Раскрытие международной хакерской группы: методы кражи и отмывания денег криптоактивов на сумму 360 миллионов долларов

Секретный отчет ООН показывает, что одна группа хакеров в прошлом году украла средства из одной биржи криптоактивов, а в марте этого года отмыла 147.5 миллионов долларов через одну платформу виртуальных денег.

Наблюдатели сообщили Совету Безопасности ООН о том, что они расследуют 97 кибератак на компании по производству криптоактивов, произошедших в период с 2017 по 2024 годы, общая сумма которых составляет около 3,6 миллиарда долларов. Среди них инцидент с кражей 147,5 миллиона долларов, произошедший в конце прошлого года на одной из криптовалютных бирж, средства из которого были отмыты в марте этого года.

США в 2022 году ввели санкции против этой платформы виртуальных денег. В 2023 году два соучредителя этой платформы были обвинены в содействии отмыванию более 1 миллиарда долларов, в том числе в связи с финансированием, связанным с одной киберпреступной организацией.

Согласно исследованию одного из аналитиков криптоактивов, эта группа хакеров отмыла 200 миллионов долларов США в криптоактивах в фиатные деньги в период с августа 2020 года по октябрь 2023 года.

В области кибербезопасности эта хакерская группа на протяжении долгого времени обвиняется в проведении масштабных кибератак и финансовых преступлений. Их цели охватывают весь мир, от банковских систем до бирж криптовалют, от государственных учреждений до частных компаний. Далее мы проанализируем несколько типичных случаев атак, чтобы показать, как эта хакерская группа смогла успешно осуществить эти удивительные атаки благодаря своим сложным стратегиям и техническим средствам.

Хакерская группа манипулирует социальной инженерией и фишинг-атаками

Согласно сообщениям европейских СМИ, эта группа хакеров ранее нацеливалась на военные и аэрокосмические компании Европы и Ближнего Востока, публикуя объявления о найме на социальных платформах, чтобы обмануть сотрудников, требуя от соискателей загрузить PDF с исполняемым файлом, а затем провести фишинг-атаку.

Социальная инженерия и фишинг-атаки пытаются использовать психологическую манипуляцию, чтобы обмануть жертв и заставить их снизить бдительность, выполняя такие действия, как нажатие на ссылки или загрузка файлов, что ставит под угрозу их безопасность.

Их вредоносное программное обеспечение позволяет агентам нацеливаться на уязвимости в системах жертв и красть конфиденциальную информацию.

Эта хакерская группа использовала аналогичные методы в ходе шестимесячной операции против одного из поставщиков услуг по оплате криптоактивами, в результате чего компания потеряла 37 миллионов долларов.

На протяжении всего мероприятия они отправляли инженерам поддельные вакансии, инициировали распределенные атаки отказа в обслуживании и подавали множество возможных паролей для брутфорса.

Создание множества атак на биржи Криптоактивов

24 августа 2020 года, кошелек одной из канадских бирж криптоактивов был украден.

11 сентября 2020 года, из-за утечки приватного ключа, в нескольких кошельках, контролируемых командой одного блокчейн проекта, произошло несанкционированное списание в размере 400000 долларов.

6 октября 2020 года из-за уязвимости безопасности в горячем кошельке одной биржи криптоактивов были несанкционированно переведены криптоактивы на сумму 750000 долларов.

В начале 2021 года средства от различных атак были собраны на одном и том же адресе. Затем злоумышленники через многократные переводы и операции по смешиванию токенов отправили средства на некоторые адреса для вывода.

Основатель одной из платформ взаимного страхования стал жертвой хакерской атаки

14 декабря 2020 года основатель одной из платформ взаимного страхования был ограблен на 370000 токенов платформы (примерно 8300000 долларов США).

Зав stolen funds были переведены между несколькими адресами и обменяны на другие средства. Хакерская группировка проводила операции по смешиванию, распределению и сбору средств через эти адреса. Например, часть средств была переведена через кросс-цепочку на биткойн-цепочку, затем через ряд переводов обратно на эфириум-цепочку, после чего средства были смешаны на платформе для смешивания токенов и отправлены на платформу для вывода.

16-20 декабря 2020 года один из адресов Хакера отправил более 2500 ETH на какую-то платформу смешивания токенов, и через несколько часов, исходя из характеристик связи, можно было обнаружить, что другой адрес начал операцию вывода.

Хакер через перевод и обмен перевел часть средств на адрес, связанный с выводом средств, вовлеченных в предыдущее событие.

После этого, с мая по июль 2021 года, злоумышленники перевели 11 миллионов USDT на одну из бирж.

С февраля по июнь 2023 года злоумышленники через несколько адресов отправили более 11 миллионов USDT на разные платформы для вывода.

Другие DeFi платформы Хакерская атака

В августе 2023 года украденный ETH в ходе двух атак на платформы DeFi был переведен на одну из платформ для смешивания. После перевода ETH на платформу для смешивания, хакер немедленно начал выводить средства на несколько адресов.

12 октября 2023 года средства, выведенные с платформы по отмыванию денег, были отправлены на один и тот же адрес.

В ноябре 2023 года данный адрес начал переводить средства, в конечном итоге, через промежуточные операции и обмен, средства были отправлены на несколько платформ для снятия.

Сводка событий

Выше было представлено описание динамики этой хакерской группы за последние несколько лет, а также проведен анализ и обобщение их методов отмывания денег: группа после кражи криптоактивов, как правило, использует метод многократного межсетевого перехода с последующей передачей в миксер для скрытия средств. После этого они выводят украденные активы на целевой адрес и отправляют на определенные группы адресов для проведения операции по выводу средств. Ранее украденные криптоактивы в основном хранились на определенных платформах для вывода средств, а затем обменивались на фиатные деньги через услуги внебиржевой торговли.

Под давлением непрерывных и масштабных атак этой группы хакеров, индустрия Web3 сталкивается с серьезными проблемами безопасности. Безопасные организации должны продолжать отслеживать эту группу хакеров, следить за их действиями и методами отмывания денег, чтобы помочь проектам, регулирующим и правоохранительным органам бороться с подобными преступлениями и вернуть украденные активы.