O grupo de hackers norte-coreano Lazarus parece ter intensificado suas operações recentemente, com quatro ataques confirmados a entidades de criptomoeda desde 3 de junho. Agora, eles são suspeitos de realizar um quinto ataque, desta vez na CoinEx em 12 de setembro.

Nos últimos 104 dias, foi confirmado que Lazarus roubou quase US$ 240 milhões em ativos criptográficos de AtomicWallet (US$ 100 milhões), CoinsPaid (US$ 37,3 milhões), Alphapo (US$ 60 milhões) e Stake.com (US$ 41 milhões).

Último ataque de Lázaro

Conforme mostrado acima, a análise da agência de segurança Elliptic confirmou que alguns dos fundos roubados da CoinEx foram enviados para um endereço que foi usado pelo grupo Lazarus para lavar fundos roubados da Stake.com, embora em uma blockchain diferente. Os fundos foram então transferidos para Ethereum, usando uma ponte anteriormente usada pelo Lazarus, e depois enviados de volta para um endereço conhecido por ser controlado por hackers da CoinEx. Ilipu observou Lazarus misturando fundos de diferentes hackers, mais recentemente, quando os fundos roubados do Stake.com se sobrepuseram aos fundos roubados do AtomicWallet. Esses casos de fundos de diferentes hackers combinados são mostrados em laranja na imagem abaixo.

Dada esta atividade blockchain e a falta de informações sugerindo que o hack da CoinEx foi realizado por qualquer outro grupo de ameaça, Illip concorda que o Grupo Lazarus deveria ser suspeito de roubar fundos da CoinEx.

Cinco ataques de Lázaro em 104 dias

Em 2022, vários hacks de alto perfil foram atribuídos ao Lazarus, incluindo a ponte Horizon da Harmony e a ponte Ronin da AxieInfinity, ambos ocorridos no primeiro semestre do ano passado. Entre então e junho deste ano, nenhum grande criptoheísta foi publicamente atribuído a Lazarus. Portanto, os vários incidentes de hackers ocorridos nos últimos 104 dias indicam um aumento nas atividades dos grupos de ameaças norte-coreanos.

Em 3 de junho de 2023, os usuários da carteira de criptomoeda descentralizada e sem custódia AtomicWallet perderam mais de US$ 100 milhões. Em 6 de junho de 2023, Illip atribuiu o hack ao Lazarus após identificar vários fatores que indicavam que um grupo de ameaça norte-coreano era o responsável. Esta atribuição foi posteriormente confirmada pelo FBI.

Em 22 de julho de 2023, Lazarus obteve acesso a uma carteira quente pertencente à plataforma de pagamento de criptomoedas CoinsPaid por meio de um ataque de engenharia social bem-sucedido. O acesso permitiu que os invasores criassem solicitações de autorização para retirar aproximadamente US$ 37,3 milhões em ativos criptográficos das carteiras quentes da plataforma. Em 26 de julho, a CoinsPaid publicou um relatório alegando que Lazarus era o responsável pelo ataque. O FBI posteriormente confirmou a atribuição.

No mesmo dia, 22 de julho, Lazarus lançou outro ataque de alto perfil, desta vez visando o provedor centralizado de pagamentos criptográficos Alphapo, roubando US$ 60 milhões em ativos criptográficos. O invasor pode ter obtido acesso por meio de uma chave privada vazada anteriormente. Conforme mencionado acima, o FBI posteriormente atribuiu o ataque a Lazarus.

Em 4 de setembro de 2023, o cassino online de criptomoeda Stake.com foi atacado e aproximadamente US$ 41 milhões em moeda virtual foram roubados, possivelmente como resultado de chaves privadas roubadas. O FBI emitiu um comunicado de imprensa em 6 de setembro confirmando que o Grupo Lazarus estava por trás do ataque.

Finalmente, em 12 de setembro de 2023, a bolsa centralizada de criptomoedas CoinEx foi hackeada e US$ 54 milhões foram roubados. Conforme detalhado acima, vários fatores apontam para que Lazarus seja o responsável por este ataque.

Mudar estratégia?

A análise da actividade mais recente do Lazarus mostra que desde o ano passado mudaram o seu foco de serviços descentralizados para serviços centralizados. Dos cinco hacks recentes discutidos anteriormente, quatro tiveram como alvo provedores centralizados de serviços de ativos virtuais. Antes da rápida ascensão do ecossistema financeiro descentralizado (DeFi), as exchanges centralizadas eram o alvo preferido da Lazarus antes de 2020.

Pode haver uma série de razões pelas quais a Lazarus está mais uma vez voltando a sua atenção para os serviços centralizados.

Preste mais atenção à segurança: uma pesquisa anterior de Yilip sobre incidentes de hackers DeFi em 2022 descobriu que uma exploração ocorria a cada quatro dias, com uma média de US$ 32,6 milhões roubados de cada vez. As pontes entre cadeias eram uma forma de serviço relativamente nova no início de 2022, mas agora se tornaram alguns dos tipos de protocolos DeFi mais hackeados. Essas tendências provavelmente levarão a melhores padrões de auditoria e desenvolvimento de contratos inteligentes, estreitando o escopo para os hackers identificarem e explorarem vulnerabilidades.

Vulnerável à engenharia social: Em muitos ataques de hackers, o método de ataque escolhido pelo Grupo Lazarus foi a engenharia social. Por exemplo, o hack de US$ 540 milhões do RoninBridge foi causado por anúncios de emprego falsos no LinkedIn. No entanto, os serviços descentralizados têm normalmente forças de trabalho mais pequenas e, como o nome sugere, são descentralizados em graus variados. Portanto, obter acesso malicioso a um desenvolvedor não é necessariamente o mesmo que obter acesso administrativo a um contrato inteligente.

Ao mesmo tempo, é provável que as bolsas centralizadas tenham um número maior de funcionários, ampliando o âmbito de possíveis alvos. Eles também podem operar usando sistemas internos centralizados de tecnologia da informação, dando ao malware Lazarus uma maior oportunidade de penetrar nas funções pretendidas de seus negócios.