Hacker met een laptop voor zich en de Noord-Koreaanse vlag achter zich

Lazarus groep: wie zijn ‘s werelds bekendste crypto hackers

Zeggen de namen John Dillinger, Lester M. Gillis, a.k.a “Baby Face” Nelson, Bonnie Parker, Clyde Barrow en Stanley Mark Rifkin je iets? Nee, niet echt of misschien?

De eerste vier zijn beruchte bankovervallers in Amerika tijdens de Amerikaanse 'Great depression' en de laatste was de eerste computer crimineel in de Verenigde Staten.

Laten we het dan bij Nederland houden. De eerste bekende bankroof in Nederland vond plaats in Winschoten in 1916. De dader, een boerenknecht uit de omgeving, slaagde er niet in en er vielen 3 gewonden.

Tijdens de Tweede Wereldoorlog vond de grootste bankroof ooit in Nederland plaats. Leden van het verzet pleegden een overval op een kantoor van de Nederlandsche Bank in Almelo en wisten met maar liefst 46 miljoen gulden weg te komen op 15 november 1944.

Na de Tweede Wereldoorlog had Tilburg de eer om in 1965 de eerste succesvolle zware bankoverval in hun stad te hebben en er werd 900.000 gulden buitgemaakt door professionele Franse en Belgische overvallers.

Sindsdien zijn we de tel een beetje kwijtgeraakt.

Hieronder is een nostalgische video over de bankoverval in Tilburg in 1965.

In de jaren 1980 was er in België nog de Bende van Nijvel, al overvielen die vooral supermarkten en lieten ze een behoorlijk bloederig spoor achter.

Tegenwoordig zijn bankovervallen niet meer zo lucratief. Een veel populairder doelwit zijn crypto exchanges. We hebben een blog over alle ons bekende exchange hacks geschreven en de lijst is lang en er komen haast maandelijks nieuwe gehackte exchanges bij.

In die lijst is er één naam die opvalt omdat je hem vaker tegenkomt: de Lazarus groep. Dit is een collectief van schijnbaar Noord-Koreaanse hackers die over de hele wereld, onder diverse namen, banken, firma's en dus ook crypto exchanges hacken. En precies deze jongens van de Lazarus groep gaan we eens onder de loep nemen. Wat doen ze, hoe doen ze het, wie zijn het en wat zijn de achterliggende beweegredenen, dit zijn maar een paar van de onderwerpen die we zullen proberen te doorgronden.

Zet je computerbeveiliging op het hoogste niveau, dan kunnen we beginnen.

Eerst is er nog een video die het over de Lazarus groep heeft en over hun banden met crypto exchanges.

Bekijk snel

Wat is de Lazarus groep?

Van de Lazarus groep is niet heel veel bekend, maar er wordt van uitgegaan dat ze een groep computer hackers zijn die in opdracht van de Noord-Koreaanse regering cyberaanvallen uitvoeren. Onder die cyberaanvallen kun je aan banken, firma's en crypto exchanges denken, maar ook aan Zuid-Koreaanse bedrijven en overheidsinstanties. Hun eerste bekende activiteiten begonnen rond 2009 met een cyber-spionage campagne die ook bekend is als 'Operatie Troy'. Hier ging het vooral over 'distributed denial-of-service' of DDoS aanvallen op de Zuid-Koreaanse regering. Deze aanvallen duurden tot 2012. Dit waren de eerste stapjes en ze waren nogal ongekunsteld. Hun technieken zijn in de loop der jaren wel verfijnder geworden.

Hieronder is een grafiek van de totale gestolen waarde van de Lazarus groep tegenover de waarde van alle gestolen crypto.

Image
Grafiek van Lazarus waarde van gestolen geld tegenoer totale waarde
Screenshot van Chainalysis

Al snel gingen ze over op het grovere werk en digitale bankovervallen kwamen en gingen. 12 miljoen US-dollar van een bank in Ecuador in 2012 en 1 miljoen US-dollar van een Vietnamese bank in 2015. De klapper kwam in 2016 toen ze bij de Bangladesh Bank bijna 1 miljard US-dollar buitmaakten. Via het SWIFT-netwerk werden 35 frauduleuze instructies uitgegeven. Vijf van de vijfendertig frauduleuze instructies waren succesvol in het overmaken van 101 miljoen US-dollar, waarvan 20 miljoen US-dollar naar Sri Lanka en 81 miljoen US-dollar naar de Filipijnen werden getraceerd.

De Federal Reserve Bank of New York blokkeerde de resterende dertig transacties, voor een bedrag van 850 miljoen US-dollar, vanwege verdenkingen die waren gerezen door een verkeerd gespelde instructie. Had er eentje niet goed opgelet bij de Engelse lessen en zulke dure fouten hebben in een dictatoriaal communistisch regime meestal geen goede afloop. Maar goed dat is speculeren.

Image
Screenshot van de spelfout door de Lazarus groep bij de Bangladesh Bank overval
Screenshot van Kaspersky

Al het geld dat naar Sri Lanka werd overgemaakt, is inmiddels teruggevonden. Van het Filipijnse geld werd maar 18 miljoen US-dollar teruggevonden.

Ze zijn ook verantwoordelijk voor de Blockbuster campagne tegen Sony Pictures Entertainment in een reactie op de film 'Interview'. Dit is een comedy/action film met een moordcomplot op Kim Jong-un.

De aanval was opmerkelijk vanwege de aanzienlijke penetratie in de Sony-netwerken, de uitgebreide hoeveelheid gegevens die werd buitgemaakt en gelekt, evenals het gebruik van een programma om forensisch bewijsmateriaal te wissen.

Het WannaCry ransomware offensief uit 2017 wordt ook aan de groep toegedicht.

Intussen is het collectief ook aan de gang gegaan met het hacken van crypto exchanges en zijn daar succesvol in. Tot in begin 2021 werd er ongeveer 1,75 miljard US-dollar buitgemaakt op crypto beurzen.

Het schijnt dat er twee verschillende groepen binnen de Lazarus groep actief zijn en die gaan we nu bekijken.

BlueNorOff

BlueNorOff is de financiële tak van de Lazarus groep die verantwoordelijk is voor het illegaal overmaken van geld via het vervalsen van Swift orders. BlueNorOff wordt ook wel APT38 (door Mandiant) en Stardust Chollima genoemd (door Crowdstrike). Mandiant en Crowdstrike zijn twee cyber beveiligingsbedrijven in de VS.

Tot nu toe is BlueNorOff gelinkt aan vier hoofdtypen van doelen die ze aanvallen:

  • Financiële instellingen
  • Casino's
  • Bedrijven die betrokken zijn bij de ontwikkeling van software voor de financiële handel
  • Bedrijven met cryptovaluta zoals beurzen

Link naar Noord-Korea

In 2017 hebben verschillende Poolse banken bevestigd dat hun systemen waren geïnfecteerd met malware nadat hun personeel de site van de Poolse financiële toezichthouder had bezocht. Hier werd ook een link naar Noord-Korea ontdekt. Dat ging op de volgende manier te werk:

Volgens het forensische analyserapport maakte de aanvaller verbinding met de server via Terminal Services. Hierna installeerde hij handmatig een Apache Tomcat-server met behulp van een lokale browser en configureerde deze met Java Server Pages en uploadde het JSP-script voor C2.

Zodra de server klaar was, begon de aanvaller deze te testen. Eerst met een browser en vervolgens door verschillende test applicaties via hun achterdeur te draaien. De operator gebruikte meerdere IP's: van Frankrijk tot Korea, verbinding makend via proxy's en VPN-servers. Er is echter één korte verbinding gemaakt vanuit een ongebruikelijk IP-bereik, namelijk uit Noord-Korea.

Image
Screenshot van het Noord-Koreaanse IP adres
Screenshot van securelist.com

Bovendien installeerde de operator een kant-en-klare cryptocurrency-mining software die Monero-cryptomunten zou moeten genereren. De software verbruikte zo intensief alle energie van het systeem, dat het systeem niet meer reageerde en vastliep of bevroor. Dit kan de reden zijn waarom de bestanden niet goed werden opgeschoond en de serverlogboeken bewaard zijn gebleven. Er werd voor Monero gekozen om te minen, omdat dit op een gewone pc of laptop kan.

Dit is de eerste keer dat er een directe link tussen BlueNorOff en Noord-Korea is vastgesteld.

Hieronder is een video over hoe Noord-Korea hun cyberaanvallen uitvoert.

AndAriel

Een subgroep die zich richtte op Zuid-Koreaanse organisaties en bedrijven met behulp van specifiek op maat gemaakte methoden die zijn ontwikkeld voor maximale effectiviteit. AndAriel's alternatieve naam is Silent Chollima vanwege de heimelijke aard van de subgroep. Elke organisatie in Zuid-Korea is een potentieel doelwit voor AndAriel. Doelen zijn onder meer overheid, defensie en elk groot bedrijf in de Zuid-Koreaanse industrie.

Image
Grafiek van de veschillende aanvallen van de Lazarus groep,
Screenshot van trendmico.com 

Noord-Koreaanse hackers worden naar Shenyang, China gestuurd voor een speciale training. Ze worden onder andere getraind om allerlei soorten malware op computers, computernetwerken en servers in te zetten. Het onderwijs in eigen land gebeurt op de Kim Chaek University of Technology en Kim Il-sung University. Er schijnen rond de 6 tot 7 duizend hackers te zijn opgeleid.

Welke crypto exchanges heeft Lazarus gehackt?

In 2017 begonnen de Lazarus groep hun aandacht te richten op cryptocurrencies als een nieuwe inkomstenbron. Er wordt aangenomen dat de buitgemaakte gelden vooral gebruikt worden om het nucleaire programma van Noord-Korea financieel te ondersteunen. 

Leden van de groep begonnen hun pijlen te richten op Zuid-Koreaanse Bitcoin exchanges en Bitcoin gebruikers. Het stelen van crypto-holdings met behulp van spear-phishing-campagnes tegen exchange medewerkers en individuele gebruikers is ook in hun portfolio opgenomen.

Spear phishing is een oplichting via e-mail of elektronische communicatie die gericht is op een specifieke persoon, organisatie of bedrijf. Hoewel de cybercriminelen dit vaak gebruiken om gegevens te stelen voor kwaadaardige doeleinden, kunnen ze ook malware installeren op de computer van een beoogde gebruiker.

WannaCry ransom ware 2017

In mei 2017 werd de wereldwijde ransomware-aanval, algemeen bekend als de WannaCry-aanval, uitgevoerd vanuit Noord-Korea in een poging inkomsten te genereren via betalingen met Bitcoin-ransomware.

Tijdens de WannaCry-aanval werden talloze internationale bedrijven en instellingen in de publieke sector getroffen en gedwongen om een ​​Bitcoin-losgeld te betalen om weer toegang te krijgen tot hun systemen. In totaal werden wereldwijd meer dan 400.000 machines getroffen door de malware.

De opbrengst was maar 120,000 Bitcoin. Sommige bedrijven zoals Deutsche Bundesbahn (DB) en de National Health Service (NHS)in Engeland werden zwaar getroffen met totale computer chaos als gevolg.

Yapizon

Einde april 2017 werd de Zuid-Koreaanse exchange Yapizon gehackt voor 5.5 miljoen US-dollar of 3816 Bitcoin. Later ging deze exchange verder onder de naam Youbit.

Bithumb

In juni 2018 werd weer een Zuid-Koreaanse exchange gehackt. Deze keer was Bithumb aan de beurt en dat ging ten koste van 30 miljoen US-dollar.

Hier werd vooral Ripple (XRP) buitgemaakt. Op het moment van deze hack, was Bithumb de zesde grootste exchange in de wereld.

Image
Markeringssteen van de 38e breedtegraad, die Zuid- en Noord-Korea van elkaar scheidt
De 38e breedtegraad, die Zuid- en Noord-Korea met elkaar scheidt.

DragonEx

Deze exchange uit Singapore was op 24 maart 2018 aan de beurt. Hier werd 7 miljoen US-dollar buitgemaakt. Een DragonEx medewerker werd er ingeluisd door een legitiem uitziend nepbedrijf om via Telegram- en LinkedIn-berichten malware op hun computers te downloaden.

UpBit

Weer een Zuid-Koreaanse exchange die gehackt werd door het Lazarus collectief. Deze keer voor 342,000 ETH wat toen 51 miljoen US-dollar waard was. Dit gebeurde op eind november 2019 en het duurde tot januari 2020 voordat UpBit weer openging.

KuCoin

Op 25 september 2020 werd de grootste hack van dat jaar uitgevoerd op deze Zuid-Koreaanse exchange. De buit bedroeg niet minder dan 275 miljoen US-dollar. Dit was 50% van alle buitgemaakte crypto in dat jaar!

KuCoin claimde later dat 204 miljoen US-dollar is teruggevonden.

Hoe werd de buit witgewassen?

In 2020 gebruikte de groep vooral DeFi exchanges om geld wit te wassen. De reden hiervoor is dat op een DEX meestal geen KYC-identificatie nodig is. 

DeFi-platforms stellen gebruikers in staat om het ene type cryptocurrency te ruilen voor een ander zonder dat een gecentraliseerd platform ooit het geld van de gebruikers in bewaring neemt.

Door het ontbreken van een KYC wordt het voor cybercriminelen gemakkelijker om met grotere anonimiteit geld over te maken. De onderstaande grafiek geeft een voorbeeld van hoe Lazarus Group precies DeFi-platforms heeft gebruikt om een ​​deel van het van KuCoin gestolen geld wit te wassen.

Image
Grafiek van de Lazarus witwaspraktijken
Screenshot can chaninalysis.com

Eerst werd het gestolen LINK van hun oorspronkelijke wallet naar een tussenpersoon verstuurd en die stuurde het dan naar Uniswap om te worden verhandeld voor ETH. Als DeFi-platform stelt Uniswap gebruikers in staat om te wisselen tussen ETH en verschillende soorten ERC-20-tokens zonder dat Uniswap ooit de bewaring van het geld overneemt. Dit betekent dat gebruikers geen KYC-informatie hoeven te verstrekken.

Gebruikers sturen eenvoudig geld naar Uniswap vanaf één adres en ontvangen het overeenkomstige bedrag terug (minus minimale kosten) op hetzelfde adres in het token van hun keuze. Dus in dit geval stuurden de KuCoin-hackers 12.552,96 LINK naar Uniswap vanaf het adres "0xC194…" en ontvingen ze 360,60 ETH terug naar hetzelfde adres.

Het gebruik van DeFi-platforms betekent een verschuiving in de witwasstrategie van de Lazarus Group. De onderstaande grafiek toont de uitsplitsing van de soorten diensten waarnaar de groep de afgelopen jaren gestolen geld heeft gestuurd.

Image
Grafiek waar de crypto witgewassen wordt
Screenshot van Chainalysis.com

Het gebruik van DeFi platforms in 2020 werd bijna verdubbeld door de groep. Het gebruik van mainstream beurzen neemt daarentegen steeds meer af. In 2019 werden over het algemeen beurzen gebruikt om geld wit te wassen, in 2020 waren dat bijna alleen nog maar mixers.

Sinds september 2019 worden steeds meer unieke stortingsadressen bij diensten gebruikt om geld wit te wassen. Ze gebruiken ongeveer 20 verschillende beurzen om geld wit te wassen. 

In december 2019 had de Lazarus Group 470 afzonderlijke cryptocurrency-adressen op de top 20 exchanges die minstens 1.000 US-dollar aan gestolen cryptocurrency hadden ontvangen. Eind december 2020 was dat aantal gestegen tot 2.078.

Dit suggereert dat de Lazarus dames en heren hun fondsen meer verspreiden om het risico te verkleinen dat een adres wordt geïdentificeerd en bevroren. Het past ook in een patroon van aanpassingsvermogen van de kant van de Lazarus Groep, elk jaar verandert hun witwas strategie naarmate de beurzen en andere diensten hun veiligheidsinspanningen verbeteren.

In maart 2020 heeft het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën twee Chinese staatsburgers, Tian Yinyin en Li Jiadong, veroordeeld. Dit vanwege hun rol bij het helpen van de in Noord-Korea aangesloten Lazarus Group bij het witwassen van geld dat was gestolen in vier afzonderlijke cryptocurrency exchange-hacks tussen 2017 en 2019.

Wie zit in de Lazarus groep?

Park Jin Hyok wordt als de leider of het brein achter de groep gezien. Volgens de FBI is hij naar verluidt een door de staat gesponsorde Noord-Koreaanse computerprogrammeur die deel uitmaakt van een vermeende criminele samenzwering die verantwoordelijk is voor enkele van de duurste computerinbraken in de geschiedenis. Deze inbraken veroorzaakten schade aan computersystemen van en stalen valuta en virtuele valuta van talloze slachtoffers.

Image
FBI wanted poster van Park Jin Hyok
Screenshot van de FBI website

Verder zijn Kim Il en Jon Chang Hyok door de FBI aangeklaagd.

In februari 2021 zijn ze alle drie in de VS aangeklaagd, hoewel ze niet opgepakt zijn.

Conclusie

We hebben gezien dat deze groep al diverse jaren bezig is en een reeks van uiterst succesvolle banken van hun geld beroofd hebben. Bovendien zijn ze sinds 2017 aan de slag gegaan met crypto. De WannaCry ransomware was hun visitekaartje en sindsdien hebben ze diverse, vooral Zuid-Koreaanse, exchanges gehackt.

Ook voor het witwassen van hun buit maken ze uitvoerig gebruik van crypto kanalen, in de vorm van DeFi mixers.

In begin 2021 zijn drie leden aangeklaagd in de Verenigde Staten van Amerika, maar ze worden wel nog gezocht door de FBI.

Alles wijst erop dat ze door de Noord-Koreaanse regering zijn opgezet en gestuurd worden.

Naar alle informatie die over deze club te vinden is, ziet het er naar uit dat we het laatste woord nog niet gehoord hebben van deze kameraden.

Ben je benieuwd wie er nog meer iets weet over deze Lazarus groep, kom dan eens langs bij de AllesOverCrypto Facebookgroep. Er zitten diverse AOC'ers in en er zijn veel leden in de groep. Ze kunnen je helpen met vragen over dit onderwerp of je kunt andere, crypto gerelateerde discussies volgen. Zie je daar! 


Starten met crypto en geen idee waar je moet beginnen?

Kom dan naar onze gratis online crypto training!

Bekijk hier wat je gaat leren!

Image
Online Bitcoin Training van allesovercrypto

 

 

 

Alle uitingen van AllesOverCrypto, waaronder begrepen alle producten (o.a. Crypto Signalen en de Crypto Masterclass), berichten en e-mails, zijn de professionele mening van AllesOverCrypto en kan op géén enkele wijze worden opgevat als een persoonlijke uitnodiging, een advies of enige aanbeveling om tot aankoop van één of meer cryptovaluta over te gaan en daarin te beleggen. AllesOverCrypto is geen financieel adviseur en beoogt dat uitdrukkelijk ook niet te zijn.

De uitingen van AllesOverCrypto hebben uitsluitend een educatief karakter en kunnen op geen enkele wijze als financieel, juridisch of fiscaal advies worden opgevat. AllesOverCrypto is geen financieel, juridisch- en/of fiscaal adviseur. Er komt geen adviesrelatie tot stand tussen jou en AllesOverCrypto.

De door AllesOverCrypto gepresenteerde informatie is door haar met de grootste aandacht en zorg samengesteld. AllesOverCrypto kan echter niet instaan voor de juistheid en/of volledigheid ervan. Het gebruik van deze informatie gebeurt op jouw eigen risico. Je dient ervan bewust te zijn dat de gepresenteerde informatie, mede door de snelheid waarmee de cryptomarkt zich beweegt, al snel achterhaald is dan wel kan zijn. Wees hiervan bewust bij het bestuderen van de informatie. Daarnaast wordt uitdrukkelijk verzocht de informatie zelf te verifiëren.

Eenieder die in één of meer cryptovaluta wil beleggen dient zijn/haar eigen onderzoek te doen alvorens een beslissing te nemen tot aan- of verkoop van cryptovaluta. AllesOverCrypto is op geen enkele wijze bij dit proces betrokken. Uitsluitend jijzelf bent verantwoordelijk voor jouw eigen aan-en verkoopbeslissingen. Het aankopen van cryptovaluta brengt vanwege de aard van het product en de volatiliteit van de cryptomarkt grote risico’s met zich mee. Deze risico’s zijn zo groot dat het zelfs mogelijk is je hele aankoopbedrag te verliezen. Koop dus geen cryptovaluta die je niet kunt veroorloven te verliezen.