Az államilag támogatott észak-koreai hackerek 1,5 milliárd dollárnyi kriptovalutát loptak el a történelem legnagyobb bankrablása során: biztonsági elemzők szerint Phenjan ügynökeinek sikerült betörniük a dubaji székhelyű Bybit tőzsde rendszerébe, hogy ellopják az Ether kriptovalutákat.
A hackerek egyetlen támadással több kriptopénzt loptak el, mint az észak-koreai kiberbűnözők által 2024-ben ellopott összes pénzeszköz, amikor a Chainalysis kriptopénz-elemző cég szerint kb. 1,3 milliárd dollárnyi kriptopénzt zsákmányoltak.
Az 1,5 milliárd dolláros összeg minden idők legnagyobb ismert bankrablását is felülmúlja, amikor Szaddám Huszein 2003-ban, az iraki háború előtt 1 milliárd dollárt lopott el az iraki központi bankból.
Kim Dzsongun, Észak-Korea diktátora a számítógépes hackerek elit egységét bízta meg azzal, hogy a diktatúra gazdaságát lopott pénzekkel támogassák.
A Chainalysis szerint a támadás „éles emlékeztető” volt az ország hackerei által alkalmazott fejlett taktikákra: a technikai készségek mellett az észak-koreai hackerek az ún. „social engineering”-ben is jártasak, azaz képesek manipulálni az embereket, hogy azt tegyék, amit akarnak, előkészítve az utat a rabláshoz. Ez magában foglalhatja a célpontokkal való kapcsolat kialakítását e-mailben és chaten, néha hónapokon keresztül.
A kiberbiztonsági szakértők szerint a legutóbbi támadás mögött a hírhedt Lazarus Group áll. A csoport már több mint egy évtizede terrorizálja a nyugati cégeket kibernetikai támadásokkal, amik több milliárd dolláros veszteséget okoztak. Az Elliptic kriptopénzelemző cég szerint a hackercsoport a létező legkifinomultabban, jól felszerelve mossa tisztára a kriptovalutákat.
A csoport vélhetően az észak-koreai hírszerző ügynökség, a Felderítő Főhivatal része, és kapcsolatba hozták már korábbi támadásokkal, többek között a Sony 2014-es feltörésével, amikor a csoport a vezetők privát e-mailjeit szivárogtatta ki, hogy megakadályozza az Észak-Korea legfelsőbb vezetőjét gúnyoló, The Interview című film bemutatását. (A vígjátékot végül a neten forgalmazták, zajos sikerrel.)
A Lazarus Groupot okolták egy 2016-os bangladesi bankrablásért is, amikor közel 1 milliárd dollárt húztak be, illetve őket tették felelőssé a Wannacry globális kibertámadásért is, ami több 100 ezer számítógépet tett offline állapotba káros zsarolóprogrammal, köztük a brit egészségügyi szolgálat rendszereit is.
Phenjan elit hackercsapatai egykor csak kémkedtek és üzleti titkokat loptak el, de egyre inkább a gazdasági hadviselés fegyvereként működnek, hogy a súlyos szankciókkal sújtott rezsim kincstárát feltöltsék. Nagyon termékenyek: a Chainalysis szerint tavaly a világszerte ellopott 2,2 milliárd dollárnyi kriptopénz 61 százalékát ők nyúlták le.
A múlt heti támadással együtt az észak-koreai hackerek az elmúlt évtizedben több mint 6 milliárd dollárnyi kriptopénzt loptak el.
A lopások nagy lökést adnak az ország gazdaságának, és hozzájárulnak a katonai kiadásokhoz, ideértve a ballisztikusrakéta-programot is. Észak-Korea GDP-jét csak 28 milliárd dollárra becsülik, és nagymértékben függ a mezőgazdaságtól és a fő szövetségesével, Kínával folytatott kereskedelemtől.
Bár a Lazarus Group legtöbb tagja ismeretlen, az Egyesült Államok vádat emelt több észak-koreai katona ellen, akikről úgy véli, hogy kapcsolatban állnak a csoporttal.
Észak-Korea többféle hackertechnikára támaszkodik, kezdve az ún. „nulladik napi” hackelés felfedezésétől, amikkel az addig ismeretlen biztonsági hibák kijátszásával lehet betörni az informatikai rendszerbe, egészen a hamis távmunkavállalók felhasználásáig, hogy beszivárogjanak az amerikai vállalatokba.
A kriptovaluta-elemző cégek, köztük az Arkham Intelligence és az Elliptic a Lazarus Groupot azonosították a Bybit valószínűsíthető hackereiként: sikerült lenyomozni a digitális pénztárcákat, amiket a hackerek a kriptopénzipar által használt „blokklánc” technológiában rögzített pénzeszközök gyors tisztára mosására használtak. A TRM kiberbiztonsági cég szerint „jelentős átfedések voltak megfigyelhetők a Bybit hackerek által ellenőrzött és a korábbi észak-koreai lopásokhoz kapcsolódó címek között”.
Az észak-koreai hackerek a Chainalysis szerint egy többrétegű és régóta tervezett támadással tudták ellopni a rengeteg kriptopénzt. A hackerek ún. „phishing” e-mailek segítségével törték fel a Bybit belső rendszereit, arra késztetve egy alkalmazottat, hogy adja meg a bejelentkezési adatait egy látszólag legitim weboldalon, ami valójában kompromittálódott.
A hackerek ezután hozzáférhettek egy ún. „hideg pénztárcához”, egy állítólag biztonságos kriptopénztároló eszközhöz, ami az érméket offline, az internettől távol tartja. Amikor a Bybit át akart utalni pénzt az offline tárcából az online rendszereibe, a hackerek szabotálták az átutalást, és ellopták a pénzt.
A hackerek perceken belül egy sor más pénztárcán és kriptotőzsdén keresztül továbbították őket, és megpróbálták eltitkolni az eredetüket azzal, hogy más érmékre cserélték őket, vagy ügyfélellenőrzés nélküli kereskedőházakon keresztül továbbították.
A gyakorlatilag szabályozatlan kriptopénziparág a kibertámadóknak jó terep a pénzmosásra. A Chainalysis közölte, hogy a tőzsdékkel együttműködve 40 millió dollárnyi, a Bybitről ellopott pénzt sikerült befagyasztani, de ennél jóval több tűnt el.
Az észak-koreai hackerek nem mutatják a lassulás jeleit. A Chainalysis szerint a támadók egyre „jobbak és gyorsabbak a tömeges visszaélésekben”. Észak-Korea a kibertérben jelentős szereplő, még akkor is, ha a való világban nagyon elszigetelt.
A Bybit azt mondta, hogy „több mint elegendő” eszközzel rendelkezik a veszteségek fedezésére, és ragaszkodott ahhoz, hogy a hackelés „elszigetelt incidens” volt. (Telegraph)