FOCUS ON

Lazarus Group mette a segno un colpo da 1,5 miliardi di dollari

13 Marzo 2025
Lazarus Group TS-Way cover

Il furto, fra supply chain e CEO fraud

Il 21 febbraio scorso, l’APT nordcoreano Lazarus Group ha messo a segno un colossale attacco contro l’exchange di criptovalute Bybit.

Divenuto ormai uno specialista in grandi operazioni finalizzate all’autofinanziamento, questa volta Lazarus ha sfruttato una combinazione tra una compromissione alla supply chain tecnologica e tattiche simili a quelle della CEO fraud.

L’operazione è stata avviata con la compromissione di un computer macOS appartenente a uno sviluppatore di SafeWallet, software usato da Bybit per proteggere gli asset digitali. Nel dettaglio, Lazarus avrebbe approfittato di vulnerabilità dovute a una non completa compatibilità di Safe con altri tool di sicurezza (Ledger) sfruttati dall’exchange per manipolare il sistema di autorizzazione delle transazioni.

Poi ha approfittato del momento in cui si stava per effettuare un trasferimento già programmato dall’azienda fra un cold wallet multisig ETH (un wallet multifirma di Ethereum con archiviazione offline, considerato molto sicuro) a un hot wallet (una tipologia che è sempre connessa a internet). Grazie a token di sessione AWS sottratti al computer dello sviluppatore, ha inviato al CEO e co-fondatore di Bybit, Ben Zhou, la richiesta per una transazione da circa 1,5 miliardi di dollari in ETH. L’uomo deve aver interpretato la richiesta come legittima e coerente col momento e l’ha quindi approvata.

“Bug bounty” carente e un disperato “hack bounty”

Gli analisti puntano il dito, non tanto contro la leggerezza di Ben Zhou, quanto soprattutto contro presunte mancanze nella pratica di security di Bybit, sottolineando che i programmi di Bug Bounty attivi offrirebbero cifre molto contenute anche per la scoperta di vulnerabilità considerate critiche.

Ben Zhou ha annunciato sul portale lazarusbounty.com una taglia complessiva di circa 140 milioni di dollari per rintracciare i fondi ETH persi, con la promessa del 5% delle crypto recuperate a chi identificherà e segnalerà una transazione blockchain legata al furto e a qualsiasi exchange o mixer che supporti il recupero dei fondi. Il programma ha già pagato oltre 4 milioni di dollari a coloro che hanno aiutato a tracciare le transazioni legate al furto. Inoltre, sarà creata la piattaforma HackBounty, un’iniziativa a livello settoriale per combattere i furti delle crypto.

Inoltre, l’FBI ha pubblicato un avviso online chiedendo agli operatori di nodi blockchain di bloccare le transazioni provenienti da indirizzi wallet collegati al gruppo nordcoreano, che sarebbero stati sfruttati per il riciclaggio. Se in un primo momento risultava già riciclato il 20% dei fondi, ad inizio marzo tutti i 499.000 Ethereum rubati sembra fossero già completamente dispersi.

Secondo fonti informate, le autorità di regolamentazione dell’Unione Europea starebbero indagando su un servizio dell’exchange OKX che potrebbe aver avuto un ruolo nel riciclaggio di 100 milioni di dollari di fondi derivanti dall’attacco.

Il colpo contro Bybit supera ampiamente il record del furto contro il Ronin Network di Axie Infinity del marzo 2022, in cui fu rubato l’equivalente di circa 620 milioni di dollari. Nel giro di 48 ore il mercato delle criptovalute ha subito un consistente scossone, segnalato dal crollo del prezzo del Bitcoin (-20%).

Ora, sono molti gli interrogativi che vengono posti sulla politica di sostegno alle cryptovalute, fortemente patrocinata dall’attuale Amministrazione Trump. Il 6 marzo, il Presidente USA ha firmato un ordine esecutivo che istituisce una “Riserva strategica di Bitcoin” pari a 17 miliardi di dollari, acquisiti tramite confisca di beni in sede penale e civile. Il giorno successivo ha convocato il primo “White House Crypto Summit” alla presenza dei principali stakeholders del settore.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence