El FBI anunció el lunes que ha llegado a la conclusión de que la organización de hackers de Corea del Norte Lazarus Group está detrás del hackeo de Harmony Protocol por un valor de 100 millones de dólares el pasado mes de junio.
Más de 60 millones de dólares de ETH robados durante el ataque fueron lavados el 13 de enero, seis meses después de los hechos. Esto permitió a las fuerzas de seguridad identificar con seguridad al Lazarus Group y a APT38—otro grupo cibernético norcoreano—como los arquitectos del delito.
Los hackers utilizaron RAILGUN, un protocolo de privacidad, en un intento de ocultar sus transacciones. Aun así, una parte de los fondos fue congelada y recuperada por plataformas de intercambio cuando los hackers intentaron cambiarlos por Bitcoin. Los fondos no recuperados se enviaron posteriormente a 11 direcciones de Ethereum.
El FBI y sus socios en la investigación "continuarán identificando y desbaratando el robo y el lavado de moneda virtual por parte de Corea del Norte, que se utiliza para apoyar los programas de misiles balísticos y armas de destrucción masiva de Corea del Norte", de acuerdo con el anuncio.
Inmediatamente después del hackeo de Harmony en junio, los analistas de blockchain vincularon el exploit al Grupo Lazarus mediante una combinación de investigación en la cadena y comparaciones con hackeos anteriores cometidos por el grupo. Sin embargo, aunque el Gobierno estadounidense ya se había hecho eco de la amenaza que supone Lazarus Group, no ha acusado formalmente a la entidad de ser responsable del hackeo de Harmony hasta hoy.
El objetivo del hackeo era un puente entre cadenas que conecta Harmony, una blockchain de capa 1, con Ethereum, Bitcoin y Binance Chain. La estrategia se hace eco de ataques anteriores vinculados a Lazarus Group, incluido un hackeo masivo de 622 millones de dólares el pasado abril de Ronin Network, una cadena lateral de Ethereum utilizada por el criptomonedas Axie Infinity.
Desde 2017, los grupos de hackers norcoreanos, incluidos Lazarus Group y APT38, han robado un valor estimado de 1.200 millones de dólares en criptomonedas, de acuerdo con un informe de Associated Press.
"El FBI continuará exponiendo y combatiendo el uso por parte de la República Popular Democrática de Corea de actividades ilícitas—incluyendo el cibercrimen y el robo de moneda virtual—para generar ingresos para el régimen", se lee en el comunicado.
Al parecer, los grupos cibernéticos afiliados a Corea del Norte también han ampliado sus actividades más allá de los hackeos. A finales de diciembre, un informe afirmaba que el Grupo Lazarus también se está haciendo pasar por inversionistas de capital riesgo, posibles empleadores y bancos.
"Las intrusiones comienzan con un gran número de mensajes de spearphishing enviados a empleados de empresas de criptomonedas—que a menudo trabajan en administración de sistemas o desarrollo de software/operaciones de TI (DevOps)—en una variedad de plataformas de comunicación", de acuerdo con una alerta federal de ciberseguridad emitida en abril pasado. "Los mensajes a menudo imitan un esfuerzo de reclutamiento y ofrecen trabajos bien remunerados para atraer a los destinatarios a descargar aplicaciones de criptomoneda con malware".
En respuesta a estos ataques centrados en las criptomonedas, el Gobierno estadounidense ha puesto en su punto de mira los servicios de mezcla de monedas: herramientas que permiten a los usuarios ocultar los rastros públicos de las transacciones de criptomonedas. En agosto, el Departamento del Tesoro prohibió el mezclador de monedas de Ethereum Tornado Cash y numerosas direcciones de wallet asociadas al servicio, citando como justificación su uso por Lazarus Group para lavar fondos procedentes de hackeos anteriores.
La medida fue ampliamente criticada en la comunidad de criptomonedas como una extralimitación ilegal que amenazaba innecesariamente la privacidad de los usuarios. Coin Center, una organización sin ánimo de lucro dedicada a las criptomonedas, ha interpuesto una demanda contra la prohibición.