Gli Stati Uniti prendono provvedimenti legali per sequestrare criptovalute rubate agli hacker nordcoreani

Gli Stati Uniti sono all'inseguimento degli hacker nordcoreani che hanno rubato oltre 2,67 milioni di dollari in criptovalute. Il 4 ottobre, il governo ha presentato due denunce per il sequestro di queste criptovalute rubate.

L'obiettivo? Il famigerato Lazarus Group, un gruppo di hacker legato al governo nordcoreano. I fondi in questione sono stati sottratti da due grandi furti di criptovalute.

1,7 milioni di dollari in USDT dall'attacco informatico a Deribit del 2022 e 970.000 dollari in Bitcoin (BTC.b) con Avalancheda Stake.com nel 2023.

La tradizione di Lazzaro

Il gruppo Lazarus ha hackerato aziende e rubato milioni di dollari almeno dal 2009.

Tutto è iniziato con attacchi di alto profilo come l'attacco hacker alla Sony Pictures del 2014 e la rapina alla Bangladesh Bank del 2016. Ora, l'attenzione si concentra sulle criptovalute. 

Gli analisti stimano che dal 2017 il gruppo abbia incassato tra i 3 e i 4,1 miliardi di dollari dalle aziende di criptovalute.

L'attacco hacker a Deribit è stato classic del Lazarus Group. Ha violato un hot wallet e ha sottratto 28 milioni di dollari in criptovalute. Dopo aver rubato i fondi, ha utilizzato Tornado Cash per nascondere le sue trac.

Il Lazarus Group ha quindi spostato la criptovaluta attraverso diversi indirizzi Ethereum per rendere le cose ancora più difficili da trac.

Nonostante il gruppo abbia utilizzato mixer e indirizzi multipli, le forze dell'ordine sono rimaste sulle loro tracce. Ora vogliono recuperare almeno 1,7 milioni di dollari degli USDT rubati.

Tracdi furto di criptovalute

Il gruppo Lazarus, noto anche come APT38 o Bluenoroff, è noto per i suoi attacchi informatici e i furti di criptovalute. Il gruppo è altamente qualificato e dispone di strumenti su misura per ogni obiettivo. 

Ciò che è sconvolgente è l'enorme portata delle operazioni del gruppo. I report di società di analisi come Chainalysis e TRM Labs mostrano chiaramente l'entità dei danni causati dagli hacker.

Si stima che Lazarus abbia rubato tra i 3 e i 4,1 miliardi di dollari dal 2017, principalmente dagli exchange. Nell'agosto 2023, hanno preso il controllo del portafoglio deployer di Steadefie hanno prosciugato 1,2 milioni di dollari in criptovalute.

Questo attacco è stato un esempio di ingegneria sociale all'ennesima potenza. Un membro del team di Steadefi ha scaricato un file dannoso da qualcuno che si spacciava per un gestore di fondi su Telegram.

In un altro attacco, la piattaforma Coinshift ha perso oltre 900.000 dollari in Ethereum (ETH) e, proprio come con Deribit, Steadefi e il resto, gli hacker hanno riciclato le criptovalute rubate tramite Tornado Cash.

Ciò che è ancora più interessante è la loro velocità operativa. Il 23 agosto, gli hacker di Steadefi e Coinshift hanno effettuato depositi nel pool Tornado Cash da 100 ETH a distanza di pochi minuti l'uno dall'altro.

Una volta convertiti i fondi in stablecoin, gli hacker di Lazarus utilizzano gli scambi peer-to-peer (P2P) per trasformare le criptovalute rubate in cash.

Paxful e Noones, due popolari piattaforme P2P, hanno avuto un ruolo chiave in questo processo. Secondo le denunce statunitensi, l'indirizzo di deposito Paxful di Lazarus Group (0x2465) è stato coinvolto in diversi attacchi informatici, tra cui quelli ai danni di EasyFi, Bondly e Nexus Mutual.

In risposta a questi attacchi informatici, sono state intraprese diverse azioni per bloccare i fondi rubati. Nel novembre 2023, Tether ha inserito nella blacklist 374.000 dollari in USDT collegati a Lazarus.

Allo stesso tempo, altri exchange centralizzati hanno congelato una quantità non rivelata di criptovalute. Entro il quarto trimestre del 2023, tre dei quattro principali emittenti di stablecoin avevano inserito nella lista nera un totale di 3,4 milioni di dollari legati a Lazarus.

Tuttavia, nonostante questi sforzi, Lazarus continua a evolversi e ad adattarsi, diventando una minaccia persistente nel settore.