أعلنت دائرة الشرطة النرويجية Økokrim أنها صادرت 60 مليون كرونة نرويجية (حوالي 5.84 مليون دولار) من العملات المشفرة التي سرقتها مجموعة Lazarus في مارس 2022 بعد اختراق Axie Infinity Ronin Bridge.
وقالت الوكالة في بيان: "توضح هذه القضية أنه حتى عندما يستخدم المجرمون أساليب متقدمة، لدينا القدرة على تتبع الأموال على blockchain".
يأتي هذا التطور بعد أكثر من 10 أشهر من اتهام وزارة الخزانة الأمريكية لمجموعة قرصنة مدعومة من كوريا الشمالية بسرقة 620 مليون دولار من معبر رونين.
بعد ذلك، في سبتمبر 2022، أعلنت الحكومة الأمريكية عن استرداد أكثر من 30 مليون دولار من العملات المشفرة، أو 10٪ من الأموال المسروقة.
وقالت شركة Cocrim إنها عملت مع شركاء دوليين في إنفاذ القانون لتعقب الأموال وتجميعها لجعل غسل الأموال أكثر صعوبة على المجرمين.
وهذا يزيد الأموال التي يمكن أن تدعم كوريا الشمالية وبرنامج أسلحتها النووية. لذلك، من المهم تتبع العملات المشفرة ومحاولة إيقاف الأموال عندما يحاولون سحب الأموال من الأصول المادية.
تأتي التطورات في الوقت الذي جمدت فيه بورصات العملة المشفرة Binance و Huobi حسابات تحتوي على حوالي 1.4 مليون دولار من العملات الرقمية الناتجة عن اختراق Harmony's Horizon Bridge في يونيو 2022.
سمح الهجوم، الذي تم إلقاء اللوم فيه أيضًا على مجموعة لازاروس، للمهاجمين بغسل بعض عائداتهم من خلال تورنادو كاش، والتي وافقت عليها الحكومة الأمريكية في أغسطس 2022.
في الأسبوع الماضي، قالت شركة Elliptic لتحليلات blockchain إن الأموال المسروقة كانت خاملة حتى وقت قريب، عندما بدأ محققونا في رؤيتها تدخل التبادلات من خلال سلاسل معقدة من المعاملات.
بالإضافة إلى ذلك، وفقًا لتوم، هناك مؤشرات على أن Blender - وهو خلاط آخر للعملات المشفرة تمت الموافقة عليه في مايو 2022 - ربما تم إحيائه تحت اسم Sinbad، والذي قام بغسل ما يقرب من 100 مليون دولار من Lazarus Group hack bitcoins. .
وبحسب الشركة، فإن الأموال المسحوبة بعد سرقة جسر هورايزون تم غسلها من خلال سلسلة معقدة من المعاملات تشمل التبادلات والجسور والخلاطات.
تم استخدام Tornado Cash مرة أخرى، ولكن بدلاً من Blender، تم استخدام خلاط Bitcoin آخر: Sinbad.
على الرغم من أن الخدمة لن يتم إطلاقها إلا في أوائل أكتوبر 2022، فمن المقدر أنها ربحت عشرات الملايين من الدولارات من Horizon وجهود القرصنة الأخرى المتعلقة بكوريا الشمالية.
كشفت Chainalysis في وقت سابق من هذا الشهر أنه خلال فترة الشهرين من ديسمبر 2022 إلى يناير 2023، أرسلت مجموعة الدولة ما مجموعه 1429.6 عملة بيتكوين، بقيمة حوالي 24.2 مليون دولار، إلى الخلاطين.
هناك أدلة على أن سندباد قد أعاد تسمية العلامة التجارية للخلاط، نتيجة تداخل عناوين المحفظة المستخدمة، وارتباطاتها بروسيا، والقواسم المشتركة في طريقة عمل الخلاطين.
وفقًا لـ Elliptic، يُظهر تحليل معاملات blockchain أن محفظة Bitcoin المستخدمة لدفع الفرد الذي يروج لـ Sinbad نفسه قد تلقى عملة البيتكوين من محفظة مشغل Blender المزعومة.
يُظهر تحليل معاملات blockchain أن جميع المعاملات المبكرة تقريبًا في سندباد (حوالي 22 مليون دولار) جاءت من محافظ مشغلي Blender المشبوهين.
قال مبتكر السندباد، الذي يحمل الاسم المستعار مهدي، لـ WIRED إن الخدمة أطلقت استجابة لتزايد مركزية العملات المشفرة وأنه مشروع خصوصية شرعي، على غرار Monero و Zcash و Wasabi و Tor.
تأتي هذه النتائج في الوقت الذي تقف فيه كيانات الرعاية الصحية على مفترق طرق لموجة جديدة من هجمات برامج الفدية التي دبرها ممثلو شركة Lazarus لتوليد إيرادات غير مشروعة للبلدان المتضررة من العقوبات.
وفقًا لتقرير استشاري مشترك صدر عن البلدين، تم استخدام أرباح هذه الهجمات ذات الدوافع المالية لتمويل أنشطة إلكترونية أخرى، بما في ذلك مراقبة وزارات الدفاع وشركات القاعدة الصناعية الدفاعية في كوريا الجنوبية والولايات المتحدة.
لكن تطبيق القانون لم يحد بعد من فورة الهجمات المتكررة التي يقوم بها الفاعل، والتي تستمر في التطور مع السلوكيات الجديدة.
كما تم الكشف في تقرير صدر مؤخرًا عن مركز الاستجابة للطوارئ الأمنية AhnLab (ASEC)، فإن هذا يتضمن تقنيات مختلفة لمكافحة الطب الشرعي مصممة لإزالة آثار الاقتحام وعرقلة التحليل.
وفقًا لباحثي ASEC، نفذت Lazarus Group ما مجموعه ثلاث تقنيات: إخفاء البيانات، ومسح القطع الأثرية، وتشويش القناة.