Хакерская группировка Lazarus, связанная с КНДР (Северная Корея), давно известна своими масштабными кибератаками, направленными на кражу криптовалют. В этом материале мы расскажем, кто такие Lazarus, их мотивы и методы, а затем проведем аналитический разбор их схем вывода украденных средств на основе последних кейсов.
Обзор группировки Lazarus
Lazarus — это государственная хакерская группа, контролируемая разведывательным бюро КНДР, которое использует кибератаки для финансирования программ разработки оружия массового уничтожения и баллистических ракет. Группа активна с начала 2010-х годов и известна такими атаками, как WannaCry и взломы крупных криптовалютных платформ. За последние годы они сосредоточились на краже криптовалют, украв, по оценкам, более $3 миллиардов с 2018 года. Их методы включают социальную инженерию, фишинг, эксплуатацию уязвимостей и использование миксеров для сокрытия следов.
Цель Lazarus — обойти международные санкции, финансируя режим КНДР через кражи и отмывание денег. Они часто атакуют криптобиржи, DeFi-протоколы и онлайн-платформы, используя сложные схемы для вывода и легализации украденных средств.
Аналитический разбор методов вывода средств Lazarus
Анализ показал, что их подход к сокрытию часто упрощен: они возвращают средства на свои собственные адреса после обработки в миксерах и используют множество почти идентичных транзакций и адресов, что указывает на отсутствие значительных усилий по усложнению схем.
На основе последних кейсов, которые мы рассмотрели, можно выделить ключевые паттерны, используемые Lazarus для сокрытия и вывода украденной криптовалюты.
Кейс 1: Быстрое распределение средств в Bitcoin
В сети Bitcoin (BTC) хакеры перемещают украденные средства между неизвестными адресами. Как показано в первом кейсе, криптовалюта, полученная хакерами, быстро распределяется между несколькими анонимными кошельками без видимой связи с легальными платформами.
Рис.1
Анализ: Визуализация (рис.1) показывает цепочку транзакций с минимальным временем хранения. Такой подход затрудняет отслеживание и указывает на спешку, чтобы избежать обнаружения. Часто это первый шаг перед более сложными операциями.
На что обратить внимание: Отсутствие идентифицируемых отправителей или получателей и быстрые переводы без накопления.
Кейс 2: Использование миксеров в Ethereum
В сети Ethereum (ETH) Lazarus активно использует криптомиксеры, такие как Tornado Cash. Как показано во втором кейсе, средства перемещаются между адресами злоумышленников, а затем отправляются в Tornado Cash, чтобы разорвать связь между отправителем и получателем. Часть средств остается на адресах хакеров для дальнейшего использования.
Рис.2
Анализ: Визуализация (рис. 2) демонстрирует, как средства циркулируют между адресами хакеров и миксером. Это классическая тактика Lazarus для маскировки следов, но она оставляет следы в блокчейне, которые можно отследить с помощью аналитических инструментов.
На что обратить внимание: Связь с миксерами, такими как Tornado Cash, является ключевым индикатором риска, особенно при проверке новых партнёров.
Кейс 3. Взлом платформы азартных игр (USDT по сети ETH)
В третьем кейсе, связанном с USDT по сети ETH, средства выводились с платформы азартных игр на адрес хакера, а затем передавались кошельку, принадлежащему Lazarus Group. Также наблюдались переводы на контракты DEX-платформы Uniswap.
Рис.3
Анализ: Визуализация (рис. 3) показывает, как с платформы азартных игр было украдено $3,9 млн. Переводы на Uniswap указывают на попытку обналичить или обменять активы через децентрализованные биржи. Связь с Lazarus Group подтверждает их участие в организованных схемах.
На что обратить внимание: Проверка контрагентов на наличие связей с азартными платформами или DEX позволяет своевременно обнаружить риск.
Два кейса: Вывод через DEX-платформы для USDC и USDT TRC20
В четвёртом и пятом кейсах (USDC в сети ETH и USDT TRC20) украденные средства передавались на адреса, связанные с хакерами, а затем отправлялись на контракты DEX-платформ. Визуализации (рис. 4 и рис. 5) показывают частичные переводы, подчеркивающие быстрый вывод.
Рис.4
Анализ: Этот метод демонстрирует стратегию быстрого обналичивания через децентрализованные биржи, минимизирующую риск замораживания активов. Lazarus часто использует стейблкоины, такие как USDC и USDT, из-за их стабильности и широкой применимости.
Рис.5
На что обратить внимание: Прямой вывод на DEX без промежуточных шагов и использование «стабильных монет».
Можно ли защититься?
Полностью предотвратить схемы Lazarus невозможно, так как их методы постоянно совершенствуются. Однако их действия можно обнаружить, например, перед транзакцией или сотрудничеством с новым партнером инструменты КоинКит позволяют:
◉ Отслеживать цепочки транзакций в разных блокчейнах, включая Bitcoin, Ethereum и сети стабильных монет;
◉ Выявлять адреса, связанные с хакерами, миксерами, азартными платформами или DEX;
◉ Мониторить поведение адресов в реальном времени для выявления аномалий.
С КоинКит вы сможете снизить риски, избегая подозрительных контрагентов и своевременно реагируя на угрозы.
Вывод
Lazarus Group остается одной из самых опасных угроз для криптоиндустрии, используя сложные схемы для вывода украденных средств. Их методы включают анонимные адреса, миксеры, платформы азартных игр и DEX, что делает отслеживание сложным, но возможным. С помощью инструментов, таких как КоинКит, компании и пользователи могут эффективно защищаться, выявляя подозрительные транзакции и минимизируя риски.
Читайте также «AML и CFT в 2025: Глобальные тренды и вызовы для крипторынка», чтобы знать о нововведениях в криптоиндустрии 2025 года и подробнее разобраться в современных инструментах кибербезопасности.
