A je to tady. Domněnka, se kterou přišli blockchainoví forenzní specialisté, jako je výzkumník říkající si ZachXBT, se ukázala jako pravdivá. Za největší kyberútok na kryptoburzu v historii jsou zodpovědní severokorejští hackeři z Lazarus Group, vyplývá z oficiálního stanoviska amerického Federálního úřadu pro vyšetřování (FBI).
Americká vládní agentura vydala oznámení pro veřejnost, kde spojila rekordní hackerský útok na dubajskou kryptoburzu Bybit provedený skrze kompromitované cloudové úložiště (Amazon S3 bucket) krypto peněženky Safe{Wallet} se severokorejskými hackery.
Hovoří přitom o skupině „TraderTraitor“, což je označení škodlivého malwaru, který skupina s oblibou používá. Tento profil odpovídá elitní severokorejské státem sponzorované skupině, známé také jako Lazarus Group (případně APT38, BlueNoroff a Stardust Chollima).
Na začátek připomeňme, že hackerský útok, při kterém zmizel z burzovní cold wallet peněženky ether (přes 400 tisíc ETH) a jeho deriváty v hodnotě přibližně 1,5 miliardy dolarů před současnou cenovou korekcí, překonává předchozího nelichotivého rekordmana z roku 2022 – útok na Ronin Bridge společnosti Sky Mavis – o více než dvojnásobek.
Částka také pomalu dotahuje souhrnné 2,2 miliardy dolarů, což je hrubý součet všech podobných úspěšně provedených útoků v loňském roce.
Elitní jednotka totalitního státu
Co jsou zač pověstní a obávaní severokorejští hackeři?
Bezpečnostní výzkumník ZachXBT, který jako první spojil útok se severokorejskými útočníky, označil jako pravděpodobného viníka skupinu Lazarus Group. Tuto tezi později potvrdila také forenzní blockchainová platforma Arkham Intelligence a velká část průmyslu převzala tuto informaci jako fakt ještě před aktuálním závěrem FBI.
„Dnes v 19.09 UTC předložil @zackxbt definitivní důkaz, že tento útok na Bybit provedla skupina Lazarus Group,“ uvedla v sobotu na síti X firma Arkham Intelligence, která výzkumníka za objev odměnila nižšími desítkami tisíc dolarů ve vlastních tokenech ARKM.
Generální ředitel burzy Bybit Ben Zhou následně vyhlásil „Lazaru válku“ a úterý 25. února otevřel program pro lovce odměn, Lazarusbounty, ve kterém nabídl 140 milionů dolarů pro kohokoli, kdo pomůže vypátrat nebo zmrazit ukradené prostředky.
Detaily jsou k nahlédnutí na webu Lazarusbounty.com a slibuje pět procent z ukradených prostředků za jejich vystopování a deset procent těm, kdo je pomohou zmrazit. Zatím bylo z programu rozděleno lehce přes 4,2 milionu dolarů a odhadované prostředky, které se podařilo zmrazit, dělají zhruba 100 milionů dolarů.
Pokud se jedná skutečně o Lazarus, jsou to staří dobří známí a elitní jednotka totalitního státu. Skupina Lazarus Group (pokročilá trvalá hrozba APT 38) operuje totiž již od roku 2009 a stojí za ní údajně přímo hlavní severokorejská rozvědka – Reconnaissance General Bureau, také známá jako Chongch’al Ch’onggu.
Pokud si ale představíte partičku hackerů jako například ze seriálu Mr. Robot, tak vás musíme zklamat, je to ve skutečnosti spíše korporace. Spolu s dalšími skupinami takto severokorejský režim zaměstnává minimálně 7000 hackerů.
Lazarus se dnes zaměřuje téměř výhradně na krypto, ale dlouho tomu tak nebylo. Na chuť přišel kryptoměnám teprve v roce 2017. Skupina se z počátku specializovala na útoky vedené na Jižní Koreu a USA, dnes ale operuje všude po světě.
Vedle čistě hackerských technik je skupina nechvalně proslulá hlavně využíváním technik sociálního inženýrství: vydávají se například za pracovníky technické podpory a přimějí uživatele, aby jim sdělili nějaké bližší informace k jejich účtům.
Chainalysis v reportu z roku 2022 tvrdí, že skupina objevila zlatou žílu v kryptoměnách kolem roku 2018 a od té doby ukradla a vyprala každoročně kryptoaktiva v průměru za 200 milionu dolarů.
Mezi nejúspěšnější historické akce skupiny patřil hack kryptoměnové burzy KuCoin z léta 2020, kdy skupina z burzy ukradla nespecifikovaná kryptoaktiva v hodnotě 280 milionů dolarů, v roce 2024 pak útočníci spojení se Severní Koreou odcizili z japonské burzy kryptoměn DMM Bitcoin přibližně 4 502,9 bitcoinu v tehdejší hodnotě 305-8 milionů dolarů. Burza incident neustála a musela zamířit do likvidace.
Očista
Pokud jde o současný útok, skupina se podle FBI momentálně soustřeďuje na převod ukradených prostředků napříč různými blockchainy. „Aktéři postupují rychle a část ukradených aktiv převedli na bitcoiny a další virtuální aktiva rozptýlená na tisících adresách v různých blockchainech. Očekává se, že tato aktiva budou dále propírána a nakonec převedena na fiat měnu,“ uvedli vyšetřovatelé.
Pokud budou útočníci postupovat podle obvyklého manuálu, prostředky, které se pomocí převodů chrání před hrozbou jejich zmrazení a komplikují vystopovatelnost, zde budou nějaký čas vyčkávat, až utichne největší humbuk, a následně se je hackeři pokusí definitivně vyprat převodem na hotovost.
To ale může trvat i léta. Velké množství kryptoměn totiž hackerům komplikuje praní prostředků, které je na blockchainu dobře vidět, a navíc může být problém sehnat vůbec dostatečně likvidní decentralizované burzy a následné partnery pro finální konverzi.
Základní schéma procesu praní vypadá následovně. V případě ERC-20 tokenů a méně významných altcoinů dojde nejprve k jejich výměně za ether prostřednictvím decentralizované burzy, následně je pořízený ether prohnán mixérem a opět na decentralizované burze směněn, tentokrát za bitcoin.
Následně je pro změnu mixovací službou prohnán bitcoin a postupně konsolidován na nových „čistých“ adresách. Konsolidované bitcoiny odsud míří na klasické centralizované kryptoměnové východní burzy, zpravidla v Asii, odkud může potenciálně probíhat výběr prostředků nebo další krok v očistném procesu – kryptoměny, které projdou burzou, totiž ztrácejí svoji původní problematickou historii.
Zločin v popisu práce
Hackeři z Lazarus Group samozřejmě neprovádějí podobné útoky jen z čisté zločinecké zvědavosti nebo technologického nadšení. Jejich aktivity jsou součástí širší strategie severokorejského režimu, který se snaží získat finanční prostředky, jež zoufale potřebuje kvůli tvrdým mezinárodním sankcím.
Režim diktátora Kim Čong-una čelí ekonomickým omezením, které mu brání v přístupu k zahraničním měnám a obchodním trhům, a tak se obrací k nelegálním metodám, jak získat kapitál na financování svého jaderného programu, vojenského výzkumu i samotného fungování státního aparátu.
Lazarus Group tak funguje de facto jako kybernetická odnož severokorejské státní ekonomiky – její útoky na kryptoměnové burzy, směnárny a finanční instituce nejsou jen běžným kyberzločinem, ale pečlivě koordinovanou součástí státní politiky, která se snaží udržet diktaturu nad vodou za jakoukoli cenu.
