هجمات سرقة العملات المشفرة مرتبطة باختراق LastPass عام 2022

ربطت شركة TRM Labs المتخصصة في تحقيقات تقنية البلوك تشين عمليات سرقة العملات المشفرة المستمرة باختراق LastPass الذي حدث في عام 2022. ووفقًا للتقارير، قام المهاجمون بسحب الأموال من المحافظ الإلكترونية لسنوات بعد سرقة الخزائن المشفرة وغسل الأصول الرقمية من خلال منصات التداول الروسية.

في عام 2022، أكدت LastPass اختراق أنظمتها من قبل مهاجمين عبر اختراق بيئة تطوير البرمجيات. وأضافت المنصة أن المجرمين سرقوا أجزاءً من شفرة المصدر الخاصة بالشركة ومعلومات تقنية سرية. وفي حادثة أخرى ذات صلةdentاستخدم المخترقون المسروقةdentلاختراق شركة التخزين السحابي GoTo، وسرقوا نسخًا احتياطية من قاعدة بيانات LastPass المخزنة على المنصة. بالنسبة لبعض المستخدمين، احتوت الخزنة على بيانات الاعتماد المخزنةdentخاصة وعبارات استعادة لمحفظة العملات الرقمية.

هجمات سرقة العملات المشفرة مرتبطة باختراق LastPass

خلال عملية الاختراق، ادّعت LastPass أن خزائنها مشفرة. مع ذلك، كان المستخدمون الذين يستخدمون كلمات مرور رئيسية ضعيفة أو مُعاد استخدامها عُرضةً للاختراق دون اتصال بالإنترنت، وهو ما تعتقد مختبرات TRM أنه مستمر منذ وقوع الاختراق. وحذّرت LastPass عند كشفها عن الاختراق قائلةً: "اعتمادًا على طول كلمة مرورك الرئيسية ومدى تعقيدها، بالإضافة إلى عدد مرات تكرارها، قد تحتاج إلى إعادة تعيينها".

أكدت الخدمة السرية الأمريكية العام الماضي وجود صلة بين اختراقات LastPass وسرقة العملات المشفرة، وذلك بعد أن صادرت أكثر من 23 مليون دولار من العملات المشفرة، وأوضحت أن المهاجمين حصلوا على المفاتيح الخاصة لضحاياهم من خلال فك تشفير بيانات الخزائن المسروقة في اختراق لبرنامج إدارة كلمات المرور. وأشارت ملفات المحكمة أيضًا إلى عدم وجود أي دليل على اختراق أجهزة الضحايا عبر برامج خبيثة أو عمليات تصيد احتيالي.

ربطت شركة TRM Labs في تقريرها عمليات سرقة العملات الرقمية المستمرة بإساءة استخدام خزائن LastPass المشفرة التي سُرقت عام 2022. فبدلاً من أن يسارع المخترقون إلى استنزاف جميع المحافظ بعد الاختراق، نُفذت عمليات السرقة على دفعات، بعد أشهر أو سنوات من وقوعdent . كما يُظهر التقرير أن المهاجمين كانوا يفكّون تشفير الخزائن تدريجياًtracبياناتdentالمخزنة. إضافةً إلى ذلك، استُخدمت أساليب معاملات مماثلة لاستنزاف المحافظ.

أشارت مختبرات TRM أيضًا إلى أن الأسلوب المُستخدم خلال الاختراق أظهر أن المخترقين كانوا يمتلكون المفاتيح الخاصة قبل عمليات السرقة. وقالت TRM: "لا يعتمد الربط الوارد في التقرير على إسناد مباشر لحسابات LastPass الفردية، بل على ربط النشاط اللاحق على سلسلة الكتل بنمط التأثير المعروف لاختراق عام 2022". وأوضحت المنصة أنها ابتكرت سيناريو يحدث فيه اختراق المحفظة في المستقبل، وليس مباشرةً بعد وقوع الاختراق.

تسلط شركة TRM Labs الضوء على استخدام ميزة CoinJoin الخاصة بـ Wasabi

أشارت المنصة أيضًا إلى أن بحثها استند في البداية إلى عدد قليل من التقارير، بما في ذلك عدة بلاغات قُدّمت إلى Chainabuse، حيثdentالمستخدمون اختراق LastPass كطريقة استخدمها المخترقون لسرقة محافظهم. وقد كثّف الباحثون تحقيقاتهم،dentسلوك معاملات العملات المشفرة في حالات أخرى، وربطوه في النهاية بحملة سرقة البيانات.

أضافت شركة TRM أنها تمكنت من tracالأموال حتى بعد أن قام المهاجمون بخلطها باستخدام ميزة CoinJoin في محفظة Wasabi. CoinJoin هي تقنية لحماية خصوصية Bitcoin ، حيث تجمع جميع معاملات المستخدمين المتعددين في معاملة واحدة، مما يصعب معه تحديد أي مدخلات تقابل أي مخرجات. تعمل هذه الميزة على إخفاء المعاملات دون استخدام خدمة خلط تقليدية.

بعد استنزاف محافظ العملات الرقمية، يقوم المخترقون عادةً بتحويل الأصول المسروقة إلى Bitcoin، ثم يمررونها عبر محفظة واسابي، ويحاولون إخفاء آثارهم tracهذه الخاصية. مع ذلك، ذكرت شركة TRM أنها تمكنت من فصل بيانات Bitcoin المرسلة باستخدام خاصية CoinJoin من خلال تحليل خصائص سلوكية، مثل بنية المعاملة وتوقيتها وخيارات إعدادات المحفظة. كما تمكنت من مطابقة أنماط الإيداع مع أنماط السحب التي تتطابق مع سرقة العملات الرقمية.