Esta semana, o FBI emitiu um comunicado confirmando que o roubo de aproximadamente US$ 41 milhões em ativos criptográficos do Stake.com, um cassino online e plataforma de apostas, foi obra do Grupo Lazarus da Coreia do Norte. Lazarus roubou esses ativos de endereços controlados por Stake nas blockchains Ethereum, Binance Smart Chain (BSC) e Polygon e, até ontem, os transferiu para os 40 endereços criptográficos identificados no comunicado de imprensa do FBI.
A análise em cadeia do TRM sobre o hack e o movimento pós-roubo de fundos confirma o envolvimento da RPDC. Os ativos ETH e BSC foram, em sua maior parte, trocados por ativos nativos não congeláveis, mas permanecem estacionados. O Polygon/MATIC foi trocado e interligado via Squid Router. Esses swaps geralmente passaram de MATIC para USDT ou USDC e foram transferidos para Avalanche. No Avalanche, eles foram trocados por BTC embrulhados e depois transferidos para Bitcoin, onde agora estão estacionados. Este tipo de atividade é uma marca registrada das recentes explorações do Grupo Lazarus.
Conforme descrito no recente relatório do TRM sobre roubos de criptografia na Coreia do Norte, a Ponte Avalanche se tornou o veículo preferido dos hackers norte-coreanos para movimentar fundos de e para a blockchain do Bitcoin.
De acordo com o FBI, e um relatório recente do TRM, estes mesmos atores da RPDC também são responsáveis por vários outros ataques em grande escala que roubaram mais de 200 milhões de dólares até agora em 2023. De acordo com o FBI, este montante inclui, mas não está limitado a, aproximadamente US$ 60 milhões em moeda virtual da Alphapo e CoinsPaid em ou por volta de 22 de julho de 2023, e aproximadamente US$ 100 milhões em moeda virtual da Atomic Wallet em ou por volta de 2 de junho de 2023. De acordo com o TRM, os ciberatores norte-coreanos roubaram mais de US$ 2 bilhões em criptomoeda nos últimos cinco anos.
O FBI já forneceu informações ao público sobre os ataques da RPDC contra a ponte Harmony’s Horizon e a ponte Ronin da Sky Mavis e publicou um comunicado de segurança cibernética no TraderTraitor. Além disso, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA sancionou o Grupo Lazarus em 2019.
A recente série de anúncios públicos do FBI, confirmando o envolvimento norte-coreano numa série de hacks, faz parte de um esforço maior do governo dos EUA para munir a indústria com o conhecimento necessário para rejeitar, bloquear e congelar ativos criptográficos sob o controlo da Coreia do Norte. Ao divulgar exatamente quais endereços a Coreia do Norte controla, o FBI está tornando muito mais fácil para os profissionais de compliance identificarem e bloquearem depósitos suspeitos feitos por hackers norte-coreanos.
Os cibercriminosos norte-coreanos continuam a evoluir
Mesmo no último ano, as tácticas de branqueamento de capitais da Coreia do Norte mudaram. Em 2022, os atores norte-coreanos tenderam a transferir fundos roubados rapidamente para o misturador Tornado Cash baseado em Ethereum, já que a maioria dos hacks ocorreu no Ethereum ou em outros blockchains EVM. Os fundos foram então transferidos para o Bitcoin através da Ren Bridge, onde foram lavados novamente através do ChipMixer, um serviço de mistura de Bitcoin então popular.
No entanto, o Tornado Cash foi alvo de sanções da OFAC em agosto de 2022 e o ChipMixer foi retirado do ar pelas autoridades no início deste ano, tornando mais difícil para o Grupo Lazarus usar esses mixers. Após as sanções do Tornado Cash, no início deste ano vimos os fundos do hack Harmony Bridge – inativos desde a sua lavagem inicial através do Tornado Cash no verão de 2022 – de repente passarem por uma variedade de serviços e serem transferidos para aparentes corretores OTC. Este novo modelo de lavagem envolve essencialmente a transferência de fundos para o Bitcoin através da Ponte Avalanche – uma alternativa de custo muito mais baixo e ainda funcional à Ponte Ren – e depois a lavagem através do Sinbad, um misturador Bitcoin que emergiu como o misturador preferido para o Norte. Cibercriminosos coreanos. A partir daí, os hackers da Coreia do Norte normalmente transferem fundos de volta para uma rede como a Avalanche,
Uma vez no Tron, os fundos roubados, que quase sempre já foram convertidos em USDT, são aparentemente liquidados com endereços de alto volume e alto valor que parecem ser provavelmente corretores de balcão, provavelmente atendendo a criptografia chinesa ilícita. comerciantes.
O papel da inteligência Blockchain no rastreamento de fundos
O hack do Stake.com e o movimento pós-roubo de fundos são outro exemplo da evolução das técnicas de ofuscação da Coreia do Norte num ecossistema multi e entre cadeias. A inteligência Blockchain – dados blockchain enriquecidos com inteligência de ameaças proprietária e de código aberto – representada pela TRM Forensics, permite que os investigadores sigam o dinheiro em criptomoeda para, em última análise, identificar os atores da ameaça e apreender fundos ilícitos, incluindo fundos roubados e lavados pela Coreia do Norte.
Em 2019, em resposta ao crescente número de blockchains e ao uso crescente de diferentes cadeias por cibercriminosos, o TRM Labs introduziu análises entre cadeias no TRM Forensics, nossa principal ferramenta de rastreamento. Isso permite que os investigadores rastreiem fundos de vários blockchains e ativos em uma única visualização.
Em 2022, a TRM identificou o uso crescente de chain-hopping como uma técnica de ofuscação e introduziu o TRM Phoenix, a primeira solução da indústria para rastrear automaticamente o fluxo de fundos através de blockchains através de pontes e outros serviços.
À medida que a Coreia do Norte continua a atacar o crescente ecossistema criptográfico, a capacidade de seguir os fundos roubados é mais crítica do que nunca e, à medida que as metodologias de branqueamento da Coreia do Norte evoluem, também devem evoluir as ferramentas em que os investigadores confiam.
Endereços identificados no comunicado do FBI:
bc1qfesn3jj65fhmf00hh45ueql8je8jae6ep3qk84
bc1qtalh4l8qc0p2qw70axxjhwu9z7rm93td5sgsl3
bc1qlq3s8hgczfe62yt94xqasdr5ftuuyrc5kgvpwr
bc1qy78e6ml7f3p438jqrrlzsewx625y0sr7jsesa7
bc1qqa682d2q0wtx5gfpxh4yfl9s4k00ukakl5fpk5
bc1qmqgkxzzfzjqepptw9xzxy03672xg55q559fmvr
bc1qdjmwm8q74r0yx99nghaeu33xdmz3lqnt2uspqv
bc1qrqv5f7jxhp67jcgk9wv5jx4795wlntvhdz2a7j
bc1q82gvk20m08uctmmr97p2mqyxtyh6xf68rwe0t9
bc1q8y9wc2p9444y8r77xtmswxm9qqw90nrpufkx47
bc1qqvpjgaurtnhc8smkmdtwhx9c8207m0prsyxyjx
bc1qfcl8a4ck7uu3phgg5fj6g9servp6f85j3frcd3
bc1qqydp9muxtnxyet3ryfqc467wjtm23f0r7eh5aa
bc1qe4n22sduyylws74aewc6y6g32nglvglqu7hted
bc1qy0ggpxu8f6lta6vf44vervr4py2uu829grj8yh
bc1q32dzmf4t5a3xxvyxn07scgpmjznnz3kwjhw8uc
bc1qkrkxgvp2te3xhgn74c2azt4flf9u05y56kh3a9
bc1q6w7qlaj3mfkgfrxwtvhw45cu86wew7xpjfqcmy
bc1qc593a4d2hznk2ext3k2zmpdrqazlhhh80m4xas
bc1qtnuzecpqaakj0dt855n24dv7u5pme7vyct2cf2
bc1qvjpgxa2g3nvyw2hnclptextllu9dr4vkew8jfp
bc1qg0qygyv3qfp8cjyy99ch9vc9dp876vl8wys67u
Fonte: TRM
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
