Blockchain analistleri tarafından keşfedilen kanıtlara göre, Kuzey Koreli bilgisayar korsanları ABD'nin empoze ettiği yaptırımlar, soygunlarından gelen kripto para birimi gelirlerini yıkamak için bir yol buldular.
Lazarus Grubu, tehdit oyuncusu tipik olarak atıfta bulunulduğu gibi, Ekim 2022'den bu yana Sinbad adlı tek bir kripto karıştırma hizmeti ile çalınan bitcoin'de yaklaşık 100 milyon dolar aktı.
Geçen yıl, ABD Hazine'nin Yabancı Varlık Kontrolü (OFAC), Lazarus'un yasadışı olarak elde edilen kripto para biriminde 500 milyon dolara yakın bir akışta olduğu kripto para karıştırma hizmetleri Blender ve Tornado Cash'e karşı yaptırımlar duyurdu.
Tedbir, daha sonra Kuzey Kore Lazarus grubuna atfedilen bir hack'teki Axee Infinity’nin çapraz zincir köprüsünden 600 milyon dolardan fazla kripto varlıklarının çalınmasından sonra alındı.
Bilgisayar korsanları genellikle kripto para mikserleri/bardaklar kullanır, çünkü bir ücret karşılığında, daha fazla sayıda kullanıcının varlıklarını harmanlayarak fonların menşei ve sahiplerinin gizlenmesine izin verirler.
OFAC yaptırımları kasırga parasını durdurmasa da, mikserden Bitcoin'de yaklaşık 22 milyon dolar aldıktan sonra operatörü kaybolan Blender'a durdular.
Blockchain analiz şirketi Eliptik'e göre, Blender’ın operatörü büyük olasılıkla Ekim 2022'nin başlarında Lazarus tarafından varlıkları yıkamak için kullanılan Sinbad adlı yeni bir hizmet başlattı.
Eliptik kurucu ortağı ve baş bilim adamı Tom Robinson, BleepingComputer'a, Haziran 2022'de Harmony Horizon Crypt soygunundan sonra bağlantının yaklaşık 100 milyon dolarlık kayıplara yol açtığını söyledi.
Hack'ten kısa bir süre sonra Elliptik, FBI'ın bu yılın başlarında onayladığı Lazarus'a güçlü bağlantılar buldu ve Tornado nakit karıştırma hizmeti aracılığıyla fonları takip etti.
Tipik olarak, aktör Blender gibi saklama tabanlı bir hizmetle karışan Tornado Cash Cripto'yu birleştirdi. Bu sefer Sinbad adlı başka bir Bitcoin mikseri kullandılar.
Robinson, Sinbad hizmetinin “nispeten küçük” olmasına rağmen, Lazarus Grubu tarafından çalınan fonları aklamak için kullanıldığını söylüyor.
“Horizon ve diğer Kuzey Kore bağlantılı hacklerden on milyonlarca dolar, Sinbad'dan bugüne kadar geçti ve yeni miksere güven ve güven göstermeye devam etti” -eliptik
Tornado Cash'in aksine, hem Blender hem de Sinbad velayet mikserleridir, yani hizmete giren tüm kripto para birimi operatörün kontrolü altındadır; Dolayısıyla sahipler, fonlarının emrini vermek için yeterli güvene sahiptir.
Eliptik’in analizi, Sinbad'ın Blender'ın arkasındaki aynı birey veya grup tarafından işletildiğine dair yüksek bir güven gösteriyor.
Araştırmacılar, Sinbad sitesindeki bir “hizmet” adresinin Blender operatörüne ait olduğuna inanılan bir cüzdandan bitcoin aldığını buldular.
Aynı cüzdan, yeni kripto mikserini tanıtmak için ödeme yapmak ve Sinbad'a gelen neredeyse tüm ilk işlemleri yaklaşık 22 milyon dolar finanse etmek için kullanıldı.
Cüzdanın yanı sıra, araştırmacılar da işlemlerin belirli özelliklerini içeren her iki mikser için de benzer bir zincirli desen davranışı fark ettiler.
“Sinbad mikserinin çalışma şekli, on basamaklı mikser kodları, hizmet adresi tarafından imzalanan garanti mektupları ve maksimum yedi günlük işlem gecikmesi dahil olmak üzere çeşitli şekillerde blender ile aynıdır”-eliptik
Araştırmacıların gözlemlediği diğer ortaklıklar arasında web sitelerinde güçlü benzerlikler, adlandırma sözleşmelerinin kullanımı, dil ve “Rusya desteği ve web siteleriyle Rusya'ya açık bir bağ” yer alıyor.
Bir grup olarak adlandırılmasına rağmen, Lazarus hükümet tarafından istihbarat toplamakla görevlendirilen birçok Kuzey Koreli operatörünü tanımlıyor ve ulusal düzey önceliklerini ve hedeflerini desteklemek için para çalmak.
Kripto para birimi borsalarını hedeflemenin yanı sıra, Kuzey Kore tehdit aktörleri, ABD ve Güney Kore'deki sağlık sektörü kuruluşlarına karşı çeşitli soyunma suşları kullanarak fidye yazılımı saldırılarına girdi.
FBI: Kuzey Koreli hackerlar Harmony Crypto Hack'te 100 milyon dolar çaldı
Kuzey Koreli bilgisayar korsanları iki aylık ihlalde araştırma verilerini çaldı
Kuzey Koreli hackerlar, Konni Rat kötü amaçlı yazılımlarla AB hedeflerine saldırıyor
Hız testçileri olarak poz veren NPM paketleri, bunun yerine kripto madencileri yükleyin
Yeni Pano Koruma Kripto Cüzdan Adreslerinin yerini Lookalikes ile değiştiriyor
Kaynak: Bleeping Computer