ФБР перехватило $30 млн, украденных «киберспецназом КНДР». В ответ он напал на энергосектор США

- КиТ :: Будь в СЕТИ!

Хакерская группировка Lazarus лишилась части украденных в июле криптовалют. Но подобное противодействие парадоксальным образом служит дальнейшей эволюции хакеров. В ответ хакеры напали на энергетический сектор США.

А ты не воруй

Власти США объявили, что им удалось перехватить контроль над крупным объёмом криптоактивов, угнанных в начале 2022 г. из инфраструктуры онлайн-игры Axie Infinity. Это игра, которая предлагает игрокам возможность заработка в криптовалюте (play-to-earn). Игра была взломана хакерами северокорейской кибергруппировки Lazarus (считается, что это своего рода киберспецназ правительства КНДР) в марте 2022 г.

Благодаря помощи экспертов по криптовалютам и агентов ФБР удалось вернуть контроль над активами на сумму примерно $30 млн. Впрочем, это лишь малая часть того, что угнали хакеры: их совокупная добыча в токенах Ethereum и USDC составила порядка $620 млн.

Между тем, это первый случай, когда у Lazarus удалось отбить что-либо украденное. Как утверждают эксперты компании Chainalysis, участвовавшие в расследовании, подобное будет повторяться и впредь, несмотря на все усилия Lazarus по «отмыванию» похищенных средств.

Северокорейские хакеры сразу же перенаправляли токены Ether на промежуточные кошельки, затем порциями перебрасывали на печально известный миксер Tornado Cash. Tornado часто используют как «прачечную» для криптовалют - дошло до того, что в начале августа Казначейство США ввело против него жёсткие санкции, обвинив в отмывании не менее $7 млрд за последние три года.

Затем «отмытые» активы Ether выменивались на биткоины, которые также затем проходили «отмывочные» процедуры.

Санкции уместны

Санкции против Tornado, между тем, вынудили операторов Lazarus искать альтернативы - примерно одна треть угнанного из Axie оставалась неотмытой. Для скрытного перемещения активов по разным блокчейнам использовались мосты, но как раз эту активность эксперты Chainalysis и смогли отследить, благодаря чему и последовал перехват средств.

«Команда Chainalysis по расследованию криптоинцидентов сыграла роль в перехвате этих средств, используя самые передовые методы отслеживания, чтобы выяснить маршруты перемещения краденых активов к точкам обналичивания, а также участвовала в переговорах с представителями правоохранительных органов и отраслевыми игроками, благодаря чему эти средства были быстро заморожены», - говорится в сообщении компании.

Похищенное будет порциями возвращено Axie Infinity и снова окажется в распоряжении игроков. Но, как признали создатели игры, процесс может занять несколько лет.

Хотя экспертам удалось перехватить только около 5% украденного, считается, что тем самым Lazarus нанесён чувствительный ущерб, пусть и моральный в большей степени, нежели практический. По крайней мере, продемонстрировано, что проводить криминальные операции с криптовалютами, не оставляя следов, не так просто, как казалось прежде.

Операции против энергосектора

Между тем, Lazarus в последнее время начали интенсивно атаковать энергетический сектор США. Основным вектором атак стала уязвимость Log4Shell в серверах VMware Horizon. Хакеры Lazarus в период между февралём и июлем 2022 г. провели волну атак, где эксплойты для VMware Horizon использовались для первичной компрометации целевой инфраструктуры. Далее хакеры использовали вредоносы семейств VSingle и YamaBot, а также прежде неизвестный RAT-троянец MagicRAT для поиска и похищения данных их заражённых устройств.

Эксперты Symantec, ASEC и Cisco независимо друг от друга проанализировали эту кампанию. Установлено, что злоумышленники использовали уязвимости Log4Shell для запуска обратного шелла, позволяющего выполнять произвольные команды на скомпрометированном эндпойнте. Поскольку Horizon работает с высокими привилегиями, операторы Lazarus получали возможность деактивировать антивирус Windows Defender на уровне системного реестра, после чего загружали в систему VSingle - вредонос, позволяющий производить разведку сети, создавать новые учётные записи с административным доступом, а затем создавать новый обратный шелл для загрузки с командного сервера дополнительных компонентов (плагинов).

В некоторых случаях вместе с VSingle загружался MagicRAT, в других - продвинутый RAT-троянец YamaBot, написанный на Go (его связь которого с Lazarus установили только в июле 2022 г.).

Эти вредоносы использовались для загрузки файлов и выгрузки интересующей хакеров информации (в первую очередь, реквизитов доступа), запуска дополнительных команд, дальнейшей компрометации сети и т.д.

«Lazarus - одна из самых продвинутых кибергруппировок в мире, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - И одна из самых пристально наблюдаемых, что, как это ни парадоксально, только способствует росту её профессионализма, скрытности и, соответственно, степени угрозы, которую она представляет. Принимаемые против неё меры нельзя назвать неэффективными, но фактически это непрекращающееся состязание, которое закончится только в случае исчезновения Lazarus с лица Земли. А это очень маловероятно».

Lazarus действительно регулярно попадает в новостные заголовки по разнообразным поводам. Помимо кражи $620 млн из Axie и атак на VMware Horizon, в последние месяцы стало известно о многочисленных атаках группировки на ИТ-специалистов (с помощью поддельных объявлений о найме), создание поддельных криптовалютных приложений, троянизированных средств разработки и многих других инцидентах с их участием.

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg