130 miljoen dollar hack: zit de Lazarus Group uit Noord-Korea erachter?

130 miljoen dollar is gestolen bij een cyberaanval op de cryptobeurs Poloniex. Het spoor leidt naar Noord-Korea - naar de beruchte hackersgroep Lazarus.

Afgelopen vrijdag sloegen beveiligingsbedrijven alarm: er was een cyberaanval uitgevoerd op de cryptobeurs Poloniex. Volgens de huidige schattingen is er 130 miljoen dollar aan cryptocurrencies gestolen. Analyses wijzen nu - opnieuw - naar de Noord-Koreaanse hackersgroep Lazarus. Het beruchte collectief heeft nu voor enkele miljarden US dollars aan digitale activa gestolen. Geld dat volgens de Verenigde Naties naar de kernwapenprogramma's van Noord-Korea vloeit.

De cryptosector, voornamelijk handelsplatformen die grote hoeveelheden geld beheren, wordt nu beschouwd als het meest lucratieve doelwit. Cryptoforensisch expert Albert Quehenberger van A|Q Forensics heeft de symptomatische aanval gereconstrueerd voor het Duitse BTC Echo. Opnieuw is het duidelijk dat Lazarus een van de grootste bedreigingen is voor de cryptosector.

Miljoenen aan crypto-activa vloeiden plotseling weg en de eerste commentatoren op X probeerden de situatie op te helderen. Een paar dagen later valt de puzzel rond de Poloniex-aanval stilaan samen. De hack vond plaats via een hot wallet van de cryptobeurs en is volgens Albert Quehenberger van A|Q Forensics waarschijnlijk "te wijten aan een lek van de privésleutel". De cryptoforensisch expert ziet overeenkomsten met "een eerdere hack op Stake.com". Het cryptocasino platform werd in september getroffen door een cyberaanval. De schade bedroeg ongeveer 40 miljoen dollar. De FBI gaf Lazarus de schuld.

Lek in eigen gelederen?

De vraag die nu rijst: Hoe kwamen de hackers aan de private key? De verdenking ligt voor de hand: er kan een lek zijn geweest, een medewerker die Lazarus onbedoeld toegang gaf. Het hackerscollectief gebruikt steeds vaker tactieken die specifiek de werknemers van een bedrijf manipuleren om toegang te krijgen tot gevoelige informatie. Deze methode, bekend als social engineering, is even lastig als verraderlijk.

"De Lazarus Group zou specifiek mensen binnen de cryptobeurs kunnen identificeren die toegang hebben tot belangrijke systemen of informatie," schetst Quehenberger. De focus zou liggen op "hooggeplaatste werknemers met beheerdersrechten". Hackers zouden nauwgezet "uitgebreid onderzoek" uitvoeren om "informatie te verzamelen over de persoonlijke en professionele achtergronden van werknemers".

Niemand is veilig

Sociale media spelen hier een steeds belangrijkere rol als openbaar toegankelijke bron van informatie. Daarbij komen phishing-aanvallen, waarbij hackers malware infiltreren, gegevens aanboren en zich geleidelijk een weg banen naar de zwakke plekken. Hackers worden steeds sluwer in hun aanpak en stemmen frauduleuze e-mails af op "specifieke interesses of activiteiten van het doelwit", legt Quehenberger uit.

Als de aanvallers eenmaal in het systeem zitten, is het een kwestie van "toegangsrechten uitbreiden en hogere autorisaties krijgen om toegang te krijgen tot kritieke systemen en informatie", zegt de blockchainexpert. Daarna gaat het snel. "Na een succesvolle infiltratie zou de groep kunnen proberen cryptocurrencies te onderscheppen, te stelen of transacties te manipuleren." Hierover kunnen we op dit moment echter alleen speculeren. Poloniex heeft nog geen commentaar gegeven op zijn aanpak.

Wat gebeurt er met de fondsen?

Ondertussen probeert Justin Sun, die Poloniex in 2019 kocht, imagoschade te voorkomen. Sommige van de "tegoeden die in verband worden gebracht met de hackeradressen" zijn al "met succes geïdentificeerd en bevroren". Volgens de Tron-oprichter waren de verliezen "beheersbaar". Systemen zijn "hersteld" en "relevant bewijsmateriaal" wordt nu veiliggesteld. Nadat het bekend werd, bood de crypto-ondernemer de hackers een deel van het gestolen geld aan als losgeld.

Het valt nog te bezien hoe hoog het schadebedrag uiteindelijk zal zijn. En ook wie er achter de aanval zit. Maar veel spreekt in het voordeel van Lazarus. Net als bij de aanval op Stake.com werden "verschillende tokens opgeslagen op verschillende adressen, vervolgens overgebracht naar tussenliggende adressen en uiteindelijk omgewisseld voor inheemse valuta (ETH, TRX)", aldus Quehenberger.