TRM Labs ziņoja, ka ir liela iespēja, ka Krievijas kibernoziedznieki ir iesaistīti vairāk nekā 35 miljonu dolāru naudas atmazgāšanā, kas nozagta no LastPass lietotājiem.
Šī izpēte saistīja vairāku gadu laikā notikušo kriptovalūtu maku noplūdi ar 2022. gada paroli pārvaldības pakalpojuma LastPass pārkāpumu. Tika norādīts, ka nozagtie līdzekļi tika pārvietoti caur nelikumīgu finanšu infrastruktūru, kas saistīta ar Krievijas kibernoziegumu zemgrupu.
Krievijas kibernoziegumu naudas atmazgāšanas metodes
Saskaņā ar TRM Labs pētnieku teikto, uzbrucēji, lai slēptu līdzekļu plūsmu, izmantoja privātuma protokolu, tomēr galu galā tie tika nosūtīti uz Krievijā bāzētu platformu.
Saskaņā ar ziņojumu, noziedznieki turpina noplūdināt līdzekļus no nesen pārkāptiem makiem līdz 2025. gada beigām.
Ļaunprātīgi uzbrucēji sistemātiski novirzīja nozagtos līdzekļus uz "off-ramp", ko vēsturiski izmantojuši krievu apdraudējuma spēki. Viens no piemēriem ir Cryptex, kas šobrīd ir ASV Finanšu ministrijas Ārvalstu aktīvu pārvaldības biroja (OFAC) sankciju sarakstā.
TRM Labs apgalvoja, ka ir identificējuši "konsekventu on-chain parakstu", kas saista šos zādzības ar vienu organizētu grupu.
Uzbrucēji atkārtoti apmainīja līdzekļus, kas nav bitcoin, ar bitcoin, izmantojot momentānas apmaiņas pakalpojumus. Pēc tam tie tika nosūtīti uz miksēšanas pakalpojumiem, piemēram, Wasabi Wallet un CoinJoin.
Šie rīki apvieno vairāku lietotāju līdzekļus un sarežģī darījumu vēsturi, teorētiski padarot to grūti izsekojamu.
Tomēr ziņojums uzsver šo privātuma tehnoloģiju būtiskos trūkumus. Analītiķi veiksmīgi veica "demiksāciju" uzvedības saglabāšanas analīzē.
Izmeklētāji sekoja digitālajām pēdām, piemēram, tam, kā maku programmatūra importēja slepenos atslēgas, un veiksmīgi atrisināja miksēšanas procesu. Tika identificēta digitālo valūtu plūsmu, kas iziet caur privātuma protokoliem, un apstiprināta galīgā plūsma uz Krievijas biržu.
Papildus Cryptex, izmeklētāji izsekoja aptuveni 7 miljonus dolāru no nozagtajiem līdzekļiem citam darījumu pakalpojumam Audi6, kas darbojas Krievijas kibernoziegumu ekosistēmā.
Ziņojums norādīja, ka maki, kas mijiedarbojās ar mixer, pirms un pēc naudas atmazgāšanas parādīja "operatīvo saikni ar Krieviju". Hakeri, visticamāk, neizmantoja tikai infrastruktūras nomu, bet darbojās tieši no vietas.
Šie fakti izgaismo Krievijā bāzētu kriptovalūtu platformu lomu globālā kibernoziegumā.
Piedāvājot nozagtās digitālās mantas izejas punktus un likviditāti, šie biržas atbalsta datu pārkāpuma dēļ nozagtos līdzekļus pārveidot par naudu un izvairīties no starptautiskās tiesībaizsardzības.
