Еще в 2018 году сообщалось, что северокорейская группа хакеров Lazarus может быть ответственна за кражу криптовалют на $571 млн. В 2019 году Lazarus продолжала атаковать криптовалютные компании. Аналитики считают, что именно эти хакеры запустили вирус-вымогатель WannaCry и ответственны за кражу криптовалют на $7 млн с биржи Bithumb в 2017 году.
В отчете аналитической компании CipherTrace предполагается, что хакеры использовали «очищающие цепочки адресов», чтобы скрыть размер депозитов и избежать нежелательного внимания, а также подделывали фотографии, чтобы обманным путем пройти проверки KYC на криптовалютных биржах.
Напомним, что в начале месяца Управление по контролю за иностранными активами Министерства финансов США (OFAC) добавило в «санкционный список» 20 адресов Биткоина, принадлежащих участникам Lazarus. Владельцы данных адресов – Тянь Иньинь (Tian Yinyin) и Ли Цзядун (Li Jiadong) – обвиняются в причастности к преступной группировке Lazarus.
Кроме того, власти США считают, что хакеры связаны со взломом неназванной южнокорейской биржи в 2018 году, в результате которого были украдены криптоактивы на $234 млн, а также отмыванием денег и управлением нелицензированной компаний, осуществляющей денежные переводы.
Согласно данным CipherTrace, киберпреступники использовали «очищающие цепочки адресов», чтобы скрыть размер средств, депонируемых в кошельках. Вместо того, чтобы сделать один большой депозит на бирже и привлечь нежелательное внимание, преступники создали цепочку адресов, через которую небольшие суммы криптовалют постепенно выводились через биржи.
После того, как средства проходили по цепочке через 146 отдельных транзакций, они выводились через две биржи, названия которых не раскрываются. По данным OFAC, украденные криптовалюты стоимостью $100.5 млн поступили через Иньиня и Цзядуна на многочисленные северокорейские криптовалютные кошельки. Иньинь перевел более $34 млн со своего банковского счета на одну биржу, а Цзядун использовал девять разных банковских счетов, чтобы отмыть $33 млн.
Дальнейшее расследование показало, что хакеры также использовали «очищающие цепочки», чтобы успешно отмыть средства, полученные через взломы двух других бирж, предположительно совершенных киберпреступниками из Северной Кореи.
Иньинь и Цзядун легко обходили проверки KYC на криптовалютных биржах. На одну из бирж они загрузили фотографии граждан Южной Кореи и Германии с их документами. Метаданные изображений показывают, что разные лица были добавлены к одному и тому же телу при помощи графических редакторов.
На другой бирже с более совершенными мерами безопасности преступникам не удалось подтвердить личность аналогичным способом. Биржа выявила подделку и предложила организовать видеочат для подтверждения личности, от которого хакеры отказались.
Согласно судебным документам, прокуроры суда округа Колумбия обвиняют Иньиня и Цзядуна в краже криптоактивов на $250 млн в период с июля 2018 года по апрель 2019 года. Генерал Бенчковски из Министерства юстиции США заявил, что его агентство «пробьет завесу анонимности, обеспечиваемую криптовалютами, чтобы привлечь к ответственности преступников, где бы они ни находились».