211service.com
Hur de nordkoreanska hackarna bakom WannaCry kom undan med ett fantastiskt krypto-heist
Nordkoreas ledare Kim Jong Un inspekterar stridsberedskapen för enhet 1017 från den koreanska folkarméns luft- och luftvärnsstyrka, på en okänd plats i Nordkorea. Opartisk Press
Cyberattacker mot kryptovalutabörser är nu vanliga, men stölden av drygt 7 miljoner dollar från den Singapore-baserade börsen DragonEx i mars förra året sticker ut av minst tre anledningar.
Först är det det extremt utarbetade nätfiskeschemat som angriparna brukade komma in på, som inte bara involverade falska webbplatser utan också falska kryptohandelsbotar. Sedan finns det ett smart sätt att tvätta kryptopengarna de stal. Sist men inte minst: de verkar ha arbetat för Kim Jong-un.
Rån, nya detaljer som var nyligen publicerat av blockkedjeanalysföretaget Chainalysis, visar hur bra dagens digitala bankrånare har blivit. Och om detta och annat rapporterar har rätt i att utpeka nordkoreanska hackare som förövare, verkar det vara en del av en större överlevnadsstrategi av Kims regim, som har avskurits från det globala finansiella systemet genom internationella ekonomiska sanktioner som syftar till att begränsa dess kärnvapenprogram.
DragonEx var inte den första kryptobörsen som drabbades av just detta hackerband, som vissa säkerhetsanalytiker kallar Lazarus Group. Gruppen har riktat sig mot branschen sedan åtminstone 2017, som en del av en bredare kampanj fokuserad på finansiella institutioner. I Augusti, en grupp oberoende experter rapporterade till FN att Nordkorea har genererat uppskattningsvis 2 miljarder dollar för sitt missilprogram genom att använda utbredda och allt mer sofistikerade cyberattacker för att stjäla från banker och kryptovalutabörser. Regimens användning av kryptovaluta för att undvika sanktioner ligger bakom en nyligen varning från samma grupp av FN-experter att inte delta i en kommande blockchain-konferens i Pyongyang.
Lazarus Group tros allmänt ha legat bakom flera rubriker, inklusive intrånget i Sony Pictures 2014 och WannaCry ransomware-hacket 2017, som påverkade hundratusentals datorer i 150 länder. Men det var dess stöld av 81 miljoner dollar från centralbanken i Bangladesh 2016 som förebådade dess eventuella inriktning på kryptobörser. Enligt FBI , spenderade angriparna mer än ett år med att spana innan de fick tillgång till bankens datorsystem via en omfattande nätfiskekampanj.
Plågat av slapp säkerhet var kryptovalutans ekosystem ett lätt mål för nordkoreanska hackare, som redan hade erfarenhet av att leta efter finansiella institutioner, säger Priscilla Moriuchi , chef för nationalstatsforskning på Recorded Future, ett cybersäkerhetsföretag. De är mycket mer kapabla än de får kredit för, särskilt på den ekonomiska brottsligheten, säger Moriuchi.
För att kompromissa med DragonEx skapade Lazarus ett falskt företag som annonserade en automatiserad kryptovalutahandelsbot som heter Worldbit-bot, säger Kedjeanalys . Det uppfunna företaget hade en webbplats och dess påhittade anställda hade till och med närvaro på sociala medier. När de presenterade en gratis testversion av handelsmjukvaran för DragonEx-anställda, bitade någon och laddade ner skadlig programvara till en dator som innehöll de privata nycklarna för börsens plånböcker.
I forskning publicerad tidigare denna månad beskriver Kaspersky ett annat av Lazarus Groups senaste system, som också tydligen riktade sig till kryptovalutaföretag. I det här fallet skapade angriparna falska företag och lockade sedan mål att ladda ner skadlig programvara med den populära meddelandeappen Telegram.
Det räcker dock inte att bryta sig in och stjäla pengar. De måste ta ut pengar. Under det senaste året har Lazarus Group helt förnyat sättet att göra detta på, enligt Chainalysis. Förra året verkade det ganska osofistikerat i sina penningtvättstekniker, och lät vanligtvis de stulna medlen sitta i 12 till 18 månader innan de betalade ut med en börs som inte håller reda på vilka kunderna är. (Kryptovalutabörser i de flesta jurisdiktioner är skyldiga att hålla reda på sina kunders identiteter, av exakt denna anledning.)
Sättet som gruppen flyttade sina pengar efter DragonEx-hacket i mars var tydligen mycket mer sofistikerat. De använde många fler mellanliggande steg, inklusive börser och en mängd olika digitala plånböcker. Mynten hamnade i en speciell sorts plånbok som använder en Bitcoin-kompatibel integritetsteknik som heter CoinJoin, som kombinerar transaktioner från flera användare på ett sätt som gör det svårt att avgöra vem som skickat vilken betalning till vilken mottagare. Och hackarna betalade ut snabbare: nästan alla medel flyttades till likvidationstjänster inom 60 dagar, enligt Chainalysis.
De nordkoreanska hackarnas nya och förbättrade metoder säger kanske mindre om deras egen förmåga än om de penningtvättsverktyg som nu finns tillgängliga i kryptovärlden. Chainalysis forskningschef, Kim Grauer, säger att hennes team 2019 märkte en stor ökning i avancerad tvättinfrastruktur som olika kriminella organisationer typ bara kan koppla in sig i. Med andra ord, även kriminella som inte är kunniga om blockkedjor kan ha enkel tillgång till sofistikerade metoder för att täcka deras spår efter att de stjäl din krypto. Hur som helst, så länge börserna har säkerhetshål kommer grupper som Lazarus att fortsätta råna dem.