Добавить новость

Послу РФ в Молдавии вручили ноту протеста, обвинив Москву во вмешательстве в

Собянин: Платформе «Электронный дом» исполнилось четыре года

Депутат Затулин призвал оппозицию Абхазии прекратить антироссийские протесты

Девелопмент по-новому: Эталон строит партнерства во Вьетнаме и Мьянме



Новости сегодня

Новости от TheMoneytizer

История хакеров из Lazarus

По данным Chainalysis, в 2022 году у криптовалютных компаний было украдено $3,8 миллиардов. Около половины этой суммы досталась взломщикам из Северной Кореи. В этой статье мы попытаемся разобраться, кто за этим стоит.

Многие учебные заведения в КНДР оборудованы компьютерными классами, но не имеют выхода в Интернет. Наиболее одаренных школьников, проявляющих способности к программированию и математике, отбирают еще в младших классах и направляют в специализированные школы, где они проходят углубленное обучение. Самые талантливые ребята участвуют в престижных международных олимпиадах по математике и программированию, где северокорейские школьники неизменно показывают высокие результаты и выигрывают престижные награды. Обычно такие делегации сопровождают суровые взрослые мужчины в штатском, а сами студенты не общаются и не контактируют с другими участниками мероприятия — эту их характерную замкнутость отмечали многие конкурсанты из других стран.

В 2004 году южнокорейский генерал-майор сообщил о том, что в Северной Корее ежегодно обучают сотни хакеров для атаки Южной Кореи. В 2014 году бежавший из Северной Кореи профессор подтвердил существование “Бюро-121”. Профессор преподавал в закрытом учебном центре и оценил численность учащихся в 3000 человек.

Организация

Предполагается, что в северокорейских университетах отбирают перспективных студентов, а затем отправляют на особое обучение в китайский город Шэньян.

Внутри Lazarus находятся две отдельные группы. Их численность оценивается в 1700 и 1600 участников.

ФБР считает, что за Lazarus стоит “Bureau 121” — подразделение разведывательного управления генштаба Северной Кореи. Сначала команда занималась шпионажем, но в 2017 году переключилась на финансовые операции. Первые атаки на банки начались в 2017 году в Польше.

Отель “Рюгён”

В 2017 году российская компания Group-IB провела расследование атак на международные банки. По их информации, атаки совершались из пхеньянского района Потхонган, где находится штаб-квартира национального комитета по обороне КНДР и недостроенный отель Рюгён (Ryugyong), к которому подведены коммуникации. Гостиница представляет собой 105-этажный небоскреб пирамидальной формы, высотой 330 метров. Северная Корея вложила 2% ВВП в строительство отеля, который не был введен в эксплуатацию. Гостиница была крупнейшим в мире пустующим зданием. Рядом с ней расположена станция метро.

Начало

Судя по всему, работа группы началась в 2014 году после выхода политической комедии “Интервью” в США. В финале фильма убивают главу КНДР Ким Чен Ына. Хакеры разослали угрозы сотрудникам Sony Pictures, а затем совершили атаку на сервера компании и кинотеатры AMC.

В 2016 году власти Южной Кореи сообщили о взломе 160 сетей и заражении 140 тысяч компьютеров. Расследование привело к центральному району Пхеньяна. Взломщикам удалось похитить более 42 тысяч файлов, в том числе информацию об американском истребителе F-15.

Анализ угрозы, проведенный правительством США, отмечает этих злоумышленников в киберпространстве как субъектов, нацеленных на различные организации в индустрии блокчейнов и криптовалют. В список целей входят криптобиржи, протоколы DeFi, видеоигры с криптовалютой P2E, компании по торговле криптовалютой, венчурные фонды и отдельные держатели больших объемов криптовалюты или ценных NFT.

Имена

В 2021 году власти США официально обвинили 31-летнего Джона Чан Хека, 27-летнего Кима Ира и 36-летнего Пак Чжин Хека в совершении киберпреступлений, которые привели к краже $1,3 миллиарда.

По данным разведки США, трое обвиняемых являются сотрудниками северокорейской военной разведки и действуют из различных локаций, в том числе Китая, России и Сингапура.

Они участвовали в разработке схемы кибер-атак, создавали вредоносные криптовалютные приложения, мошеннические блокчейн-платформы, отмывали средства через криптовалютные микшеры.

США называет их участниками хакерской группы Lazarus Group, которую поддерживают власти Северной Кореи. Эту группу обвиняют в крупнейших кибер-атаках, в том числе атаке на Sony Pictures и создании шифровальщика WannaCry.

Известно, что Пак Чжин Хек был программистом северокорейской компании Chosun Expo Joint Venture и несет ответственность за взлом Sony Pictures, Центрального банка Бангладеша и распространение WannaCry.

Методы работы

Социальная инженерия

Убеждают жертву загрузить троян в операционную систему, получают доступ к компьютеру, распространяют вредоносное ПО по сети.

Киберпреступники начинают свою деятельность с рассылки большого количества фишинговых писем сотрудникам криптобизнеса. В основном они нацелены на людей, занимающихся системным администрированием или разработкой программного обеспечения/ИТ-операциями (DevOps).

Сообщения, которые отправляют эти хакеры, обычно представляют собой оповещения о наборе персонала с предложением высокооплачиваемой работы.

Отмывание средств

Украденные криптовалюты хакеры часто перемешивали через Blender.io, который попал под санкции США. Микшер был перезапущен под названием Sinbad.io и использовался Lazarus для отмывания средств при взломе Atomic Wallet и Horizon.

Хакеры активно используют платформу для конфиденциальности смарт-контрактов Railgun, перед тем как отправить средства на микшер.

В конечном итоге средства проходили через биржи, где хакеры обходили процедуру KYC, используя поддельные фотографии. В качестве фото использовались изображения граждан Южной Кореи и Германии.

Известные атаки

Sony Pictures

В 2014 году группа Lazarus была связана с кибератакой на Sony Pictures, в результате которой была украдена конфиденциальная информация и обнародована общественности. Кампания была проведена с использованием вредоносной программы Destover.

Личные письма сотрудников киностудии, данные их медицинских страховок, документы о зарплатах, сценарии еще не снятых фильмов (включая сценарий следующего фильма о Джеймсе Бонде) и пять предрелизных кинолент попали в открытый доступ. Одна из руководительниц компании, Эми Паскаль, ушла в отставку из-за неудачной и очень неполиткорректной шуточки в адрес Барака Обамы, которую она сделала в переписке, слитой хакерами.

WannaCry

В 2017 году группа Lazarus была связана с кибератакой WannaCry, которая была направлена на компьютеры с программным обеспечением Microsoft Windows. Атака была проведена с использованием вредоносной программы WannaCry ransomware и привела к серьезным финансовым потерям и нарушению работы критической инфраструктуры по всему миру.

Атака длилась 7 часов и заразила 200 тысяч компьютеров в 150 странах. Для атаки использовалась технология, при которой жертве не нужно было кликать на ссылку. Заражённый компьютер мог передать код на принтер, через который заражались новые устройства.

Данные на заражённых компьютерах были зашифрованы. Жертва должна была перевести $300 в BTC на кошелёк для получения ключа к расшифровке. Размер выкупа удваивался через 3 дня. Через неделю данные удалялись.

Атаку остановил Маркус Хатчинс, который изучил код вируса и обнаружил, что он проверяет регистрацию определённого домена. После того как Маркус зарегистрировал домен, атака остановилась.

Атака принесла взломщикам около $160,000.

Криптовалюты

ICO Marine Chain

Предполагается, что Ким Чен Ын провёл фейковое ICO в 2018 году. Проект представлял собой токенизированную долю в логистическом бизнесе в Сингапуре. Владельцы транспортных судов могли токенизировать владение на блокчейне Ethereum. Мошенники даже отправили запрос в SEC Гонконга с целью получения разрешения на торговлю ценными бумагами.

Ronin Bridge

Axie Infinity, игра с невзаимозаменяемыми токенами (NFT), в которой можно заработать, использовала Ronin в качестве сайдчейна Ethereum.

Злоумышленникам удалось обмануть одного из старших инженеров Sky Mavis (компании-разработчика Axie Infinity) и заразить его компьютер вредоносным ПО, которое было вшито в PDF-файл с предложением от фиктивной компании.

Фальшивые приглашения рассылались через LinkedIn сотрудникам Sky Mavis, пока один из них не клюнул на наживку хакеров. Пройдя несколько раундов собеседований и увидев “чрезвычайно щедрый компенсационный пакет”, инженер скачал PDF-файл, отправленный злоумышленниками, и открыл его, после чего Lazarus сначала скомпрометировали компьютер инженера, а затем четыре из девяти валидаторов, используемых для подтверждения финансовых транзакций на блокчейне Ronin.

Однако, для вывода средств из Ronin нужно разрешение пяти валидаторов. Но хакеры были к этому готовы, заранее получив доступ к пятому валидатору через Axie DAO – децентрализованную автономную организацию, созданную для поддержки игровой экосистемы.

Взлом ронинского моста произошёл в марте 2022 года. Это был крупнейший эксплойт виртуальных активов, произошедший в 2022 году. Сумма взломанных средств составила $612 миллионов. В него вошли 173,600 ETH и монеты на 25,5 миллионов долларов.

Horizon Bridge

В конце января 2022 года ФБР подтвердило, что именно эта группа организовала взлом Harmony Bridge на сумму $100 миллионов в июне 2022 года.

Злоумышленники воспользовались дырами в безопасности, существующими в мосте Harmony Horizon Ethereum, и похитили несколько активов, хранящихся на мосту, посредством 11 транзакций.

Atomic Wallet

Хакеры украли $35 миллионов в криптовалютах в результате взлома некастодиального децентрализованного криптокошелька Atomic Wallet. Об уязвимости кошелька было известно за год до взлома. Кроме того, в 2022 году копию официального сайта кошелька использовали для фишинга.

Euler Finance

DeFi-платформа была взломана 13 марта 2023 года. Сумма украденных активов составила $197 миллионов. Взломщик проекта получил от Lazarus зашифрованное послание, в котором был фишинговый запрос. Взломщик Euler отправил предупреждающее сообщение. В конечном итоге, он перевёл 100 ETH северокорейцам. Далее взломщик связался с представителями Euler и вернул 90% украденных средств.

Группа Lazarus использовала RAILGUN, протокол конфиденциальности, для перенаправления Ethereum на сумму более $60 миллионов, украденную во время взлома.

Stake.com

Хакеры увели $41 миллион из криптовалютного казино.

Как идентифицируют Lazarus?

Изначально исследователи анализировали вредоносный код, методы работы и цели группировок. Но учитывая то, что группы используют схожий код, возникла необходимость разобраться в инфраструктуре Lazarus.

Group-IB отследили IP-адреса, которые используются Lazarus: 210.52.109.22 и 175.45.178.222.

The post История хакеров из Lazarus appeared first on Coinside.ru.

Читайте на 123ru.net


Новости 24/7 DirectAdvert - доход для вашего сайта



Частные объявления в Вашем городе, в Вашем регионе и в России



Smi24.net — ежеминутные новости с ежедневным архивом. Только у нас — все главные новости дня без политической цензуры. "123 Новости" — абсолютно все точки зрения, трезвая аналитика, цивилизованные споры и обсуждения без взаимных обвинений и оскорблений. Помните, что не у всех точка зрения совпадает с Вашей. Уважайте мнение других, даже если Вы отстаиваете свой взгляд и свою позицию. Smi24.net — облегчённая версия старейшего обозревателя новостей 123ru.net. Мы не навязываем Вам своё видение, мы даём Вам срез событий дня без цензуры и без купюр. Новости, какие они есть —онлайн с поминутным архивом по всем городам и регионам России, Украины, Белоруссии и Абхазии. Smi24.net — живые новости в живом эфире! Быстрый поиск от Smi24.net — это не только возможность первым узнать, но и преимущество сообщить срочные новости мгновенно на любом языке мира и быть услышанным тут же. В любую минуту Вы можете добавить свою новость - здесь.




Новости от наших партнёров в Вашем городе

Ria.city

Посвященная 100-летнему юбилею Валентина Седова выставка открылась в Пскове

Девелопмент по-новому: Эталон строит партнерства во Вьетнаме и Мьянме

В России стали меньше умирать от болезней системы ...

Горожан приглашают на ночную прогулку в метро

Музыкальные новости

Фонд Потанина выделил миллиард на поддержку благотворительных инициатив, развитие социокультурных проектов и стипендиальные программы

Опубликован рэнкинг благотворительных организаций России за 2023 год

Компания ICDMC стала “Выбором потребителей” в 2024 году

Собянин: ИИ улучшает анализ градостроительных планов и проектной документации

Новости России

В России стали меньше умирать от болезней системы ...

Дробязко объяснила, почему не может оставаться лояльной только одной стране

Вячеслав Федорищев в Москве встретился с депутатами Госдумы и сенаторами РФ от Самарской области

Московских школьников научат безопасно управлять самокатами

Экология в России и мире

Благотворительный спектакль «Хочу быть выше» будет посвящен 10-летию фонда «Жизнь в Движении»

Валентина Алексеева вошла в топ участниц «Мисс Вселенной» благодаря платью

Современный литературный критик. Литературная критика произведений.

Новый формат бесплатных консультаций в онлайн-журнале “Нулевой баланс”

Спорт в России и мире

Денис Шаповалов стал чемпионом турнира ATP-250 в Белграде

Рублев поднялся на одну строчку в рейтинге ATP

Вторая ракетка Казахстана получил плохие новости от ATP после развода с российской теннисисткой

Фриц назвал смешным поведение Медведева в матче Итогового турнира

Moscow.media

Филиал № 4 ОСФР по Москве и Московской области напоминает: Социальный фонд проинформирует самозанятых о формировании пенсионных прав

В орловском регионе сегодня утром уничтожено 8 БПЛА. UPD: позже еще 2

Владимир Путин дал поручение по строительству дороги к пункту пропуска на острове Большой Уссурийский в Хабаровском крае

Открыто движение по реконструированной круговой развязке на улице Покрышкина в Волгограде











Топ новостей на этот час

Rss.plus






Неделя рекордов: чем вызвано ажиотажное удорожание биткоина и других криптовалют

«Единая Россия» передала в Минпросвещения перечень объектов образования для капремонта в 2025—2027 годах

Собянин: Платформе «Электронный дом» исполнилось четыре года

Лидер КПРФ Зюганов: это уникальное произведение не дошло ни до одной школы