25 июня 2020

Отмывание криптовалют по-крупному: классический пример с хакерской групировкой Lazarus

В этом масштабном примере есть все: хищение средств на $250 млн. с бирж хакерами Северной Кореи, привлечение профессиональных китайских отмывателей, подделка документов для обхода KYC, сложная схема отмывания c дроблением на мелкие суммы и успешный вывод в фиат через банки.

Мы часто слышим новости о том, как мошенникам удается завладеть крупной суммой криптовалют, но что происходит дальше? Покажем на случае отмыавния крипты, который произошел весной 2020 г. Преступление было раскрыто, опубликовано много статей в западных СМИ, проведен отдельный вебинар от Chainalysis, но в русскоязычных медиа преступление было слабо освещено. В этой статье AMLBot продолжает знакомить вас с важными событиями по безопасности криптовалют и показывает, как анализ блокчейна помогает раскрывать схемы отмывания денег.

 

Предыстория: кто такие Lazarus?

Как известно, Северная Корея использует киберпреступность для обхода экономических санкций и финансирует свои программы, такие как создание оружия массового уничтожения. За несколько лет режиму удалось взломать банки и криптообменники на общую сумму около $2 миллиардов.

Для этих целей неоднократно привлекалась группа хакеров Lazarus. Хотя о них мало что известно, считается, что группой управляет разведывательное подразделение Корейской народной армии. Lazarus известны с 2009 года и за это время совершили крупные финансовые преступления в 31 стране. Ходят слухи, что они были ответственными за взлом Sony в 2014 году, причастны к атакам Wannacry и взлому криптобирж Bithumb на $7 млн в 2017 и DragonEX на $7 млн в 2019.

Но не только это подтверждает их профессионализм. На графике ниже показан подход Lazarus к отмыванию украденных средств в сравнении с предыдущими двумя годами. Как видно, их методы становились все продвинутее с целью избежания преследования крипто-криминалистов. В последнее время выделяют 3 основные особенности подходов: 1) более сложный фишинг с применением масштабной социальной инженерии, 2) применение миксеров и CoinJoin кошельков, 3) последующая быстрое отмывание похищенных средств (для избежания маркировки используемых адресов).

Распределение средств в BTC украденных Lazarus в 2017-2019 гг. 

Похищение средств на биржах

Одна из последних фишинговых атак на DragonEx в марте 2019 удивляет своей изощренной подготовкой. Lazarus создали фальшивую фирму, у которой был реалистичный сервис — учебный бот. Сначала фирму раскрутили в социальных сетях, а затем предложили ее продукт сотрудникам DragonEx.

Хотя программное обеспечение было настоящим учебным ботом, оно также похищало данные с зараженного компьютера. В итоге это ПО попало в компьютер, на котором хранились ключи от горячих кошельков DragonEx. Это позволило Lazarus заполучить доступ к средствам. Подобным образом хакеры действовали и в 2018 году, когда похитили на криптовалютных биржах почти $250 млн через тысячи фишинговых мейлов.

Однако завладение ключами было только первым шагом в заполучении средств. Злоумышленникам нужно было перевести криптовалюты в фиат, не вызывая подозрений. И вот тут за дело берутся специалисты.

Профессиональные отмыватели

Одной из причин, по которой злоумышленники не стали отмывать украденные средства самостоятельно, является тот факт, что Северная Корея находится под санкциями. Поэтому Lazarus привлекли двух граждан Китая Ли Дзядуна и Тянь Иньина, которые должны были провести отмывание средств, украденных с бирж в апреле 2018, через китайские банки.

Тянь Иньин получил доступ к одному из счетов, на котором хранились $91 млн в различных криптовалютах, и позже к $7,5 млн на другой бирже. Один депозит на биржу в размере более 10 000 BTC вызвал бы подозрения, и активы могли заморозить. Поэтому они переводили эти средства на множество личных криптокошельков, прежде чем выводить их в банки.

 

Схема отмывания

Движение украденных с бирж средств

Чтобы оставаться незамеченными, китайские мошенники спланировали и применили схему «peel chains» (цепочка списаний). Подельники создали систему биткоин кошельков, через которую проходили автоматические транзакции криптовалют. После каждого перевода небольшой остаток на счету в размере 1-5 BTC переводился на криптобиржу. Поскольку суммы депозита были небольшие и поступали с разных кошельков, они не отслеживались системой безопасности бирж.

Пример зачисления 50 BTC на биржу с цепочкой списаний.

Таким образом, в схеме перевода на первую биржу было задействовано 146 блокчейн кошельков. Затем часть средств вывели в подарочные карты через другую биржу, также применив цепочку списаний. Это позволило сконвертировать различные украденные монеты в BTC и еще больше запутать следы.

Приведенный ниже пример — одна из многих больших цепочек списаний, обнаруженных в ходе расследования.

Для более сложных схем отмыватели обычно автоматизируют процесс. Из-за множества адресов и количества транзакций, необходимых для отмывания, человеческий фактор может легко привести к потере средств. Поэтому Тянь и Ли использовали компьютерный скрипт, который быстро и автоматически переводил BTC между кошельками и биржами.

Интересно, что Министерство юстиции США показало не только перевод криптовалют между множеством адресов, но и финальный этап отмывания — интеграцию в фиат (об этапах см. здесь). Были задействованы 9 китайских банков. В одном из банков за 2 месяца до перевода был открыт счет, связанный с двумя аккаунтами на бирже. Затем Ли Дзядун провел 499 депозитов на этот счет на общую сумму $44 млн. У Ли были аккаунты во всех 9 банках и он положил в них 2000 депозитов на $33 млн. Часть средств были выведены в Apple gift cards ($1,4 млн), которые можно обратно сконвертировать в биткоины. Как видим, в традиционной банковской системе также есть уязвимости, которые позволили провести данные операции.


Почему процедура KYC не сработала?

KYC применяется на начальном этапе для того, чтобы не допустить правонарушителей в экосистему. В данном случае китайцы использовали фотошоп и реальные чужие персональные данные, украденные ранее, чтобы открыть аккаунты на биржах.

Для прохождения процедуры KYC зачастую необходимы только удостоверяющие личность документы и адрес проживания, а также подтверждение владельца документа посредством «FaceID». Для этого необходимо сфотографироваться с развернутым паспортом, чтобы была возможность сравнить фотографию в паспорте с его владельцем.

На поддельных фото видны одинаковые руки и тело.

Чтобы обмануть службу KYC криптовалютных бирж, мошенники воспользовались обыкновенным фотошопом. Как выяснилось позднее, помимо ложных персональных данных, предоставленных для идентификации, тела и головы также не соответствовали друг другу – они принадлежали неизвестным людям.

Аналогичным образом Ли связывал банковские счета в разных банках со своим счетом на бирже. Но более тщательный анализ поведения на всех аккаунтах позволил криминалистам воссоздать их связь с реальным миром и арестовать злоумышленников.

2 марта 2020 года Министерство финансов США арестовало двух китайцев, обвиняя их в участии в незаконной деятельности Lazarus. Вслед за этим Министерство юстиции США обнародовало 145 криптоадресов, связанных с данным преступлением, а 6 марта добавило еще 42 адреса. Если отмывание оставшихся у Lazarus средств продолжится, база будет пополняться новыми адресами. Эта база распространяется в первую очередь среди поставщиков AML-инструментов, чтобы вовремя предотвратить отмывание украденных средств (как происходит маркировка адресов в блокчейне, читайте в нашей статье). Стоит отметить, что хакеры также следят за обновлением такой публичной информации о санкционных адресах и стараются незамедлительно вывести с них средства через те биржи, которые не используют AML-инструменты.

 

Чем это опасно?

После выявления схемы отмывания и связи средств с предыдущим взломом бирж все активы злоумышленников, которые сейчас находятся во владении физических или юридических лиц США, должны быть заблокированы и переданы в OFAC.

Кроме того, все лица, которые совершали сделки с Тянь Иньинем и Ли Дзядуном или санкционными адресами их кошельков, могут попасть под расследование или в список SDN (специально выделенных граждан и блокированных юридических лиц).

113 счетов виртуальных активов, связанных с этими кражами и процессами отмывания денег, могут быть конфискованы службами США. Это объясняется тем, что данные противоправные действия затронули финансовые сервисы с клиентами и счетами из США.

 

Заключение

Компания Chainalysis отметила, что 2019 год стал рекордным по количеству хакерских атак, совершенных по отношению к криптовалютам.

С одной стороны, FATF опубликовала новые AML-правила для регулирования деятельности в сегменте цифровых валют. Согласно соответствующим законам все крипто-биржи должны устанавливать личность получателя и отправителя цифровых активов, а так же мониторить криптовалютные транзакции.

В то же время KYC не является панацеей и абсолютной системой безопасности. В ней есть свои слабые места, как и показали злоумышленники из Китая. То как отмыватели легко использовали банковские счета, связав их с крипто-кошельками, также показывает необходимость банков мониторить крипто-транзакции в своих платежных сетях. Похищение криптовалют продолжает приносить прибыть злоумышленникам, поэтому банки будут и дальше сталкиваться с угрозой того, что с их помощью будут отмывать незаконные средства.

Хотя адреса виртуальных валют в блокчейне являются псевдоанонимными, этот случай показывает, что владельцев определенного адреса можно занести в черный список. Если использовать AML-инструменты, такие как AMLBot, при заключении сделок, то можно проверить связь своего адреса или клиентов с такими криминальными лицами.

Преступники зачастую знают о инструментах АМЛ-мониторинга на биржах и пользуются мелкими обменниками либо P2P-сервисами для сбыта похищеных средств. Если вы купите там краденую крипту, то потом ваши средства могут заморозить либо даже изъять на крупной бирже.

Централизованные криптобиржи борются с отмыванием криптовалют и проверяют их при поступлении от пользователей. Поэтому не покупайте криптовалюту напрямую у непроверенных продавцов. Это впоследствии позволит избежать блокировок и других проблем с законом.

 

При подготовке статьи были использованы следующие материалы:

Analysis: How Chinese Nationals Linked to North Korea Laundered Hundreds of Millions of Dollars’ Worth of Stolen Cryptocurrency Through Several Banks and Cryptocurrency Exchanges

https://go.chainalysis.com/north-korean-crypto-sanctions-webinar.html