Само за няколко минути: Как Северна Корея извърши най-големият обир в историята

Малко след 14:00 часа миналия петък прословута група хакери – отговорни за някои от най-лошите киберпрестъпления на 21-ви век – направиха това, което може би е техният магнум опус. Само за няколко минути дигитална валута на стойност приблизително 1,46 милиарда долара беше открадната от Bybit, една от най-популярните крипто борси в света, и насочена през интернет към анонимни портфейли. Това бележи най-големия обир в историята.

За сравнение, откраднатата сума е почти 30 пъти по-голяма от £53 милиона, взети по време на обира на депото на Securitas в Тонбридж през 2006 г., най-голямата кражба на пари в Обединеното кралство. Освен това е с близо 500 милиона долара повече от сумата, която Саддам Хюсеин открадна от Иракската централна банка в навечерието на войната в Ирак през 2003 г., която обикновено се определя като най-голямата кражба на всички времена.

Подробности за операцията все още се появяват, но това, което е уникално за нарушенията на крипто борсата, е, че средствата могат да се проследяват в реално време през блокчейна. Служейки като онлайн счетоводна книга, блокчейн технологията осигурява прозрачност на всяка транзакция и движение на средства между адресите на портфейла, дори ако собственикът на всеки отделен портфейл е неизвестен.

Това позволи на следователите да проследят откраднатите активи в реално време, докато хакерите се опитват да ги изперат чрез различни портфейли и борси. Моделът отразява напълно техника, използвана от една от най-сложните хакерски операции в света: групата Lazarus.

Lazarus е създадена през 2009 г. и още от тогава е подкрепяна от правителството на КНДР. Една от най-известните й атаки е рансъмуера WannaCry, който пусна през 2017 г. Той зарази 200 000 компютъра в 150 страни, включително тези на NHS във Великобритания.

Lazarus Group също така е извършила и множество атаки с криптовалута в миналото, въпреки че петъчното изтегляне представлява най-голямата кражба до момента, като хакерите са измъкнали еквивалента на годишния бюджет за отбрана на Северна Корея (1,47 милиарда долара през 2023 г.).

Фирмата за разследване на крипто Chainalysis отбеляза, че хакването на Bybit е последвало обща игра, използвана от Lazarus, която включва атака чрез социално инженерство за първоначално компрометиране на средствата. Това се случи по време на рутинно прехвърляне от студения портфейл Ethereum на Bybit – офлайн крипто устройство за съхранение – към неговия онлайн портфейл.

Насочвайки се към лицата, отговорни за проверката на адресите на портфейлите с персонализирани фишинг атаки, хакерите са ги подмамили да подпишат транзакциите към портфейлите, притежавани от Lazarus.

„Системата за сигурност е толкова силна, колкото е силна най-слабата й връзка. В случая с Bybit имаше вратичка в сигурността, когато Ledger [хардуерен портфейл] и Safe{Wallet} [приложение за дигитален портфейл] бяха използвани заедно“, обяснява Шахар Мадар, вицепрезидент по сигурността и доверието в блокчейн платформата Fireblocks, пред The ​​Independent. „Хакерите вероятно са използвали злонамерен софтуер, за да променят тайно това, което потребителите виждат в интерфейса Safe{Wallet}. Потребителите си мислеха, че одобряват нормална транзакция, но в действителност те одобряваха различна, манипулирана транзакция. Ledger изискваше потребителите да одобряват транзакции, без да показват пълни подробности (известно като „сляпо подписване“). Това означаваше, че потребителите не можеха да видят какво всъщност одобряват, което улесняваше хакерите да ги измамят."

В рамките на два часа след кражбата на Bybit, изследователи от фирмата за анализ на блокчейн Elliptic наблюдават откраднатите средства да се изпращат до 50 различни портфейла, всеки от които съдържа приблизително 10 000 ETH (ethereum). След това тези портфейли бяха систематично изпразнени чрез децентрализирани обмени в процес на изпиране, известен като „наслояване“, който се опитва да прикрие следите на транзакцията.

„Севернокорейската Lazarus Group е най-усъвършенстваната и добре финансирана пералня на криптоактиви, която съществува, като непрекъснато адаптира техниките си, за да избегне идентифицирането и изземването на откраднати активи“, отбелязва Elliptic в публикация в блог. „Прозрачността на блокчейните означава, че тази транзакционна следа може да бъде проследена, но тези тактики на наслояване могат да усложнят процеса на проследяване, купувайки ценно време на перачите за осребряване на активите.“

Работейки заедно с Bybit, Elliptic твърди, че вече е конфискувала част от средствата, откраднати от базираната в Дубай борса, но казва, че най-голямото предизвикателство е големият обем на откраднатите активи.

Платформата за крипто разузнаване Arkham отбеляза, че хакерите на Bybit извършват множество транзакции всяка минута в продължение на 45 минути, преди да направят пауза за 15 минути. Моделът изглежда предполага, че процесът не е автоматизиран, тъй като всеки, който го прави, трябва да прави периодични почивки.

„Намери ли Lazarus стажант, който да изпере средствата им ръчно“, попита фирмата в публикация в X.

Мащабният обир предизвика срив на крипто пазарите, но също така послужи като неволна демонстрация на устойчивостта на индустрията. В рамките на 72 часа след атаката Bybit възстанови своя резерв до съотношение 1:1, което означава, че не са загубени средства на клиенти.

„През всичко това крипто общността, нашите партньори и нашите потребители показаха непоколебима подкрепа“, се казва в изявление на борсата. „Ние знаем къде са отишли ​​нашите средства и сме решени да превърнем това преживяване във възможност за укрепване на екосистемата... Днес бележи нова седмица и нова глава.“

Мащабът на атаката може в крайна сметка да подхрани по-широки усилия за свалянето на Lazarus. В отговор на хака главният изпълнителен директор на Bybit Бен Джоу, която е втората по големина крипто борса в света по обем на търговия, призова за „война срещу Lazarus“, предлагайки награда от 140 милиона долара за възстановяване на средствата и предоставяне на информация за групата.

Този ход, който е първи в индустрията, може да отбележи началото на координирани глобални действия за окончателно неутрализиране на кибертерористичните кампании на Lazarus Group.

„Споделихме мрачен момент от крипто историята и доказахме, че сме по-добри от злонамерените участници“, каза Джоу. „Няма да спрем, докато Lazarus или хората с лоши намерения в индустрията не бъдат елиминирани.“