Die Lazarus-Gruppe setzt gestohlene Krypto-Gelder um
Hacker der berüchtigten Lazarus-Gruppe versuchen, ihre gestohlenen Gelder aus dem ByBit-Hack zu waschen. Die Angreifer, die vermutlich für das nordkoreanische Regime arbeiten, haben mindestens 300 Millionen Dollar (232 Millionen Pfund) aus ihrem massiven Krypto-Raub erfolgreich ausgezahlt.
Diese Cyberkriminellen stahlen vor zwei Wochen digitale Tokens im Wert von 1,5 Milliarden Dollar von der Krypto-Börse ByBit. Seitdem jagen Ermittler die Hacker und versuchen, ihre Geldwäsche zu verhindern. Experten gehen davon aus, dass die Gruppe fast rund um die Uhr arbeitet, um die gestohlenen Gelder in Nordkoreas Militärprogramm einfließen zu lassen.
Experten warnen vor Nordkoreas Fähigkeiten
“Jede Minute zählt für die Hacker, die versuchen, ihre Geldspur zu verschleiern. Sie sind extrem geschickt”, sagt Dr. Tom Robinson, Mitbegründer des Krypto-Forensikunternehmens Elliptic. Nordkorea gilt als Meister in der Geldwäsche mit Kryptowährungen, erklärt Robinson weiter.
“Ich stelle mir vor, dass sie einen ganzen Raum voller Leute haben, die mit automatisierten Tools und jahrelanger Erfahrung arbeiten. Ihre Aktivität zeigt, dass sie täglich nur wenige Stunden pausieren und in Schichten arbeiten, um die Krypto-Gelder in Bargeld zu verwandeln.”
Elliptics Analyse stimmt mit den Erkenntnissen von ByBit überein. Laut der Börse sind bereits 20 % der gestohlenen Gelder “verschwunden” und wohl nicht mehr wiederzubekommen. Die USA und ihre Verbündeten beschuldigen Nordkorea, in den letzten Jahren Dutzende von Cyberangriffen durchgeführt zu haben, um sein Militär- und Atomprogramm zu finanzieren.
Am 21. Februar kompromittierten die Angreifer einen Zulieferer von ByBit. Sie änderten unbemerkt die Zieladresse für die Überweisung von 401.000 Ethereum-Token. ByBit glaubte, die Mittel auf sein eigenes Wallet zu übertragen, schickte sie aber stattdessen direkt an die Hacker.
Kampf gegen die Hacker eskaliert
ByBit-CEO Ben Zhou versicherte, dass Kundengelder nicht betroffen seien. Das Unternehmen hat die gestohlenen Mittel durch Kredite von Investoren ersetzt und führt nun laut Zhou “Krieg gegen Lazarus”. ByBit hat das Lazarus-Bounty-Programm ins Leben gerufen, um die Öffentlichkeit zur Jagd auf die gestohlenen Gelder zu motivieren. Bisher haben 20 Personen zusammen über vier Millionen Dollar Belohnung erhalten, nachdem sie geholfen haben, 40 Millionen Dollar an gestohlenen Geldern zu identifizieren und blockieren zu lassen.
Da alle Krypto-Transaktionen auf einer öffentlichen Blockchain sichtbar sind, können Ermittler den Geldfluss der Lazarus-Gruppe verfolgen. Sobald die Hacker versuchen, die Coins über eine reguläre Krypto-Plattform in Fiatgeld umzuwandeln, kann das Unternehmen die Mittel einfrieren, falls sie als gestohlen identifiziert werden.
Ein weiteres Problem ist, dass nicht alle Krypto-Unternehmen zur Kooperation bereit sind. Die Börse eXch wird von ByBit und anderen beschuldigt, den Hackern bei der Auszahlung geholfen zu haben. Mehr als 90 Millionen Dollar sind bereits durch diese Plattform geflossen. eXch-Besitzer Johann Roberts bestreitet dies jedoch. Er gibt zu, dass seine Firma die Transaktionen zunächst nicht gestoppt hat, da sie in einem Streit mit ByBit steht und unsicher war, ob die Gelder aus dem Hack stammen. Er behauptet nun, zu kooperieren, kritisiert aber, dass große Krypto-Börsen die Anonymität von Kryptowährungen verraten.
Nordkorea hat nie zugegeben, hinter der Lazarus-Gruppe zu stehen. Es gilt jedoch als das einzige Land, das gezielt Cyberangriffe zur finanziellen Bereicherung einsetzt. Ursprünglich griff Lazarus Banken an, konzentriert sich aber seit fünf Jahren verstärkt auf Krypto-Unternehmen, die oft weniger Schutzmechanismen gegen Geldwäsche haben.
Bekannte Hacks mit Nordkorea-Verbindung:
- 2019: UpBit-Hack (41 Millionen Dollar)
- 2020: KuCoin-Angriff (275 Millionen Dollar, großteils wiederhergestellt)
- 2022: Ronin-Bridge-Hack (600 Millionen Dollar gestohlen)
- 2023: Angriff auf Atomic Wallet (100 Millionen Dollar)
Im Jahr 2020 setzte die US-Regierung mutmaßliche Mitglieder der Lazarus-Gruppe auf ihre Cyber Most Wanted-Liste. Doch da Nordkorea ein isoliertes Land ist, bleibt es unwahrscheinlich, dass diese Personen jemals verhaftet werden.