Хакерская группировка из Северной Кореи — Lazarus — разрабатывала атаку на одного из крупнейших поставщиков криптоплатежей CoinsPaid около полугода. Об этом говорится в расследовании компании.
В конце июля программист эстонской компании CoinsPaid встретился по видеосвязи с рекрутером, который обратился через LinkedIn с выгодным предложением о работе. В ходе собеседования его попросили загрузить файл для прохождения технического теста, который он выполнил на своем рабочем компьютере.
Спустя несколько дней, 22 июля, служба безопасности CoinsPaid заметила серию необычных выводов средств — деньги быстро сливались со счетов компании. К тому времени CoinsPaid лишился $37 млн.
Как в Lazarus готовили атаку на CoinsPaid
Аналитики отмечают, что скорость кражи и методология указывают на то, что операция могла быть проведена Lazarus. Они отметили, что поддельное интервью и последующий взлом стали кульминацией тщательно продуманной шестимесячной операции, в ходе которой хакеры запустили многочисленные атаки, которые проверяли сети на наличие технических уязвимостей.
Более того, в преддверии взлома хакеры внимательно изучили CoinsPaid, проводя фишинговые атаки и обращаясь к нескольким сотрудникам с вопросами и предложениями о работе, чтобы получить доступ к внутренним системам.
В результате, как только инженер CoinsPaid загрузил файл, хакеры смогли получить удаленный доступ к системе CoinsPaid, что позволило им вывести средства с активных криптовалютных кошельков и практически сразу приступить к отмыванию криптовалюты. Для этого они использовали криптомиксер Sinbad и различные сервисы обмена, которые смешивают и обменивают разные криптовалюты, чтобы затруднить определение происхождения данного токена.
Как КНДР отмывает украденную криптовалюту
Сейчас хакеры пытаются замести следы взломов кросс-чейн моста Harmony, криптокошелька Atomic Wallet, а также криптопроектов CoinsPaid и Alphapo через серию кросс-чейн переводов.
Как сообщила основательница криптокошелька MyCrypto Тейлор Монахан, злоумышленники за последние сутки уже провели около $8,5 млн в криптовалюте через три сети: Ethereum, Avalanche и Bitcoin. Общая сумма отмытых денег через такую кросс-чейн махинацию за последние недели составила от $25 млн до $50 млн. В рамках одной только операции хакеры осуществили свыше пяти сотен транзакций.
