Noord-Koreaanse staatsgebonden hackers, bekend als Lazarus, worden verdacht van het stelen van cryptocurrency van de South Korean exchange Upbit . De autoriteiten in Zuid-Korea zeiden dat ongeautoriseerde opnames ongeveer 30 miljoen USD bedroegen. De beurs ontdekte de terugtrekking op donderdag en begon samen te werken met toezichthouders om de bron van het lek te achterhalen. Onderzoekers die het incident onderzochten, zeiden dat de gebruikte methode bij de inbraak lijkt op een eerdere aanval op Upbit in 2019.
De hackers verwijderden digitale activa van de beurs en maakten de fondsen over via verschillende cryptowallets. De snelle verplaatsing van de gestolen gelden heeft het moeilijk gemaakt om de bezittingen terug te krijgen. Het patroon van bewegingen dat na de diefstal werd waargenomen, weerspiegelt gedrag dat in eerdere gevallen met betrekking tot Lazarus werd beschreven, waaronder snelle overboekingen tussen portemonnees en het gebruik van meerdere tussenliggende rekeningen.
Upbit meldde de inbraak kort nadat hij de ongeautoriseerde transacties had geïdentificeerd. Het bedrijf begon interne toegangscontroles en transactielogboeken te beoordelen om te bepalen hoe de aanvallers toegang hadden gekregen. Er zijn nog geen details vrijgegeven over het toegangspunt. Het incident riep vragen op of de aanvallers gecompromitteerde inloggegevens gebruikten of misbruikten van zwakke plekken in accounttoegangssystemen.
Lazarus wordt al enkele jaren geassocieerd met grootschalige cryptodiefstal. Eerdere incidenten die met de groep verband houden, omvatten het verlies van digitale activa van andere beurzen en van blockchain-gebaseerde diensten. Het vermoedelijke motief bij deze incidenten is de verwerving van vreemde valuta voor de Noord-Koreaanse regering, die internationale sancties ondervindt die financiële activiteiten beperken.
De datalek in 2019 waarbij Upbit betrokken was, resulteerde in een verlies van ongeveer 40 miljoen USD. De autoriteiten merkten op dat de activiteit die in het laatste geval werd waargenomen kenmerken vertoont met dat eerdere voorval. Deze overeenkomsten hebben bijgedragen aan de verdenking dat dezelfde groep de recente diefstal heeft gepleegd.
Na openbare berichten over de inbraak daalde de aandelenkoers van het moederbedrijf van Upbit. Beleggers reageerden op zorgen over mogelijke regelgevende gevolgen en het effect op het vertrouwen van de klant. Upbit zei dat het interne maatregelen blijft versterken en dat het tijdens het onderzoek samenwerkt met overheidsinstanties.
Autoriteiten beoordelen blockchaingegevens en traceren de bewegingen van fondsen om de betrokken portemonnees te identificeren. Eerdere onderzoeken met Lazarus hebben aangetoond dat de groep vaak gestolen gelden via verschillende adressen verspreidt om hun pad te verbergen. Deze tactiek kan het bemoeilijken om te bepalen waar het geld uiteindelijk wordt opgeslagen.
Gebruikers van cryptocurrencybeurzen wordt geadviseerd voorzichtig te zijn met waar ze hun activa opslaan. Het aanhouden van geld in beursgebaseerde wallets kan gebruikers blootstellen aan verliezen als een platform wordt gecompromitteerd. Cold storage-opties beschermen gebruikers die geen directe toegang tot hun activa nodig hebben.
De vermoedelijke betrokkenheid van Lazarus bij de Upbit-diefstal onderstreept de omvang van de operaties van staatsgebonden hackinggroepen. Diefstal van digitale activa blijft een aanzienlijke bedreiging voor cryptomarkten en voor gebruikers die activa op gecentraliseerde platforms opslaan.