Die nordkoreanische Hackergruppe Lazarus scheint ihre Aktivitäten in letzter Zeit intensiviert zu haben und hat seit dem 3. Juni vier Angriffe auf Kryptowährungsunternehmen bestätigt. Nun stehen sie im Verdacht, am 12. September einen fünften Angriff durchgeführt zu haben, dieses Mal auf CoinEx. Als Reaktion darauf gab CoinEx mehrere Tweets heraus, in denen es hieß, dass die verdächtige Wallet-Adresse noch bestätigt werde, sodass der Gesamtwert der gestohlenen Gelder unbekannt sei, derzeit aber auf etwa 54 Millionen US-Dollar geschätzt werde.

Es wurde bestätigt, dass Lazarus in den letzten 104 Tagen fast 240 Millionen US-Dollar an Krypto-Assets von AtomicWallet (100 Millionen US-Dollar), CoinsPaid (37,3 Millionen US-Dollar), Alphapo (60 Millionen US-Dollar) und Stake.com (41 Millionen US-Dollar) gestohlen hat.

Letzter Lazarus-Angriff

Wie oben gezeigt, bestätigte eine Analyse der Sicherheitsagentur Elliptic, dass einige der von CoinEx gestohlenen Gelder an eine Adresse gesendet wurden, die von der Lazarus-Gruppe zum Waschen von von Stake.com gestohlenen Geldern verwendet wurde, allerdings auf einer anderen Blockchain. Die Gelder wurden dann über eine zuvor von Lazarus genutzte Brücke an Ethereum weitergeleitet und dann an eine Adresse zurückgesendet, von der bekannt ist, dass sie von CoinEx-Hackern kontrolliert wird. Ilipu hat beobachtet, wie Lazarus Gelder verschiedener Hacker vermischte, zuletzt als sich die von Stake.com gestohlenen Gelder mit den von AtomicWallet gestohlenen Geldern überschnitten. Diese Fälle, in denen Gelder verschiedener Hacker kombiniert werden, sind im Bild unten in Orange dargestellt.

Angesichts dieser Blockchain-Aktivität und des Mangels an Informationen, die darauf hindeuten, dass der CoinEx-Hack von einer anderen Bedrohungsgruppe durchgeführt wurde, stimmt Illip zu, dass die Lazarus-Gruppe des Diebstahls von CoinEx-Geldern verdächtigt werden sollte.

Fünf Lazarus-Angriffe in 104 Tagen

Im Jahr 2022 wurden Lazarus mehrere hochkarätige Hacks zugeschrieben, darunter die Horizon Bridge von Harmony und die Ronin Bridge von AxieInfinity, die beide in der ersten Hälfte des letzten Jahres stattfanden. Zwischen damals und Juni dieses Jahres wurden Lazarus keine größeren Kryptoheisten öffentlich zugeschrieben. Daher deuten die verschiedenen Hacking-Vorfälle in den letzten 104 Tagen auf eine Zunahme der Aktivitäten nordkoreanischer Bedrohungsgruppen hin.

Am 3. Juni 2023 verloren Benutzer der nicht verwahrten dezentralen Kryptowährungs-Wallet AtomicWallet mehr als 100 Millionen US-Dollar. Am 6. Juni 2023 schrieb Illip den Hack Lazarus zu, nachdem er mehrere Faktoren identifiziert hatte, die darauf hindeuteten, dass eine nordkoreanische Bedrohungsgruppe dafür verantwortlich war. Diese Zuschreibung wurde später vom FBI bestätigt.

Am 22. Juli 2023 verschaffte sich Lazarus durch einen erfolgreichen Social-Engineering-Angriff Zugang zu einem Hot Wallet der Kryptowährungs-Zahlungsplattform CoinsPaid. Der Zugriff ermöglichte es den Angreifern, Autorisierungsanfragen zu erstellen, um etwa 37,3 Millionen US-Dollar an Krypto-Assets aus den Hot Wallets der Plattform abzuheben. Am 26. Juli veröffentlichte CoinsPaid einen Bericht, in dem behauptet wurde, Lazarus sei für den Angriff verantwortlich. Das FBI bestätigte später die Zuschreibung.

Am selben Tag, dem 22. Juli, startete Lazarus einen weiteren aufsehenerregenden Angriff, der dieses Mal auf den zentralisierten Krypto-Zahlungsanbieter Alphapo abzielte und 60 Millionen US-Dollar an Krypto-Assets stahl. Möglicherweise hat sich der Angreifer über einen zuvor geleakten privaten Schlüssel Zugang verschafft. Wie oben erwähnt, schrieb das FBI den Angriff später Lazarus zu.

Am 4. September 2023 wurde das Online-Kryptowährungscasino Stake.com angegriffen und etwa 41 Millionen US-Dollar an virtueller Währung gestohlen, möglicherweise aufgrund gestohlener privater Schlüssel. Das FBI gab am 6. September eine Pressemitteilung heraus, in der es bestätigte, dass die Lazarus-Gruppe hinter dem Angriff steckte.

Schließlich wurde am 12. September 2023 die zentralisierte Kryptowährungsbörse CoinEx gehackt und 54 Millionen US-Dollar gestohlen. Wie oben ausgeführt, deuten mehrere Faktoren darauf hin, dass Lazarus für diesen Angriff verantwortlich ist.

Strategie ändern?

Die Analyse der jüngsten Aktivitäten von Lazarus zeigt, dass sie seit letztem Jahr ihren Schwerpunkt von dezentralen Diensten auf zentralisierte Dienste verlagert haben. Von den fünf kürzlich besprochenen Hacks zielten vier auf zentralisierte Anbieter von virtuellen Asset-Diensten ab. Vor dem rasanten Aufstieg des dezentralen Finanzökosystems (DeFi) waren zentralisierte Börsen bis 2020 das bevorzugte Ziel von Lazarus.

Es könnte mehrere Gründe geben, warum Lazarus sein Augenmerk erneut auf zentralisierte Dienste richtet.

Achten Sie mehr auf die Sicherheit: Yilips frühere Untersuchungen zu DeFi-Hacking-Vorfällen im Jahr 2022 ergaben, dass alle vier Tage ein Exploit stattfand und jedes Mal durchschnittlich 32,6 Millionen US-Dollar gestohlen wurden. Cross-Chain-Bridges waren Anfang 2022 eine relativ neue Serviceform, gehören aber mittlerweile zu den am häufigsten gehackten Arten von DeFi-Protokollen. Diese Trends werden wahrscheinlich zu verbesserten Standards für die Prüfung und Entwicklung intelligenter Verträge führen und den Spielraum für Hacker einschränken, Schwachstellen zu identifizieren und auszunutzen.

Anfällig für Social Engineering: Bei vielen Hacking-Angriffen war Social Engineering die bevorzugte Angriffsmethode der Lazarus Group. Beispielsweise wurde der 540-Millionen-Dollar-Hack von RoninBridge durch gefälschte Stellenausschreibungen auf LinkedIn verursacht. Dennoch verfügen dezentrale Dienste in der Regel über eine kleinere Belegschaft und sind, wie der Name schon sagt, in unterschiedlichem Maße dezentralisiert. Daher ist die Erlangung böswilligen Zugriffs auf einen Entwickler nicht unbedingt dasselbe wie die Erlangung administrativen Zugriffs auf einen Smart Contract.

Gleichzeitig dürften zentralisierte Börsen über eine größere Mitarbeiterzahl verfügen, was den Kreis möglicher Ziele erweitert. Möglicherweise nutzen sie auch zentralisierte interne Informationstechnologiesysteme, wodurch die Lazarus-Malware eine größere Chance hat, in die beabsichtigten Funktionen ihres Unternehmens einzudringen.