Nordkoreanische staatlich verbundene Hacker, bekannt als Lazarus, werden verdächtigt, Kryptowährungen aus dem South Korean exchange Upbit Land gestohlen zu haben. Die Behörden in Südkorea gaben an, dass sich die unautorisierten Abhebungen auf etwa 30 Millionen US-Dollar beliefen. Die Börse entdeckte den Rückzug an einem Donnerstag und begann, mit den Aufsichtsbehörden zusammenzuarbeiten, um die Ursache des Verfalls zu identifizieren. Ermittler, die das Ereignis untersuchten, sagten, die Methode bei der Eindringung ähnelt einem früheren Angriff auf Upbit im Jahr 2019.
Die Hacker entfernten digitale Vermögenswerte von der Börse und überwiesen die Gelder über mehrere Kryptowährungs-Wallets. Die schnelle Bewegung der gestohlenen Gelder hat es erschwert, die Vermögenswerte zurückzuerlangen. Das nach dem Diebstahl beobachtete Bewegungsmuster spiegelt das Verhalten wider, das in früheren Fällen im Zusammenhang mit Lazarus beschrieben wurde, darunter schnelle Überweisungen zwischen Wallets und die Nutzung mehrerer Zwischenkonten.
Upbit meldete die Störung kurz nach der Identifizierung der unautorisierten Transaktionen. Das Unternehmen begann, interne Zugriffskontrollen und Transaktionsprotokolle zu überprüfen, um herauszufinden, wie die Angreifer Zugang erhielten. Details zum Einstiegspunkt wurden bisher noch nicht veröffentlicht. Der Vorfall warf Fragen auf, ob die Angreifer kompromittierte Zugangsdaten nutzten oder Schwachstellen in Kontozugriffssystemen ausnutzten.
Lazarus ist seit mehreren Jahren mit groß angelegten Kryptowährungsdiebstählen in Verbindung gebracht. Frühere Vorfälle, die mit der Gruppe in Verbindung stehen, umfassen den Verlust digitaler Vermögenswerte von anderen Börsen und von blockchain-basierten Diensten. Das vermutete Motiv dieser Vorfälle ist der Erwerb von Fremdwährung für die nordkoreanische Regierung, die internationalen Sanktionen ausgesetzt ist, die finanzielle Aktivitäten einschränken.
Der Datenverstoß von 2019 mit Upbit führte zu einem Verlust von etwa 40 Millionen US-Dollar. Die Behörden stellten fest, dass die im jüngsten Fall beobachtete Aktivität Merkmale mit diesem früheren Ereignis aufweist. Diese Ähnlichkeiten haben zu dem Verdacht beigetragen, dass dieselbe Gruppe den jüngsten Diebstahl verübt hat.
Nach öffentlichen Berichten über den Einbruch sank der Aktienkurs der Muttergesellschaft von Upbit. Investoren reagierten auf Bedenken hinsichtlich möglicher regulatorischer Folgen und deren Auswirkungen auf das Kundenvertrauen. Upbit sagte, es werde weiterhin interne Maßnahmen verstärken und während der Untersuchung mit Regierungsbehörden kooperieren.
Die Behörden überprüfen Blockchain-Datensätze und verfolgen die Bewegungen von Geldern, um die beteiligten Geldbörsen zu identifizieren. Frühere Untersuchungen mit Lazarus haben gezeigt, dass die Gruppe häufig gestohlene Gelder über viele Adressen verteilt, um ihren Weg zu verbergen. Diese Taktik kann die Bemühungen erschweren, herauszufinden, wo die Mittel letztlich gelagert werden.
Nutzern von Kryptowährungsbörsen wird geraten, vorsichtig zu sein, wo sie ihre Vermögenswerte lagern. Das Halten von Geldmitteln in börsenbasierten Wallets kann Nutzer Verlusten aussetzen, wenn eine Plattform kompromittiert wird. Cold Storage Optionen schützen Nutzer, die keinen sofortigen Zugriff auf ihre Vermögenswerte benötigen.
Die mutmaßliche Beteiligung von Lazarus am Upbit-Diebstahl unterstreicht das Ausmaß der von staatlich verbundenen Hackergruppen durchgeführten Operationen. Diebstahl digitaler Vermögenswerte bleibt eine erhebliche Bedrohung für Kryptowährungsmärkte und für Nutzer, die Vermögenswerte auf zentralisierten Plattformen lagern.