Noord-Korea's krachtigste wapen in cyberoorlog

Het wordt beschouwd als 's werelds meest effectieve hackersgroep: Noord-Korea's schaduwleger Lazarus. Ze zijn verantwoordelijk voor tientallen cyberaanvallen - en miljarden aan cryptogeld.

Onder de schandalen van de filmindustrie is "The Interview" een exoot. Geen openbaar moddergooien, geen geschillen over opnames, zelfs geen intieme scènes. In plaats daarvan heeft het een plot met politieke explosieven: de komedie, uitgebracht in 2014, gaat over het complot om Kim Jong-Un te vermoorden. Nadat de pogingen van Noord-Korea om de release van de film via diplomatieke kanalen te voorkomen mislukten, en ten minste enkele bioscopen de film durfden te vertonen, volgde een wraakactie: een massale cyberaanval op Sony Pictures - de eerste openbare aanval op Lazarus. Sindsdien heeft het Noord-Koreaanse hackersleger zich steeds meer gespecialiseerd in de cryptosector, die tot nu toe weinig weerstand heeft geboden.

Angst en terreur in de cryptosector

De lijst met cryptoprotocollen die door Lazarus van miljoenen zijn beroofd, wordt elk jaar langer. Extreem lucratief was vorig jaar de aanval op de Ronin Bridge, een interface tussen de Ethereum Blockchain en het NFT spel Axie Infinity. Meer dan 600 miljoen dollar aan crypto-activa werd gestolen. On-chain sporen leidden naar wallets die gelinkt waren aan Lazarus.

Het spook blijft de cryptosector dit jaar achtervolgen. Zoals de reeks aanvallen op cryptobetalingsdienstverlener Coinspaid liet zien, worden hackers steeds verraderlijker. Een half jaar lang werd het bedrijf lastiggevallen met cyberaanvallen, waarbij vooral werknemers werden gemanipuleerd met psychologische tactieken die bekend staan als social engineering. Begin september werd een ander geval bekend met het cryptocasino Stake.com. Lazarus wordt ook verdacht achter de aanval te zitten op de cryptobeurs Coinex. De drie schadebedragen bij elkaar: ongeveer 130 miljoen dollar.

DeFi: het geld ligt op straat

De pro's weten hoe ze misbruik moeten maken van de kwetsbaarheden van smart contracts. Alleen al vorig jaar stal Lazarus 1,7 miljard dollar aan cryptocurrencies. Geld dat volgens de Verenigde Naties wordt gebruikt om kernwapenprogramma's te financieren. De industrie moet deze beschuldiging onder ogen zien: De soms nalatige beveiligingsmaatregelen maken het onnodig makkelijk voor het Noord-Koreaanse regime om zijn schatkist te vullen.

"Gezien het feit dat de meeste slachtoffers van hacken DeFi-protocollen zijn, moeten deze ontwikkelaars prioriteit geven aan preventie," waarschuwt Erin Plante, vicepresident van onderzoeken bij blockchainbeveiligingsbedrijf Chainalysis. Een belangrijke stap: "extreem strenge code-audits" - protocollen moeten minutieus worden getest voordat ze met geld gaan goochelen. Het doel moet een "gouden standaard" zijn, "de sterkste en veiligste smart contracts" kunnen dan "dienen als sjablonen voor ontwikkelaars", zegt de blockchainexpert.

Werknemers steeds meer in beeld

Incidenten zoals bij Coinspaid laten zien dat werknemers steeds vaker doelwit worden. Erin Plante adviseert daarom meer waakzaamheid. Bedrijven moeten upgraden, "investeren in sterke beveiligingsstrategieën en -tools, en hun medewerkers trainen om verdachte communicatie te herkennen".

Hackers krijgen vaak toegang via frauduleuze e-mails, zogenaamde phishing. Met deze achtergrond is het "heel belangrijk om ervoor te zorgen dat alle werknemers van een bedrijf waakzaam zijn en het technische aspect van cyberverdediging versterken".

Kat en muis

De cryptospeeltuin is tot nu toe uiterst winstgevend begraasd door Lazarus. Maar volgens Erin Plante, met "groeiende expertise van wetshandhavers in het traceren van fondsen", "zijn steeds meer succesvolle gestolen fondsen bevroren en in beslag genomen". Ondertussen zijn fondsen die gestolen zijn in de Axie Infinity hack ook bevroren. Hoe sneller men reageert, hoe groter de kans op succes, zegt de expert: "Tijd is van essentieel belang, snelle actie kan voorkomen dat hackers hun gestolen geld uitbetalen".

Zelfs als de kaarten ongelijk verdeeld zijn: Opsporingsinstanties zijn niet kansloos. Door cryptomixers te verbieden die transactiepaden anonimiseren en zo het witwassen van geld vergemakkelijken, proberen autoriteiten zoals het Amerikaanse ministerie van Financiën de schade te beperken. Lazarus zou naar verluidt enkele honderden miljoenen Amerikaanse dollars hebben witgewassen via de mengdienst Tornado Cash, die inmiddels in de VS is opgedoekt. Het traceren van gestolen geld maakt het voor Lazarus ook moeilijker om toegang te krijgen tot cryptocurrencies dan een paar jaar geleden.

Wie is Lazarus?

Er is nog steeds weinig bekend over Lazarus. Niet alleen is het aantal leden onduidelijk - Erin Plante kon geen schatting geven - maar ook hoe homogeen de groep, ook bekend als Guardians of Peace, APT 38 of Hidden Cobra, is. Wat wel onomstreden is, is dat het hackerscollectief werkt in opdracht van het Noord-Koreaanse regime. Deskundigen schatten dat Lazarus wel eens de grootste hackersgroep ter wereld zou kunnen zijn.