Το Lazarus Group είναι μια ομάδα εγκλήματος στον κυβερνοχώρο που διευθύνεται από το κράτος της Βόρειας Κορέας. Το υπουργείο Οικονομικών των ΗΠΑ ανακάλυψε τη διεύθυνση πορτοφολιού Ethereum των χάκερς που πραγματοποίησαν τη μεγαλύτερη κυβερνοεπίθεση στην ιστορία των κρυπτονομισμάτων, στο blockchain network Ronin, με λεία των 622 εκατομμυρίων.
Η σύνδεση αποκαλύφθηκε όταν το υπουργείο Οικονομικών των Ηνωμένων Πολιτειών ανακοίνωσε ότι πρόσθεσε μια νέα διεύθυνση «πορτοφολιού» Ethereum στη λίστα κυρώσεων για τον Όμιλο Lazarus. Είναι η ίδια διεύθυνση πορτοφολιού που ο δημιουργός του Axie Infinity ονόμασε ως τον εισβολέα του Ronin στα τέλη Μαρτίου.
Η Sky Mavis έχει από τότε αναγνωρίσει τη σύνδεση με το γκρουπ των χάκερ της Βορείου Κορέας σε μια ενημέρωση στην επενδυτική κοινότητα. Οι εταιρείες Chainalysis και Elliptic που παρέχουν δεδομένα για τις συναλλαγές στο blockchain, έχουν επιβεβαιώσει ομοίως ότι η διεύθυνση πορτοφολιού που αναφέρεται από το υπουργείο Οικονομικών των ΗΠΑ είναι η ίδια που χρησιμοποιήθηκε στην κυβερνοεπίθεση του Ronin.
Η ομάδα Lazarus φέρεται να είναι υπεύθυνη για την επίθεση ransomware WannaCry το 2017, την παραβίαση της Sony Pictures το 2014 και μια σειρά επιθέσεων σε φαρμακευτικές εταιρείες το 2020. Η επίθεση WannaCry ήταν μια κυβερνοεπίθεση σε υπολογιστές σε όλο τον κόσμο που τρέχουν το λειτουργικό σύστημα Windows, με την οποία κρυπτογραφούνταν αρχεία και ζητούνταν λύτρα 300-600 δολαρίων μέσω Bitcoin για να αποκτήσει ο χρήστης και πάλι πρόσβαση στα αρχεία του.
Η επίθεση κράτησε τρεις μέρες, από τις 12 Μαΐου μέχρι τις 15 Μαΐου 2017. Ως τις 14 Ιουνίου είχαν γίνει πάνω από 300 πληρωμές με ποσό που έφτασε συνολικά τα 130.000 δολάρια.
«Δεν προκαλεί έκπληξη το γεγονός ότι αυτή η επίθεση αποδόθηκε στη Βόρεια Κορέα», έγραψε η Elliptic. «Πολλά χαρακτηριστικά της επίθεσης αντικατοπτρίζουν τη μέθοδο που χρησιμοποιούσε η Lazarus Group σε προηγούμενες επιθέσεις υψηλού προφίλ, συμπεριλαμβανομένης της τοποθεσίας του θύματος, της μεθόδου επίθεσης (πιστεύεται ότι περιλάμβανε κοινωνική μηχανική) και του μοτίβου ξεπλύματος που χρησιμοποιήθηκε από την ομάδα μετά το συμβάν.
Η εκμετάλλευση του Ronin Network έλαβε χώρα στις 23 Μαρτίου, όταν η αποκεντρωμένη γέφυρα ανταλλαγής που συνδέει το Ronin με το κεντρικό δίκτυο Ethereum δέχθηκε επίθεση χρησιμοποιώντας παραβιασμένα ιδιωτικά κλειδιά, τα οποία είναι κρυπτογραφικά κλειδιά που χρησιμοποιούνται για την υπογραφή συναλλαγών. Τα ιδιωτικά κλειδιά που δεχθηκαν κυβερνοεπίθεση, χρησιμοποιήθηκαν για να εγκρίνουν τη μεταφορά κεφαλαίων σε πέντε από τους εννέα ενεργούς κόμβους επικύρωσης στο Ronin. Όπως αναφέρθηκε, οι χάκερς έκλεψαν 173.600 WETH ή Wrapped Ethereum και 25,5 εκατομμύρια USDC stablecoin, τα οποία συνολικά άξιζαν περίπου 622 εκατομμύρια δολάρια. Όταν έγινε η κυβερνοεπίθεση ανακαλύφθηκε και αποκαλύφθηκε στις 29 Μαρτίου. Για έξι ολόκληρες ημέρες κανείς δεν είχε αντιληφθεί την κυβερνοεπίθεση.
Η Sky Mavis ανακοίνωσε έναν γύρο χρηματοδότησης 150 εκατομμυρίων δολαρίων από το Binance για να βοηθήσει στην αποζημίωση των χρηστών που επηρεάστηκαν από την επίθεση. Η Sky Mavis θα χρησιμοποιήσει επίσης περιουσιακά στοιχεία από τα δικά της αποθεματικά για να διασφαλίσει ότι οι χρήστες θα αποζημιωθούν, αλλά τελικά ελπίζει ότι θα μπορέσει να ανακτήσει τα κλεμμένα κεφάλαια ή ένα μέρος αυτών τα επόμενα δύο χρόνια.
Η Elliptic αναφέρει ότι το 18% των κλεμμένων κεφαλαίων έχει ήδη ξεπλυθεί, στέλνοντάς τα σε διάφορα ανταλλακτήρια κρυπτογράφησης, καθώς και μέσω του Tornado Cash, μιας υπηρεσίας «μίξερ» που αναμιγνύει τις συναλλαγές για να δυσκολέψει τον εντοπισμό τους. Το πορτοφόλι εξακολουθεί να έχει 147.753 ETH, τα οποία αξίζουν περίπου 444 εκατομμύρια δολάρια σήμερα.
Το Lazarus Group αναφέρεται σε μια ομάδα κρατικών χάκεςρ της Βόρειας Κορέας που στοχεύουν κρυπτονομίσματα τουλάχιστον από το 2017. Μέχρι το 2021, η πλειονότητα αυτής της δραστηριότητας κατευθυνόταν σε κεντρικά ανταλλακτήρια που βρίσκονταν στη Νότια Κορέα ή αλλού στην Ασία. Ωστόσο, μέσα στο περασμένο έτος, η προσοχή του ομίλου στράφηκε στα πρωτόκολλα της αποκεντρωμένης οικονομίας. Ενώ η υπηρεσία που δέχθηκε επίθεση σε αυτήν την περίπτωση - Ronin Network's bridge - είναι αποκεντρωμένη, οι δημιουργοί του δικτύου Sky Mavis βρίσκονται στο Βιετνάμ.
Πολλοί σχολιαστές πιστεύουν ότι τα κρυπτονομίσματα που έκλεψε ο Όμιλος Lazarus χρησιμοποιούνται για τη χρηματοδότηση των προγραμμάτων πυρηνικών και βαλλιστικών πυραύλων του κράτους. Με πρόσφατες αναφορές ότι η Βόρεια Κορέα μπορεί να προετοιμάζεται ξανά για πυρηνικές δοκιμές, η σημερινή δραστηριότητα κυρώσεων υπογραμμίζει τη σημασία της διασφάλισης ότι το Lazarus Group δεν είναι σε θέση να ξεπλύνει με επιτυχία τα έσοδα από αυτές τις επιθέσεις.
Σύμφωνα με την Chainanalysis, οι χάκερς από την Βόρεια Κορέα εξαπέλυσαν τουλάχιστον επτά επιθέσεις σε πλατφόρμες κρυπτονομισμάτων και αποκόμισαν τουλάχιστον 400 εκατομμύρια δολάρια κατά το 2021. Οι περίπλοκες τακτικές και τεχνικές που χρησιμοποιούν, οδήγησαν πολλούς ερευνητές ασφάλειας να χαρακτηρίσουν τις κυβερνοεπιθέσεις από την Λαϊκή Δημοκρατία της Κορέας, ως προηγμένες επίμονες απειλές (APTs). Από το 2018 και μετά, ο όμιλος Lazarus έχει κλέψει και ξεπλένει τεράστια ποσά ψηφιακών νομισμάτων κάθε χρόνο, άνω των 200 εκατομμυρίων δολαρίων. Οι πιο επιτυχημένες κυβερνοεπιθέσεις τους είναι στο ανταλλακτήριο από το οποίο αποκόμισαν περισσότερα από 250 εκατομμύρια δολάρια μόνο.
Σύμφωνα με το Συμβούλιο Ασφαλείας των Ηνωμένων Εθνών, τα έσοδα που προκύπτουν από αυτές τις επιθέσεις πηγαίνουν για την υποστήριξη των προγραμμάτων όπλων μαζικής καταστροφής και βαλλιστικών πυραύλων της Βόρειας Κορέας.
Το 2021, η δραστηριότητα hacking στη Βόρεια Κορέα ήταν σε άνοδο για άλλη μια φορά. Από το 2020 έως το 2021, ο αριθμός των επιθέσεων που συνδέονται με τη Βόρεια Κορέα αυξήθηκε από τέσσερις σε επτά, και η αξία που εξήχθη από αυτά τα hacks αυξήθηκε κατά 40%.