Северокорейские хакеры отмыли за последние семь лет более $3 млрд в криптовалюте, похищенной у бирж, сервисов и инвесторов. Специалисты «КоинКит» рассказали Bits.media, какой именно схемой пользуются связанные с властями КНДР хакерские группировки для кражи и отмывания средств.

Всего этапа отмывания четыре.

1. Дробление: мгновенное перемещение средств между сотнями «кошельков-мусорок». Это хаос, призванный запутать след.

Lazarus shema otmivaniya-1.png

2. Миксеры: массовый прогон через Tornado Cash для разрыва цепочек. Несмотря на санкции, инструмент работает и остается в активном арсенале преступников.

Lazarus shema otmivaniya-2.png

3. DEX и стейблкоины. Быстрый вывод через децентрализованную биржу Uniswap и конвертация в стейблкоины USDT/USDC. Прямая атака на слабые места децентрализованного финансирования.

Lazarus shema otmivaniya-3.png

4. Гемблинг-платформы. Использование анонимных онлайн-казино для финального отмывания многомиллионных сумм.

Lazarus shema otmivaniya-4.png

Ирония в том, что при всей изощренности атак, схемы отмывания часто примитивны и повторяемы, оставляя четкий след в блокчейне, говорят представители «КоинКит».

Сейчас главным оружием группировки Lazarus и ей подобным стали не взлом, а идеально прописанные легенды и дипфейки. «Протокол внедрения» отработан до автоматизма, говорят расследователи, изучившие результаты взлома аккаунта одного их хакеров, взявшего псевдоним Генри Чан.

Кратко, схема выглядит так. Сначала злоумышленники создают портфолио фантомного разработчика с опытом в OpenSea и/или Chainlink. Ведут всю работу через российские IP, VPN и удаленные рабочие столы. Фейковые соискатели находят вакансии криптокомпаний, а затем на собеседованиях маскируют лицо дипфейками, а азиатский акцент голосовыми модуляторами.

Месячный бюджет обслуживания такой схемы может составлять смешные $1500, рассказывают в «КоинКит».

Паттерны, которые выдают злоумышленников: задержка ответа на две-три секунды из-за работы переводчика с корейского, не соответствующая легенде активность IP-адресов, выдающая работающих в три смены людей.

КНДР стремится получить как можно больше средств при помощи кражи криптовалют, а значит, методы будут только совершенствоваться, предупреждает «КоинКит». Чтобы защититься, компаниям стоит проводить глубокую верификацию сотрудников, выходящую за рамки стандартных HR-процедур. Помогут также опережающая усилия хакеров аналитика и взаимодействие с правоохранительными органами.

Работающая в сфере кибербезопасности компания Silent Push недавно сообщила, что северокорейская группа Lazarus для кражи криптовалют у разработчиков зарегистрировала три фиктивные компании с профилями несуществующих сотрудников в LinkedIn.