8 de septiembre de 2023

FBI confirma que Corea del Norte está detrás de la estafa de 41 millones de dólares de Stake.com

Esta semana, el FBI emitió un comunicado en el que confirmaba que el robo de aproximadamente 41 millones de dólares en criptoactivos de Stake.com, una plataforma de casino y apuestas online, era obra del grupo norcoreano Lazarus. Lazarus robó estos activos de las direcciones controladas por Stake en las blockchains de Ethereum, Binance Smart Chain (BSC) y Polygon y, a fecha de ayer, los había trasladado a las 40 criptodirecciones identificadas en el comunicado del FBI.

El análisis en cadena de TRM del pirateo y el movimiento de fondos posterior al robo confirma la implicación de la RPDC. Los activos ETH y BSC han sido, en su mayor parte, intercambiados por activos nativos descongelables, pero permanecen aparcados. Los activos Polygon/MATIC se intercambiaron y puentearon a través de Squid Router. Estos intercambios generalmente iban de MATIC a USDT o USDC y se trasladaban a Avalanche. En Avalanche, se intercambiaron por BTC envueltos y luego se puentearon a Bitcoin, donde ahora están aparcados. Este tipo de actividad es un sello distintivo de los recientes exploits del Grupo Lazarus.

*La Figura 1 muestra que los hackers movieron rápidamente los fondos robados a través de múltiples divisas y múltiples cadenas, lo que puede verse fácilmente en un gráfico del Graph Visualizer*

‍

*La figura 2 muestra algunos de los intercambios específicos de cadenas cruzadas de AVAX a Bitcoin*

‍

Como se describe en el reciente informe de TRM sobre los robos de criptomonedas de Corea del Norte, el puente Avalanche se ha convertido en el vehículo elegido por los hackers norcoreanos para mover fondos hacia y desde la blockchain de Bitcoin.

Según el FBI, y un informe reciente de TRM, estos mismos actores de la RPDC también son responsables de varios otros ataques a gran escala que roban más de 200 millones de dólares en lo que va de 2023. Según el FBI, esta cantidad incluye, pero no se limita a, aproximadamente $ 60 millones de moneda virtual de Alphapo y CoinsPaid en o alrededor del 22 de julio de 2023, y aproximadamente $ 100 millones de moneda virtual de Atomic Wallet en o alrededor del 2 de junio de 2023. Según TRM, los ciberdelincuentes norcoreanos han robado más de 2.000 millones de dólares en criptomonedas en los últimos cinco años.

El FBI ha proporcionado previamente información al público sobre los ataques de la RPDC contrael puente Horizon de Harmonyy elpuente Ronin de Sky Mavis, y emitió un aviso de ciberseguridad sobre TraderTraitor.Además, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos sancionó al Grupo Lazarus en 2019.

La reciente oleada de anuncios públicos FBI FBI, que confirman la implicación de Corea del Norte en una serie de hackeos, forma parte de un esfuerzo más amplio del gobierno estadounidense por dotar a la industria de los conocimientos necesarios para rechazar, bloquear y congelar los criptoactivos bajo control de Corea del Norte. Al publicar exactamente qué direcciones se sabe que controla Corea del Norte, el FBI está facilitando enormemente a los profesionales del cumplimiento la identificación y el bloqueo de depósitos sospechosos por parte de piratas informáticos norcoreanos.‍

Los ciberdelincuentes norcoreanos siguen evolucionando‍.

Incluso en el último año, las tácticas de blanqueo de Corea del Norte han cambiado. En 2022, los actores norcoreanos tendían a trasladar rápidamente los fondos robados a Tornado Cash, un mezclador basado en Ethereum, ya que la mayoría de los hackeos se producían en Ethereum u otras blockchains EVM. A continuación, los fondos se pasaban a Bitcoin a través de Ren Bridge, donde se volvían a blanquear a través de ChipMixer, un servicio de mezcla de Bitcoin muy popular por aquel entonces.

Sin embargo, Tornado Cash fue objeto de sanciones de la OFAC en agosto de 2022 y ChipMixer fue retirado por las fuerzas de seguridad a principios de este año, lo que dificultó el uso de estos mezcladores por parte de Lazarus Group. Tras las sanciones de Tornado Cash, a principios de este año vimos cómo los fondos del hackeo de Harmony Bridge -inactivos desde su blanqueo inicial a través de Tornado Cash en el verano de 2022- se movían repentinamente a través de una variedad de servicios y se descargaban en aparentes corredores OTC. Este nuevo modelo de blanqueo implica esencialmente la transferencia de fondos a Bitcoin a través de Avalanche Bridge -una alternativa mucho menos costosa y aún funcional a Ren Bridge- y su posterior blanqueo a través de Sinbad, un mezclador de Bitcoin que se ha convertido en el mezclador preferido de los ciberdelincuentes norcoreanos. Desde allí, los hackers norcoreanos suelen volver a mover los fondos a una cadena como Avalanche, como vimos en el hackeo de Stake.com, con posibles desvíos a otras cadenas más oscuras como BTTC, antes de acabar en la blockchain de Tron a través del SWFT Bridge, un servicio de puente de Tron muy popular entre los usuarios de criptomonedas de habla china.

Una vez en Tron, los fondos robados, que casi siempre ya se han convertido a USDT, se liquidan aparentemente con direcciones de gran volumen y valor que parecen ser con toda probabilidad corredores extrabursátiles, probablemente al servicio de criptooperadores chinos ilícitos.

‍Elpapel de la Inteligencia en Blockchain en el seguimiento de los fondos robados por Corea del Norte‍

El hackeo de Stake.com, y el movimiento de fondos posterior al robo, es otro ejemplo de las evolucionadas técnicas de ofuscación de Corea del Norte en un ecosistema de cadenas múltiples y cruzadas. Inteligencia en Blockchain - datos de blockchain enriquecidos con inteligencia sobre amenazas propia y de código abierto - representada por TRM Forensicspermite a los investigadores seguir el rastro del dinero en criptomoneda para, en última instancia, identificar a los actores de la amenaza y confiscar fondos ilícitos, incluidos los fondos robados y blanqueados por Corea del Norte.

En 2019, en respuesta al creciente número de blockchains y al creciente uso de diferentes cadenas por parte de los ciberdelincuentes, TRM Labs introdujimos el análisis de cadenas cruzadas en TRM Forensics, nuestra herramienta de rastreo insignia. Esto permite a los investigadores rastrear fondos de múltiples blockchains y múltiples activos en una sola visualización.

En 2022, TRM identificó el creciente uso del salto de cadena como técnica de ofuscación y presentó TRM Phoenix, la primera solución del sector para rastrear automáticamente el flujo de fondos a través de blockchains mediante puentes y otros servicios.

A medida que Corea del Norte continúa atacando el creciente ecosistema de las criptomonedas, la capacidad de seguir los fondos robados es más crítica que nunca y, a medida que evolucionan las metodologías de blanqueo de Corea del Norte, también deben hacerlo las herramientas en las que se basan los investigadores.

Direcciones identificadas en el comunicado FBI :

0x94f1b9b64e2932f6a2db338f616844400cd58e8a

0xba36735021a9ccd7582ebc7f70164794154ff30e

0xbda83686c90314cfbaaeb18db46723d83fdf0c83

0x7d84d78bb9b6044a45fa08b7fe109f2c8648ab4e

0xff29a52a538f1591235656f71135c24019bf82e5

0x0004a76e39d33edfeac7fc3c8d3994f54428a0be

0xbcedc4f3855148df3ea5423ce758bda9f51630aa

0xe03a1ae400fa54283d5a1c4f8b89d3ca74afbd62

0x95b6656838a1d852dd1313c659581f36b2afb237

0xa2e898180d0bc3713025d8590615a832397a8032

0xa26213638f79f2ed98d474cbcb87551da909685e