Розкриття транснаціональної хакерської групи: 360 мільйонів доларів США крадіжки криптоактивів та методи відмивання грошей

Згідно з конфіденційним звітом ООН, минулого року група хакерів вкрала кошти з певної біржі криптоактивів, а в березні цього року відмила 147,5 мільйона доларів через певну платформу віртуальних грошей.

Спостерігачі повідомили комітету з санкцій Ради Безпеки ООН, що вони розслідують 97 випадків кібернападів на компанії з шифрування, які сталися з 2017 по 2024 рік, на загальну суму близько 3,6 мільярда доларів. Серед них є крадіжка на суму 147,5 мільйона доларів, яка сталася в кінці минулого року на певній біржі криптоактивів, ці кошти були відмито в березні цього року.

США у 2022 році запровадили санкції проти цієї віртуальної гроші платформи. У 2023 році двох співзасновників платформи звинуватили в сприянні відмиванню грошей на суму понад 1 мільярд доларів, що включає кошти, пов'язані з певною кіберзлочинною організацією.

Згідно з дослідженням одного з аналітиків Криптоактивів, цей Хакерський гурток відмив 200 мільйонів доларів Криптоактивів у фіатні гроші з серпня 2020 року по жовтень 2023 року.

У сфері кібербезпеки ця хакерська група протягом тривалого часу звинувачується у великих кібернападах та фінансових злочинах. Їхні цілі поширюються по всьому світу, від банківських систем до криптоактивів бірж, від урядових установ до приватних підприємств. Далі ми проаналізуємо кілька типових випадків атак, щоб розкрити, як ця хакерська група за допомогою своїх складних стратегій і технічних засобів успішно реалізувала ці вражаючі атаки.

Хакерські групи маніпулюють соціальною інженерією та фішинг-атаками

Згідно з європейськими ЗМІ, ця хакерська група раніше націлювалася на військові та аерокосмічні компанії в Європі та на Близькому Сході, публікуючи оголошення про вакансії на соціальних платформах, щоб обманювати працівників, вимагаючи від кандидатів завантажити PDF з виконуваним файлом, а потім здійснити фішингові атаки.

Соціальна інженерія та фішинг-атаки намагаються використовувати психологічні маніпуляції, щоб змусити жертв знизити пильність і виконати дії, такі як натискання на посилання або завантаження файлів, що ставить під загрозу їхню безпеку.

Їхнє шкідливе програмне забезпечення дозволяє агентам націлюватися на вразливості в системах жертв і красти чутливу інформацію.

Ця група хакерів використовувала подібні методи під час шестимісячної операції проти певного постачальника послуг з оплати віртуальними грошима, що призвело до крадіжки 37 мільйонів доларів.

Протягом всього заходу вони надсилали інженерам фальшиві вакансії, ініціювали атаки типу «відмова в обслуговуванні» та подавали багато можливих паролів для брутфорсу.

виготовлення кількох атак на біржі криптоактивів

24 серпня 2020 року, гаманець одного з канадських бірж криптоактивів був вкрадений.

11 вересня 2020 року внаслідок витоку приватного ключа в одному з проектів блокчейну відбулися несанкціоновані перекази в 40 000 доларів США з кількох гаманців, контрольованих командою.

6 жовтня 2020 року через вразливість безпеки в гарячому гаманці певної біржі криптоактивів без дозволу було переведено криптоактиви на суму 750 000 доларів.

На початку 2021 року всі кошти від атак були зібрані на одній адресі. Потім зловмисники через багаторазові перекази та операції зі змішуванням монет відправили кошти на деякі адреси для виведення.

Засновник певної платформи страхування взаємодопомоги став жертвою хакерської атаки

14 грудня 2020 року, засновника певної платформи взаємодопомоги обікрали на 370 тисяч токенів платформи (приблизно 8,3 мільйона доларів США).

Викрадені кошти переміщуються між кількома адресами та обмінюються на інші кошти. Хакерська група виконала операції з обфускації, розподілу та концентрації коштів через ці адреси. Наприклад, частина коштів переноситься через крос-ланцюг на блокчейн біткоїна, потім через серію передач повертається на блокчейн ефіріуму, після чого проходить через платформу змішування монет, а потім кошти надсилаються на платформу для виведення.

16-20 грудня 2020 року один з адрес хакера відправив понад 2500ETH на певну платформу для змішування монет, через кілька годин, за допомогою характеристик зв'язку, можна було виявити, що інша адреса почала операцію з виведення.

Хакер через переміщення та обмін перевів частину коштів на адресу виведення, що була пов'язана з попередньою подією.

Після цього, з травня по липень 2021 року, зловмисники перевели 11 мільйонів USDT на певну біржу.

У період з лютого по червень 2023 року зловмисники через кілька адрес надіслали понад 11 мільйонів USDT на різні біржі для виведення.

Інші платформи DeFi хакерські атаки

У серпні 2023 року внаслідок двох атак на платформи DeFi вкрадені ETH були переведені на певну платформу змішування монет. Після переведення ETH на платформу змішування злочинець відразу ж почав виводити кошти на кілька адрес.

12 жовтня 2023 року ці адреси надіслали всі кошти, які були вилучені з платформи змішування монет, на одну й ту ж адресу.

У листопаді 2023 року ця адреса почала переміщати кошти, врешті-решт через передачу та обмін, кошти були надіслані на кілька платформ для виведення.

Підсумок події

Вищезазначене описує динаміку цієї групи хакерів за останні кілька років і надає аналіз та узагальнення їхнього методу відмивання грошей: ця група, отримавши крадені криптоактиви, в основному використовує методи перехресного переходу між блокчейнами та подальшого відправлення в міксери для змішування фондів. Після змішування вони виводять вкрадені активи на цільову адресу та надсилають їх на певні адреси для проведення операцій з виведення. Раніше вкрадені криптоактиви в основному зберігалися на певних платформах для виведення, а потім через позабіржові торгові послуги обмінювалися на фіатні гроші.

Під час безперервних і масштабних атак цього хакерського угруповання індустрія Web3 стикається з серйозними викликами безпеки. Безпекові агенції повинні постійно стежити за цим хакерським угрупованням, відстежувати їхню діяльність та способи відмивання грошей, щоб допомогти проектам, регуляторам та правоохоронним органам боротися з такими злочинами та повернути вкрадені активи.