A norvég rendőrségi ügynökség, az Økokrim bejelentette, hogy lefoglaltak, a Lazarus Group által 2022 márciusában, az Axie Infinity Ronin Bridge hackelését követően ellopott 60 millió Norvég Korona értékű kriptopénzt (kb. 5,84 millió dollárnyit).
"Ez az eset azt mutatja, hogy a blockchain-en keresztül is nagyszerűen tudjuk követni a pénz útját, még akkor is, ha a bűnözők fejlett módszereket használnak" - áll az ügynökség közleményében.
Előrelépés az ügyben, több mint 10 hónappal azután történt, hogy az amerikai pénzügyminisztérium az Észak-Korea által támogatott hackercsoportot gyanúsította, a Ronin cross-chain-ről történt 620 millió dolláros lopással.
Aztán 2022 szeptemberében, az amerikai kormány bejelentette, hogy több mint 30 millió dollár értékű kriptopénzt sikerült visszaszerezni, ami az ellopott pénz 10%-át jelentette.
Az Økokrim elmondta, hogy nemzetközi bűnüldöző partnerekkel együttműködve követte, és felgöngyölítette a pénz útját, ezáltal megnehezítve a bűnelkövetők pénzmosási tevékenységét.
"Ez a pénz Észak-Koreát és annak nukleáris fegyverprogramját támogathatta volna" - tette hozzá az Økokrim. "Ezért volt fontos a kriptopénz nyomon követése, és a pénz megállítása, amikor megpróbálták azt fizikai eszközökben kivenni".
A fejleményre azután került sor, hogy a Binance és a Huobi kriptotőzsdék befagyasztották azokat a számlákat, amelyeken körülbelül 1,4 millió dollárnyi digitális valuta volt, amely a Harmony Horizon Bridge 2022 júniusi hackeléséből származott.
A támadás, amelyért szintén a Lazarus Groupot okolták, lehetővé tette a fenyegető szereplők számára, hogy a bevétel egy részét a Tornado Cash-en keresztül tisztára mossák, amelyet az amerikai kormány 2022 augusztusában szankciókkal sújtott.
"Az ellopott pénzeszközök egészen a közelmúltig lappangtak, amikor a nyomozóink elkezdték azt látni, hogy bonyolult tranzakciós láncokon keresztül, tőzsdékre irányították őket" - közölte az Elliptic blokcchain-elemző cég a múlt héten.
Mi több, vannak arra utaló jelek, hogy a Blender - egy másik kriptopénz-mixer, amelyet 2022 májusában szankcionáltak - Szinbád néven feltámadhatott, és közel 100 millió dollárnyi bitcoint mosott tisztára a Lazarus Groupnak-nak, mondta Tom Robinson, az Elliptic munkatársa a The Hacker Newsnak.
A vállalat szerint a Horizon Bridge rablás nyomán kiszivattyúzott pénzösszegeket "egy bonyolult tranzakciósorozaton keresztül mosták tisztára, amelyben tőzsdék, cross-chain hidak és mixerek is részt vettek".
“Ismét a Tornado Cash-t használták, de a Blender helyett, egy másik Bitcoin-mixert használtak: a Sinbad-ot.”
Bár a szolgáltatás csak 2022 októberének elején indult, a becslések szerint több tízmillió dollár értékben segítette a Horizon és más, Észak-Koreához köthető hackerek működését.
A 2022 decemberétől 2023 januárjáig terjedő két hónapos időszakban, a nemzetállami csoport összesen 1429,6 Bitcoin-t küldött a mixernek, mintegy 24,2 millió dollár értékben - derült ki a Chainalysis adataiból a hónap elején.
A bizonyíték arra, hogy a Sinbad "nagy valószínűséggel" a Blender átnevezése, a használt tárcacímek átfedéseiből, az Oroszországhoz való kapcsolódásukból, és a két mixer működési módjának hasonlóságaiból ered.
"A blockchain-tranzakciók elemzése azt mutatja, hogy egy Bitcoin-tárca, amelyet a Sinbad-ot népszerűsítő személyek kifizetésére használtak, maga is kapott Bitcoint a gyanúsított Blender-üzemeltető tárcájából" - mondta az Elliptic.
“A blockchain-tranzakciók elemzése azt mutatja, hogy a Sinbád-ba érkező korai tranzakciók szinte mindegyike (mintegy 22 millió dollár), a feltételezett Blender-üzemeltető pénztárcájából származik".
A Sinbad alkotója, aki a "Mehdi" álnévre hallgat, a WIRED-nek elmondta, hogy a szolgáltatást a "kriptopénzek növekvő centralizációjára" válaszul indították el, és hogy ez egy legitim, a magánéletet védő projekt a Monero, a Zcash, a Wasabi, és a Tor mintájára.
A felfedezés akkor történt, amikor az egészségügyi intézmények, a Lazarus szereplői által szervezett zsarolóvírus-támadások új hullámának célkeresztjében voltak, hogy így illegális bevételt generáljanak a szankciókkal sújtott ország számára.
Az ilyen pénzügyileg motivált támadásokból származó nyereséget, más kiber-tevékenységek finanszírozására használják. Ilyenek a védelmi szektor, és a védelmi-ipari bázis szervezetei elleni kémkedések Dél-Koreában, és az Egyesült Államokban - áll a két ország által közösen kiadott nyilatkozatban.
A bűnüldözési intézkedések azonban egyelőre még nem képesek gátat szabni a fenyegető szereplők termékeny támadássorozatának, amelyek folyamatosan új viselkedési formákkal fejlődnek.
Ez magában foglalja az anti-forenzikus technikák széles skáláját, amelyek célja a behatolások nyomainak eltüntetése, valamint az elemzések akadályozása, közölte az AhnLab Security Emergency Response Center (ASEC), egy nemrégiben közzétett jelentésében.
"A Lazarus csoport összesen három technikát hajtott végre: adatelrejtést, artefakt-törlést, és nyomok eltüntetését" - mondták az ASEC kutatói.
Forrás: TheHackerNews