Cosa fanno i hacker nordcoreani con il denaro rubato dalle piattaforme di criptovalute?

Fonte: Chainalysis
Compilato da: Tao Zhu, Golden Finance
Gli attacchi informatici alle criptovalute rimangono una minaccia persistente, con quattro anni negli ultimi dieci in cui sono stati rubati criptovalute per un valore superiore a 1 miliardo di dollari (2018, 2021, 2022 e 2023). Il 2024 segna il quinto anno in cui si raggiunge questo inquietante traguardo, evidenziando che, con l'adozione delle criptovalute e l'aumento dei prezzi, anche la quantità rubabile sta crescendo.
Nel 2024, il valore dei fondi rubati è aumentato di circa il 21,07% rispetto all'anno precedente, raggiungendo i 2,2 miliardi di dollari, mentre il numero di eventi di hacking individuali è aumentato da 282 nel 2023 a 303 nel 2024.
È interessante notare che l'intensità degli attacchi informatici alle criptovalute è cambiata intorno alla prima metà di quest'anno. Nel nostro aggiornamento sui crimini di metà anno, abbiamo notato che il valore cumulativo rubato tra gennaio 2024 e luglio 2024 ha raggiunto i 1,58 miliardi di dollari, circa l'84,4% in più rispetto al valore rubato nello stesso periodo del 2023. Come vediamo nel grafico sottostante, entro la fine di luglio, l'ecosistema era facilmente sulla buona strada, e quest'anno potrebbe eguagliare i 3 miliardi di dollari del 2021 e 2022. Tuttavia, la tendenza all'aumento dei furti di criptovalute nel 2024 ha mostrato un chiaro rallentamento dopo luglio, mantenendo poi una relativa stabilità. Esploreremo più avanti le potenziali ragioni geopolitiche di questo cambiamento.
In termini di valore rubato suddiviso per tipo di piattaforma vittima, nel 2024 si osserva anche un modello interessante. Nella maggior parte dei trimestri dal 2021 al 2023, le piattaforme di finanza decentralizzata (DeFi) sono state il principale obiettivo degli hacker di criptovalute. Le piattaforme DeFi potrebbero essere più vulnerabili agli attacchi poiché i loro sviluppatori tendono a dare priorità alla rapida crescita e al lancio dei prodotti sul mercato piuttosto che all'implementazione di misure di sicurezza, rendendole un target principale per gli hacker.
Sebbene nel primo trimestre del 2024 le DeFi rappresentassero ancora la quota più grande dei beni rubati, i servizi centralizzati sono stati i più mirati nel secondo e terzo trimestre. Alcuni dei più noti attacchi informatici ai servizi centralizzati includono DMM Bitcoin (maggio 2024; 305 milioni di dollari) e WazirX (luglio 2024; 234,9 milioni di dollari).
Questo spostamento di attenzione dalle DeFi ai servizi centralizzati evidenzia l'importanza crescente dei meccanismi di sicurezza comunemente utilizzati dagli hacker (come le chiavi private). Nel 2024, la percentuale di chiavi private compromesse nel valore rubato di criptovalute è stata la più alta, raggiungendo il 43,8%. Per i servizi centralizzati, garantire la sicurezza delle chiavi private è fondamentale, poiché controllano l'accesso agli asset degli utenti. Dato che gli exchange centralizzati gestiscono una grande quantità di fondi degli utenti, l'impatto di una fuga di chiavi private può essere devastante; basta guardare all'incidente di hacking di DMM Bitcoin, del valore di 305 milioni di dollari, uno dei più grandi exploit di criptovalute finora, che potrebbe essere avvenuto a causa di una gestione inadeguata delle chiavi private o di una mancanza di sicurezza sufficiente.
Dopo la fuga di chiavi private, gli attori malevoli spesso riciclano i fondi rubati attraverso exchange decentralizzati (DEX), servizi di mining o servizi di miscelazione, confondendo i percorsi di transazione e rendendo difficile il tracciamento. Entro il 2024, possiamo osservare che le attività di riciclaggio degli hacker di chiavi private differiscono notevolmente da quelle degli hacker che utilizzano altri mezzi di attacco. Ad esempio, dopo aver rubato chiavi private, questi hacker spesso si rivolgono a servizi di bridging e di miscelazione. Per altri mezzi di attacco, gli exchange decentralizzati sono più comunemente utilizzati per le attività di riciclaggio.
Nel 2024, la quantità di denaro rubato dai hacker nordcoreani dalle piattaforme di criptovalute sarà maggiore che mai.
Gli hacker legati alla Corea del Nord sono noti per i loro metodi complessi e spietati; sfruttano frequentemente malware avanzato, ingegneria sociale e furti di criptovalute per finanziare operazioni sponsorizzate dallo stato e per eludere le sanzioni internazionali. Funzionari americani e internazionali stimano che Pyongyang utilizzi le criptovalute rubate per finanziare i suoi programmi di armi di distruzione di massa e missili balistici, minacciando la sicurezza internazionale. Fino al 2023, gli hacker legati alla Corea del Nord ruberanno circa 660,5 milioni di dollari in 20 eventi; entro il 2024, questa cifra aumenterà a 1,34 miliardi di dollari in 47 eventi, con un aumento del valore rubato del 102,88%. Questi numeri rappresentano il 61% del totale rubato quell'anno e il 20% del numero totale di eventi.
Si noti che nel rapporto dell'anno scorso abbiamo rilasciato informazioni secondo cui la Corea del Nord aveva rubato 1 miliardo di dollari attraverso 20 attacchi informatici. Dopo ulteriori indagini, abbiamo determinato che alcuni dei grandi attacchi informatici precedentemente attribuiti alla Corea del Nord potrebbero non essere più rilevanti, riducendo così l'importo a 660,5 milioni di dollari. Tuttavia, il numero di eventi rimane invariato poiché abbiamo scoperto altri attacchi informatici più piccoli attribuibili alla Corea del Nord. Il nostro obiettivo è riesaminare continuamente la nostra valutazione degli eventi informatici legati alla Corea del Nord man mano che otteniamo nuove prove on-chain e off-chain.
Sfortunatamente, gli attacchi alla criptovaluta da parte della Corea del Nord sembrano diventare sempre più frequenti. Nel grafico sottostante, esaminiamo il tempo medio tra i successi degli attacchi DPRK in base alla scala degli exploit, scoprendo che il numero di attacchi di varie dimensioni è diminuito rispetto all'anno precedente. È interessante notare che gli attacchi nel 2024 di valore tra 50 e 100 milioni di dollari, così come quelli di oltre 100 milioni di dollari, si sono verificati con una frequenza molto più alta rispetto al 2023, indicando che la Corea del Nord sta migliorando e accelerando nella realizzazione di attacchi su larga scala. Questo contrasta nettamente con i due anni precedenti, in cui i profitti per attacco erano spesso inferiori a 50 milioni di dollari.
Confrontando le attività della Corea del Nord con tutte le altre attività informatiche che monitoriamo, è evidente che la Corea del Nord è stata responsabile della maggior parte dei grandi attacchi negli ultimi tre anni. È interessante notare che l'importo degli attacchi informatici nordcoreani è relativamente basso, mentre la densità degli attacchi informatici di valore intorno ai 10.000 dollari continua ad aumentare.
Alcuni di questi eventi sembrano essere collegati a professionisti IT nordcoreani, che stanno infiltrandosi sempre più nelle aziende di criptovalute e Web3, compromettere le loro reti, operazioni e integrità. Questi dipendenti utilizzano spesso strategie, tecniche e procedure complesse (TTP), come identità false, assunzione di intermediari di reclutamento terzi e manipolazione delle opportunità di lavoro remoto per ottenere accesso. In un caso recente, il Dipartimento di Giustizia degli Stati Uniti ha accusato 14 cittadini nordcoreani che lavoravano come professionisti IT remoti negli Stati Uniti. Le aziende hanno guadagnato oltre 88 milioni di dollari rubando informazioni proprietarie e ricattando i datori di lavoro.
Per mitigare questi rischi, le aziende dovrebbero dare priorità a un'accurata due diligence nelle assunzioni, compresi controlli di background e verifiche dell'identità, mantenendo nel contempo una solida sicurezza delle chiavi private per proteggere gli asset chiave (se applicabile).
Nonostante tutte queste tendenze indichino che la Corea del Nord sia stata molto attiva quest'anno, la maggior parte dei suoi attacchi si è verificata all'inizio dell'anno, con un'ampia stagnazione dell'attività informatica nel terzo e quarto trimestre, come mostrato nei precedenti grafici.
Nella seconda metà di giugno 2024, il presidente russo Vladimir Putin e il leader nordcoreano Kim Jong-un si incontreranno a Pyongyang per firmare un accordo di difesa comune. Fino ad ora quest'anno, la Russia ha liberato milioni di dollari di beni nordcoreani precedentemente congelati in base alle sanzioni del Consiglio di Sicurezza delle Nazioni Unite, segnando un'evoluzione continua nell'alleanza tra i due paesi. Nel frattempo, la Corea del Nord ha dispiegato truppe in Ucraina, fornendo missili balistici alla Russia e, secondo quanto riferito, ha chiesto a Mosca tecnologie avanzate in materia di spazio, missili e sottomarini.
Se confrontiamo la perdita giornaliera media degli exploit DPRK prima e dopo il 1° luglio 2024, possiamo vedere che l'importo del valore rubato è diminuito significativamente. Come illustrato nel grafico sottostante, dopo tale data, l'importo rubato dalla Corea del Nord è diminuito di circa il 53,73%, mentre l'importo rubato non dalla Corea del Nord è aumentato di circa il 5%. Pertanto, oltre a deviare le risorse militari verso il conflitto in Ucraina, la Corea del Nord, che ha recentemente intensificato la cooperazione con la Russia, potrebbe anche aver cambiato le sue attività di crimine informatico.
Dopo il 1° luglio 2024, il calo dei fondi rubati dalla Corea del Nord diventerà evidente, e il tempismo sarà chiaro, ma è importante notare che questo calo non è necessariamente correlato alla visita di Putin a Pyongyang. Inoltre, alcuni eventi che si verificheranno a dicembre potrebbero cambiare questo modello entro la fine dell'anno, e gli aggressori spesso lanciano attacchi durante le festività.
Studio di caso: Attacco della Corea del Nord a DMM Bitcoin
Un famoso esempio di attacco informatico legato alla Corea del Nord nel 2024 coinvolge la piattaforma di scambio di criptovalute giapponese DMM Bitcoin, che è stata compromessa, portando a una perdita di circa 4.502,9 Bitcoin, all'epoca del valore di 305 milioni di dollari. Gli aggressori hanno sfruttato una vulnerabilità nell'infrastruttura utilizzata da DMM, portando a prelievi non autorizzati. In risposta, DMM, con il supporto della società madre, ha cercato di ripagare completamente i depositi dei clienti trovando fondi equivalenti.
Siamo stati in grado di analizzare i movimenti di fondi on-chain dopo l'attacco iniziale; nella prima fase, abbiamo visto gli aggressori trasferire criptovalute per un valore di milioni di dollari da DMM Bitcoin a diversi indirizzi intermedi, per poi arrivare infine ai server di miscelazione CoinJoin di Bitcoin.
Dopo aver miscelato con successo i fondi rubati utilizzando il servizio di miscelazione CoinJoin di Bitcoin, gli aggressori hanno trasferito parte dei fondi a Huioneguarantee tramite alcuni servizi di bridging, un mercato online legato al gruppo aziendale cambogiano Huione Group, un importante attore nel facilitare il crimine informatico.
DMM Bitcoin ha trasferito i suoi beni e i conti dei clienti alla controllata SBI VC Trade del gruppo finanziario giapponese SBI, con il passaggio previsto per completarsi entro marzo 2025. Fortunatamente, stanno emergendo nuovi strumenti e tecniche predictive, che esploreremo nella prossima sezione, per prepararci alla prevenzione di tali attacchi informatici distruttivi.
Utilizzare modelli previsionali per prevenire attacchi informatici
Tecnologie predittive avanzate stanno trasformando la sicurezza informatica, fornendo approcci proattivi per proteggere l'ecosistema digitale attraverso la rilevazione in tempo reale di potenziali rischi e minacce. Diamo un'occhiata all'esempio sottostante, che coinvolge il fornitore di liquidità decentralizzato UwU Lend.
Il 10 giugno 2024, gli aggressori hanno ottenuto circa 20 milioni di dollari manipolando il sistema degli oracoli di prezzo di UwU Lend. Gli aggressori hanno lanciato un attacco di prestito flash per alterare il prezzo dello Ethena Staked USDe (sUSDe) su più oracoli, causando una valutazione errata. Di conseguenza, gli aggressori sono stati in grado di prendere in prestito milioni di dollari in sette minuti. Hexagate ha rilevato l'attacco contrattuale e le sue distribuzioni simili circa due giorni prima dell'exploit.
Sebbene il contratto di attacco sia stato rilevato in tempo reale due giorni prima dell'exploit, il suo collegamento con il contratto sfruttato non è emerso immediatamente a causa della sua progettazione. Con l'ausilio di strumenti come gli oracoli di sicurezza di Hexagate, questa rilevazione precoce può essere ulteriormente sfruttata per mitigare le minacce. È importante notare che il primo attacco, che ha portato a una perdita di 8,2 milioni di dollari, è avvenuto pochi minuti prima degli attacchi successivi, fornendo un altro segnale importante.
Tali avvisi emessi prima di attacchi significativi alla catena hanno il potenziale per cambiare la sicurezza degli attori del settore, consentendo loro di prevenire completamente attacchi informatici costosi piuttosto che rispondere a essi.
Nel grafico sottostante, vediamo che gli aggressori hanno trasferito i fondi rubati attraverso due indirizzi intermedi prima che raggiungessero il miscelatore di contratti intelligenti Ethereum approvato dall'OFAC, Tornado Cash.
Tuttavia, è importante notare che semplicemente accedere a questi modelli previsionali non garantisce la prevenzione degli attacchi informatici, poiché i protocolli potrebbero non avere sempre gli strumenti appropriati per agire efficacemente.
È necessaria una sicurezza crittografica più forte
L'aumento delle criptovalute rubate nel 2024 evidenzia la necessità del settore di affrontare la crescente complessità e le minacce in continua evoluzione. Sebbene la scala dei furti di criptovalute non sia ancora tornata ai livelli del 2021 e 2022, la ripresa di cui sopra evidenzia le lacune nelle misure di sicurezza esistenti e l'importanza di adattarsi ai nuovi metodi di sfruttamento. Per affrontare efficacemente queste sfide, la cooperazione tra il settore pubblico e privato è fondamentale. Programmi di condivisione dei dati, soluzioni di sicurezza in tempo reale, strumenti di tracciamento avanzati e formazione mirata possono consentire agli stakeholder di identificare e neutralizzare rapidamente gli attori malevoli, costruendo la resilienza necessaria per proteggere gli asset crittografici.
Inoltre, con l'evoluzione continua del quadro normativo delle criptovalute, potrebbe esserci un aumento dell'attenzione sulla sicurezza delle piattaforme e sulla protezione degli asset dei clienti. Le migliori pratiche del settore devono tenere il passo con questi cambiamenti per garantire prevenzione e responsabilità. Collaborando con le forze dell'ordine e fornendo risorse e competenze per una risposta rapida, il settore delle criptovalute può rafforzare le proprie capacità di prevenzione dei furti. Questi sforzi sono cruciali non solo per proteggere gli asset individuali, ma anche per stabilire fiducia e stabilità a lungo termine nell'ecosistema digitale.