Čo sú zač povestní a obávaní severokórejskí hekeri?
A je to tu. Domnienka, s ktorou prišli blockchainoví forenzní špecialisti, ako je výskumník hovoriaci si ZachXBT, sa ukázala ako pravdivá. Za najväčší kybernetický útok na kryptoburze v histórii (odohral sa ešte na konci februára) sú zodpovední severokórejskí hekeri z Lazarus Group, vyplýva z oficiálneho stanoviska amerického Federálneho úradu pre vyšetrovanie (FBI).
Americká vládna agentúra vydala oznámenie pre verejnosť, kde spojila rekordný hekerský útok na dubajskú kryptoburzu Bybit (vykonaný cez kompromitované cloudové úložisko Amazon S3 bucket krypto peňaženky Safe Wallet) so severokórejskými hekermi.
Hovorí pritom o skupine „TraderTraitor“, čo je označenie škodlivého malvéru, ktorý skupina s obľubou používa. Tento profil zodpovedá elitnej severokórejskej štátom sponzorovanej skupine, známej tiež ako Lazarus Group (prípadne APT38, BlueNoroff a Stardust Chollima).
Na začiatok pripomeňme, že hekerský útok, pri ktorom zmizol z burzovej cold wallet peňaženky ether (vyše 400-tisíc ETH) a jeho deriváty v hodnote približne 1,5 miliardy dolárov pred súčasnou cenovou korekciou. Tým pádom prekonáva predchádzajúceho nelichotivého rekordmana z roku 2022 – útok na Ronin Bridge spoločnosti Sky Mavis – o viac než dvojnásobok.
Suma sa pomaly doťahuje na súhrnné 2,2 miliardy dolárov, čo je hrubý súčet všetkých podobných úspešne vykonaných útokov v minulom roku.
Elitná jednotka totalitného štátu
Čo sú zač povestní a obávaní severokórejskí hekeri?
Bezpečnostný výskumník ZachXBT, ktorý ako prvý spojil útok so severokórejskými útočníkmi, označil za pravdepodobného vinníka skupinu Lazarus Group. Túto tézu neskôr potvrdila aj forenzná blockchainová platforma Arkham Intelligence a veľká časť priemyslu prevzala túto informáciu ako fakt ešte pred aktuálnym záverom FBI.
„Dnes o 19.09 UTC predložil @zackxbt definitívny dôkaz, že tento útok na Bybit vykonala skupina Lazarus Group,“ uviedla v sobotu na sieti X firma Arkham Intelligence, ktorá výskumníka za objav odmenila nižšími desiatkami tisíc dolárov vo vlastných tokenoch ARKM.
Generálny riaditeľ burzy Bybit Ben Zhou následne vyhlásil „Lazarusu vojnu“ a otvoril program pre lovcov odmien, Lazarusbounty, v ktorom ponúkol 140 miliónov dolárov pre kohokoľvek, kto pomôže vypátrať alebo zmraziť ukradnuté prostriedky.
Detaily si môžete pozrieť na webe Lazarusbounty.com, kde sľubuje päť percent z ukradnutých prostriedkov za ich vystopovanie a desať percent tým, ktorí ich pomôžu zmraziť. Zatiaľ bolo z programu rozdelených niečo cez 4,2 milióna dolárov a odhadované prostriedky, ktoré sa podarilo zmraziť, sú vo výške zhruba 100 miliónov dolárov.
Korporácia hekerov
Pokiaľ ide skutočne o Lazarus, sú to starí dobrí známi a elitná jednotka totalitného štátu. Skupina Lazarus Group (pokročilá trvalá hrozba APT 38) operuje totiž už od roku 2009 a stojí za ňou údajne priamo hlavná severokórejská rozviedka – Reconnaissance General Bureau, známa tiež ako Chongch’al Ch’onggu.
Pokiaľ si však predstavujete partičku hekerov, ako napríklad zo seriálu Mr. Robot, tak vás musíme sklamať, je to v skutočnosti skôr korporácia. Spolu s ďalšími skupinami takto severokórejský režim zamestnáva minimálne 7000 hekerov.
Lazarus sa dnes zameriava takmer výhradne na krypto, ale dlho to tak nebolo. Kryptomenám prišiel na chuť až v roku 2017. Skupina sa spočiatku špecializovala na útoky vedené na Južnú Kóreu a USA, no dnes operuje všade po svete.
Okrem čisto hekerských techník je skupina neslávne známa hlavne využívaním techník sociálneho inžinierstva: vydávajú sa napríklad za pracovníkov technickej podpory a prinútia používateľov, aby im oznámili nejaké bližšie informácie k ich účtom.
Chainalysis v reporte z roku 2022 tvrdí, že skupina objavila zlatú žilu v kryptomenách okolo roku 2018 a odvtedy ukradla a vyprala každoročne kryptoaktíva v priemere za 200 miliónov dolárov.
Medzi najúspešnejšie historické akcie skupiny patrilo heknutie kryptomenovej burzy KuCoin z leta 2020, keď skupina z burzy ukradla nešpecifikované kryptoaktíva v hodnote 280 miliónov dolárov.
V roku 2024 útočníci spojení so Severnou Kóreou odcudzili z japonskej burzy kryptomien DMM Bitcoin približne 4502,9 bitcoinu vo vtedajšej hodnote 305 – 308 miliónov dolárov. Burza incident neustála a musela zamieriť do likvidácie.
Pranie tokenom
Pokiaľ ide o nedávny útok, skupina sa podľa FBI momentálne sústreďuje na prevod ukradnutých prostriedkov naprieč rôznymi blockchainmi.
„Aktéri postupujú rýchlo a časť ukradnutých aktív previedli na bitcoiny a ďalšie virtuálne aktíva rozptýlené na tisícoch adresách v rôznych blockchainoch. Očakáva sa, že tieto aktíva budú ďalej prepierané a nakoniec prevedené na fiat menu,“ uviedli vyšetrovatelia.
Pokiaľ budú útočníci postupovať podľa obvyklého manuálu, prostriedky, ktoré sa pomocou prevodov chránia pred hrozbou ich zmrazenia a komplikujú vystopovateľnosť, tu budú nejaký čas vyčkávať, až utíchne najväčší humbuk. A následne sa ich hekeri pokúsia definitívne vyprať prevodom na hotovosť.
To však môže trvať aj roky. Veľké množstvo kryptomien totiž hekerom komplikuje pranie prostriedkov, ktoré je na blockchaine dobre vidieť. Navyše môže byť problém zohnať vôbec dostatočne likvidné decentralizované burzy a následných partnerov na finálnu konverziu.
Základná schéma procesu prania vyzerá nasledovne. V prípade ERC-20 tokenov a menej významných altcoinov dôjde najprv k ich výmene za ether prostredníctvom decentralizovanej burzy, následne je získaný ether prehnaný mixérom a opäť na decentralizovanej burze zamenený, tentokrát za bitcoin.
Následne je pre zmenu mixovacou službou prehnaný bitcoin a postupne konsolidovaný na nových „čistých“ adresách. Konsolidované bitcoiny odtiaľto mieria na klasické centralizované kryptomenové východné burzy, spravidla v Ázii, odkiaľ môže potenciálne prebiehať výber prostriedkov alebo ďalší krok v očistnom procese – kryptomeny, ktoré prejdú burzou, totiž strácajú svoju pôvodnú problematickú históriu.
Zločin v popise práce
Hekeri z Lazarus Group, samozrejme, nevykonávajú podobné útoky len z čistej zločineckej zvedavosti alebo technologického nadšenia. Ich aktivity sú súčasť širšej stratégie severokórejského režimu, ktorý sa snaží získať finančné prostriedky, ktoré zúfalo potrebuje pre tvrdé medzinárodné sankcie.
Režim diktátora Kim Čong-una čelí ekonomickým obmedzeniam, ktoré mu bránia v prístupe k zahraničným menám a obchodným trhom, a tak sa obracia na nelegálne metódy, ako získať kapitál na financovanie svojho jadrového programu, vojenského výskumu i samotného fungovania štátneho aparátu.
Lazarus Group tak funguje de facto ako kybernetická odnož severokórejskej štátnej ekonomiky – jej útoky na kryptomenové burzy, zmenárne a finančné inštitúcie nie sú len bežné kyberzločiny, ale starostlivo koordinovaná súčasť štátnej politiky, ktorá sa snaží udržať diktatúru nad vodou za akúkoľvek cenu.
Článok vyšiel na Forbes.cz. Autorom je Karel Wolf.
