De Noord-Koreaanse hackergroep Lazarus lijkt onlangs zijn activiteiten te hebben opgevoerd, met vier bevestigde aanvallen op cryptocurrency-entiteiten sinds 3 juni. Nu worden ze verdacht van het uitvoeren van een vijfde aanval, dit keer op CoinEx op 12 september. Als reactie hierop heeft CoinEx verschillende tweets uitgegeven waarin staat dat het verdachte portemonnee-adres nog steeds wordt bevestigd, dus de totale waarde van het gestolen geld is onbekend, maar wordt momenteel verondersteld ongeveer $54 miljoen te bedragen.

Er is bevestigd dat Lazarus de afgelopen 104 dagen bijna $240 miljoen aan crypto-activa heeft gestolen van AtomicWallet ($100 miljoen), CoinsPaid ($37,3 miljoen), Alphapo ($60 miljoen) en Stake.com ($41 miljoen).

Laatste Lazarus-aanval

Zoals hierboven aangetoond, bevestigde een analyse door veiligheidsbureau Elliptic dat een deel van het geld dat van CoinEx was gestolen, naar een adres werd gestuurd dat door de Lazarus-groep werd gebruikt om geld dat van Stake.com was gestolen wit te wassen, zij het op een andere blockchain. Het geld werd vervolgens overgebrugd naar Ethereum, met behulp van een brug die eerder door Lazarus werd gebruikt, en vervolgens teruggestuurd naar een adres waarvan bekend was dat het werd beheerd door CoinEx-hackers. Ilipu heeft gezien hoe Lazarus geld van verschillende hackers vermengde, meest recentelijk toen geld dat van Stake.com was gestolen, overlapte met geld dat van AtomicWallet was gestolen. Deze gevallen waarin fondsen van verschillende hackers worden gecombineerd, worden in de onderstaande afbeelding oranje weergegeven.

Gezien deze blockchain-activiteit en het gebrek aan informatie die erop wijst dat de CoinEx-hack door een andere bedreigingsgroep is uitgevoerd, is Illip het ermee eens dat de Lazarus Group ervan verdacht moet worden CoinEx-gelden te stelen.

Vijf Lazarus-aanvallen in 104 dagen

In 2022 werden verschillende spraakmakende hacks toegeschreven aan Lazarus, waaronder Harmony's Horizon-brug en AxieInfinity's Ronin-brug, die beide plaatsvonden in de eerste helft van vorig jaar. Tussen toen en juni van dit jaar waren er geen grote cryptoheïsten publiekelijk aan Lazarus toegeschreven. Daarom wijzen de verschillende hackincidenten die zich de afgelopen 104 dagen hebben voorgedaan op een toename van de activiteiten van Noord-Koreaanse dreigingsgroepen.

Op 3 juni 2023 verloren gebruikers van de niet-bewarende gedecentraliseerde cryptocurrency-portemonnee AtomicWallet meer dan $100 miljoen. Op 6 juni 2023 schreef Illip de hack toe aan Lazarus nadat hij meerdere factoren had geïdentificeerd die erop wezen dat een Noord-Koreaanse dreigingsgroep verantwoordelijk was. Deze toeschrijving werd later bevestigd door de FBI.

Op 22 juli 2023 kreeg Lazarus via een succesvolle social engineering-aanval toegang tot een hot wallet van het cryptocurrency-betalingsplatform CoinsPaid. Dankzij de toegang konden de aanvallers autorisatieverzoeken indienen om ongeveer $37,3 miljoen aan crypto-activa uit de hot wallets van het platform te halen. Op 26 juli publiceerde CoinsPaid een rapport waarin werd beweerd dat Lazarus verantwoordelijk was voor de aanval. De FBI bevestigde later de toeschrijving.

Op dezelfde dag, 22 juli, lanceerde Lazarus opnieuw een spraakmakende aanval, dit keer gericht op de gecentraliseerde cryptobetalingsprovider Alphapo, waarbij $ 60 miljoen aan crypto-activa werd gestolen. Mogelijk heeft de aanvaller toegang verkregen via een eerder gelekte privésleutel. Zoals hierboven vermeld, schreef de FBI de aanval later toe aan Lazarus.

Op 4 september 2023 werd het online cryptocurrency-casino Stake.com aangevallen en werd ongeveer $ 41 miljoen aan virtuele valuta gestolen, mogelijk als gevolg van gestolen privésleutels. De FBI bracht op 6 september een persbericht uit waarin werd bevestigd dat de Lazarus Groep achter de aanval zat.

Uiteindelijk werd op 12 september 2023 de gecentraliseerde cryptocurrency-uitwisseling CoinEx gehackt en werd $ 54 miljoen gestolen. Zoals hierboven uiteengezet, wijzen een aantal factoren erop dat Lazarus verantwoordelijk is voor deze aanval.

Strategie veranderen?

Uit analyse van de laatste activiteiten van Lazarus blijkt dat zij sinds vorig jaar hun focus hebben verlegd van gedecentraliseerde diensten naar gecentraliseerde diensten. Van de vijf recente hacks die eerder zijn besproken, waren er vier gericht op gecentraliseerde dienstverleners voor virtuele activa. Vóór de snelle opkomst van het gedecentraliseerde financiële (DeFi) ecosysteem waren gecentraliseerde uitwisselingen vóór 2020 het favoriete doelwit van Lazarus.

Er kunnen een aantal redenen zijn waarom Lazarus opnieuw zijn aandacht richt op gecentraliseerde diensten.

Besteed meer aandacht aan beveiliging: uit Yilips eerdere onderzoek naar DeFi-hackincidenten in 2022 bleek dat er elke vier dagen een exploit plaatsvond, waarbij elke keer gemiddeld 32,6 miljoen dollar werd gestolen. Cross-chain bridges waren begin 2022 een relatief nieuwe vorm van dienstverlening, maar zijn nu een van de meest gehackte typen DeFi-protocollen geworden. Deze trends zullen waarschijnlijk leiden tot betere audits en ontwikkelingsstandaarden voor slimme contracten, waardoor de mogelijkheden voor hackers om kwetsbaarheden te identificeren en te misbruiken kleiner worden.

Kwetsbaar voor social engineering: Bij veel hackaanvallen was de aanvalsmethode van de Lazarus Group social engineering. De RoninBridge-hack ter waarde van $540 miljoen werd bijvoorbeeld veroorzaakt door valse vacatures op LinkedIn. Niettemin hebben gedecentraliseerde diensten doorgaans een kleiner personeelsbestand en zijn ze, zoals de naam al doet vermoeden, in verschillende mate gedecentraliseerd. Daarom is het verkrijgen van kwaadwillige toegang tot een ontwikkelaar niet noodzakelijkerwijs hetzelfde als het verkrijgen van beheerderstoegang tot een slim contract.

Tegelijkertijd zullen gecentraliseerde beurzen waarschijnlijk een groter personeelsbestand hebben, waardoor de reikwijdte van mogelijke doelstellingen wordt vergroot. Ze kunnen ook gebruikmaken van gecentraliseerde interne informatietechnologiesystemen, waardoor de Lazarus-malware een grotere kans krijgt om de beoogde functies van hun bedrijf binnen te dringen.