Lazarus bilgisayar korsanları, çalınan kriptoda 100 milyon doları gizlemek için yeni karıştırıcı kullanıyor

Blockchain analistleri tarafından keşfedilen kanıtlara göre, Kuzey Koreli bilgisayar korsanları, soygunlarından elde ettikleri kripto para gelirlerini aklamak için ABD tarafından uygulanan yaptırımları aşmanın bir yolunu buldu.

Tipik olarak tehdit aktörü olarak anılan Lazarus Group, Ekim 2022’den bu yana Sinbad adlı tek bir kripto karıştırma hizmeti aracılığıyla yaklaşık 100 milyon dolarlık çalıntı Bitcoin’i akladı.

Büyük kripto soygunlarının arkasındaki Lazarus

Geçen yıl, ABD Hazine Bakanlığı Yabancı Varlık Kontrol Ofisi (OFAC), Lazarus’un yasadışı yollarla elde edilen 500 milyon dolara yakın kripto parayı aklamak için kullandığı kripto para karıştırma hizmetleri Blender ve Tornado Cash’e karşı yaptırımlar açıkladı.

Tedbir, daha sonra Kuzey Koreli Lazarus grubuna atfedilen bir hack’te Axie Infinity’nin zincirler arası köprüsünden 600 milyon dolardan fazla kripto varlığının çalınmasının ardından alındı.

Bilgisayar korsanları genellikle kripto para birimi mikserlerini/tumbler’larını kullanır çünkü bir ücret karşılığında daha fazla sayıda kullanıcının varlıklarını harmanlayarak fonların kaynağını ve sahiplerini gizlemeye izin verirler.

OFAC yaptırımları Tornado Cash’i durdurmazken, operatörü mikserden yaklaşık 22 milyon dolarlık Bitcoin aldıktan sonra ortadan kaybolan Blender’ı durdurdu.

Blockchain analiz şirketi Elliptic’e göre, Blender’ın operatörü büyük olasılıkla Ekim 2022’nin başlarında Lazarus tarafından varlıkları aklamak için kullanılan Sinbad adlı yeni bir hizmet başlattı.

Yeni miksere geçiliyor

tom robinsonElliptic’in kurucu ortağı ve baş bilim adamı, BleepingComputer’a bağlantının Haziran 2022’de yaklaşık 100 milyon dolar kayba yol açan Harmony Horizon kripto soygunundan sonra ortaya çıktığını söyledi.

Hack’ten kısa bir süre sonra Elliptic, FBI’ın bu yılın başlarında Tornado Cash karıştırma hizmeti aracılığıyla fonları takip ederek Lazarus ile güçlü bağlantılar bulduğunu doğruladı.

Tipik olarak aktör, Tornado Cash kripto karışımını Blender gibi saklama tabanlı bir hizmetle birleştirdi. Ancak bu sefer Sinbad adında başka bir Bitcoin karıştırıcısı kullandılar.

Robinson, Sinbad hizmetinin “nispeten küçük” olmasına rağmen Lazarus grubu tarafından çalınan fonları aklamak için kullanıldığını söylüyor.

Blender ve Sinbad mikserleri arasında güçlü bağlar

Tornado Cash’in aksine, hem Blender hem de Sinbad, saklama amaçlı karıştırıcılardır, yani hizmete giren tüm kripto para birimi operatörün kontrolü altındadır; böylece sahipler, fonlarının kontrolünden vazgeçmek için yeterli güvene sahip olurlar.

Elliptic’in analizi, Sinbad’ın Blender’ın arkasındaki kişi veya grup tarafından işletildiğini büyük bir güvenle gösteriyor.

Araştırmacılar, Sinbad sitesindeki bir “hizmet” adresinin, Blender operatörüne ait olduğuna inanılan bir cüzdandan Bitcoin aldığını tespit etti.

Aynı cüzdan, yeni kripto karıştırıcıyı tanıtmak için ödeme yapmak ve Sinbad’a gelen yaklaşık 22 milyon dolarlık neredeyse tüm ilk işlemleri finanse etmek için kullanıldı.

Araştırmacılar, cüzdanın yanı sıra, işlemlerin belirli özelliklerini içeren, her iki mikser için de benzer bir zincir üstü model davranışı fark ettiler.

Araştırmacıların gözlemlediği diğer ortak noktalar arasında web sitelerindeki güçlü benzerlikler, adlandırma kurallarının kullanımı, dil ve “Rusça dil desteği ve web siteleri ile Rusya ile açık bir bağ” yer alıyor.

Tek bir grup olarak anılsa da Lazarus, hükümet tarafından ulusal düzeydeki öncelikleri ve hedefleri desteklemek için istihbarat toplamak ve para çalmakla görevlendirilmiş birden fazla Kuzey Koreli operatörü tanımlıyor.

Kuzey Koreli tehdit aktörleri, kripto para borsalarını hedeflemenin yanı sıra, ABD ve Güney Kore’deki sağlık sektörü kuruluşlarına karşı çeşitli dolap türleri kullanarak fidye yazılımı saldırıları düzenledi.