata tramite Tornado Cash.
Ciò che è ancora più interessante è la velocità con cui operano. Il 23 agosto, gli aggressori degli hack Steadefi e Coinshift hanno effettuato depositi nel pool Tornado Cash 100 ETH a pochi minuti l'uno dall'altro.
Una volta convertiti i fondi in stablecoin, gli hacker di Lazarus utilizzano gli scambi peer-to-peer (P2P) per trasformare le criptovalute rubate in contanti.
Paxful e Noones, due popolari piattaforme P2P, sono state parti fondamentali del loro processo. Secondo le denunce degli Stati Uniti, l'indirizzo di deposito Paxful di Lazarus Group (0x2465) è stato coinvolto in numerosi attacchi hacker, compresi quelli contro EasyFi, Bondly e Nexus Mutual.
In risposta a questi hack, sono state intraprese diverse azioni per bloccare i fondi rubati. Nel novembre 2023, Tether ha inserito nella lista nera 374.000 dollari in USDT collegati a Lazarus.
Allo stesso tempo, altri scambi centralizzati hanno congelato una quantità non divulgata di criptovalute. Nel quarto trimestre del 2023, tre dei quattro principali emittenti di stablecoin avevano inserito nella lista nera un totale di 3,4 milioni di dollari legati a Lazarus.
Tuttavia, nonostante questi sforzi, Lazarus continua ad evolversi e ad adattarsi, diventando una minaccia persistente nel settore.