Blockchain tyrimų įmonė TRM Labs teigia, kad tebevykstančios kriptovaliutų vagystės buvo atsektos iki 2022 m. LastPass pažeidimo, o užpuolikai išeikvodavo pinigines praėjus metams po to, kai buvo pavogti šifruoti saugyklos, ir išplauna kriptovaliutą per Rusijos biržas.
2022 m. „LastPass“ atskleidė, kad užpuolikai pažeidė jos sistemas, pakenkdami kūrėjo aplinkai, pavogdami įmonės šaltinio kodo dalis ir patentuotą techninę informaciją.
Vėlesnio, bet susijusio saugumo incidento metu įsilaužėliai pažeidė debesų saugyklos įmonę „GoTo“, naudodami anksčiau pavogtus kredencialus ir pavogė platformoje saugomas „LastPass“ duomenų bazės atsargines kopijas. Kai kuriems klientams šiose užšifruotose slaptažodžių saugyklose buvo ne tik kredencialai, bet ir privatūs kriptovaliutų piniginės raktai bei pradinės frazės.
Nors saugyklos buvo užšifruotos, naudotojai, turintys silpnus arba pakartotinai naudojamus pagrindinius slaptažodžius, buvo pažeidžiami neprisijungus veikiančio nulaužimo, kuris, kaip manoma, tęsiasi nuo pat pažeidimo.
„Priklausomai nuo jūsų pagrindinio slaptažodžio ilgio ir sudėtingumo bei iteracijų skaičiaus nustatymo, galbūt norėsite iš naujo nustatyti pagrindinį slaptažodį“, – perspėjo LastPass, kai jie atskleidė pažeidimą.
Ryšį tarp LastPass pažeidimų ir kriptovaliutų vagysčių dar labiau patvirtino JAV slaptoji tarnyba, kuri 2025 metais konfiskavo daugiau nei 23 milijonus dolerių kriptovaliutos ir teigė, kad užpuolikai gavo aukų privačius raktus iššifruodami saugyklos duomenis, pavogtus slaptažodžių tvarkyklės pažeidimo metu.
Teismui pateiktose bylose agentai teigė, kad nėra įrodymų, kad aukų įrenginiai buvo pažeisti dėl sukčiavimo ar kenkėjiškų programų, ir kad jie manė, kad vagystė buvo susijusi su pavogtomis slaptažodžių saugyklomis.
Kripto vagystės, susijusios su LastPass pažeidimu
Praėjusią savaitę paskelbtoje ataskaitoje TRM teigė, kad vykstančios kriptovaliutų vagysčių atakos buvo atsektos dėl piktnaudžiavimo užšifruotomis LastPass slaptažodžių saugyklomis, pavogtomis 2022 m.
Užuot ištuštėjusi piniginė iškart po pažeidimo, vagystės kilo po kelių mėnesių ar metų, o tai iliustruoja, kaip užpuolikai palaipsniui iššifravo saugyklas ir išima saugomus kredencialus.
Paveiktos piniginės buvo nusausintos naudojant panašius operacijų metodus, be jokių pranešimų apie naują ataką, o tai rodo, kad užpuolikas turėjo privačius raktus prieš vagystes.
„Sąsaja ataskaitoje pagrįsta ne tiesioginiu priskyrimu atskiroms LastPass paskyroms, o tolesnio grandinės veiklos susiejimu su žinomu 2022 m. pažeidimo poveikio modeliu“, – „BleepingComputer“ sakė TRM.
„Tai sukūrė scenarijų, pagal kurį piniginės nutekėjimas įvyktų gerokai po pirminio pažeidimo, o ne iš karto ir skirtingomis bangomis.
TRM sakė „BleepingComputer“, kad jo tyrimas iš pradžių buvo pagrįstas nedideliu ataskaitų skaičiumi, įskaitant „Chainabuse“ pateiktus pranešimus, kuriuose vartotojai nustatė, kad „LastPass“ pažeidimas buvo būdas pavogti jų pinigines.
Tyrėjai išplėtė savo tyrimą nustatydami kriptovaliutų operacijų elgesį kitais atvejais, susiedami vagystes su LastPass duomenų vagysčių kampanija.
TRM sakė „BleepingComputer“, kad svarbiausia jų tyrimų dalis buvo galimybė atsekti pavogtas lėšas net ir po to, kai jos buvo sumaišytos naudojant Wasabi Wallet CoinJoin funkciją.
„CoinJoin“ yra „Bitcoin“ privatumo metodas, sujungiantis kelių vartotojų operacijas į vieną operaciją, todėl sunkiau nustatyti, kurios įvestys atitinka kokius išėjimus.
„Wasabi Wallet“ apima „CoinJoin“ kaip integruotą funkciją, leidžiančią vartotojams automatiškai maišyti savo „Bitcoin“ su kitais, kad būtų užmaskuotos operacijos, nepasitikėdami maišymo paslauga.
Išsiurbę pinigines, užpuolikai konvertavo pavogtą kriptovaliutą į Bitcoin, nukreipė juos per Wasabi Wallet ir bandė paslėpti savo pėdsakus naudodami CoinJoin operacijas.
Tačiau TRM teigia, kad ji sugebėjo „išskaidyti“ kriptovaliutą, siunčiamą per „CoinJoin“ operacijas, analizuodama elgesio ypatybes, tokias kaip operacijų struktūra, laikas ir piniginės konfigūracijos pasirinkimai.
„Užuot bandę atskirti atskiras vagystes atskirai, TRM analitikai analizavo veiklą kaip koordinuotą kampaniją, nustatydami Wasabi indėlių ir išėmimų grupes laikui bėgant. Naudodami patentuotus maišymo būdus, analitikai priderino įsilaužėlių indėlius į konkrečią išėmimo grupę, kurios bendra vertė ir laikas nepanašus į srautą. būti sutapimas.
Blockchain pirštų atspaudai, pastebėti prieš maišant, kartu su žvalgybos duomenimis, susijusiais su piniginėmis po maišymo proceso, nuolat rodė Rusijoje pagrįstą operacijų kontrolę. Tęstinumas iki mišinio ir po mišinio stiprina pasitikėjimą, kad pinigų plovimą vykdė veikėjai, veikiantys Rusijos kibernetinių nusikaltimų ekosistemoje arba glaudžiai su ja susiję.
❖ TRM laboratorijos
Laikydamas vagystes kaip suderintą kampaniją, o ne atskirus kompromisus, TRM sugebėjo suderinti Wasabi indėlių grupes su išėmimo modeliais, kurie atitiko kriptovaliutų vagysčių atakas per LastPass pažeidimą.
Ankstyvas pinigų išėmimas po to, kai ištekėjo piniginė, toliau rodo, kad už maišymo veiklą slypi tie patys grėsmės veikėjai, kurie pavogė lėšas.
Naudojant šią techniką, TRM apskaičiavo, kad 2024 m. pabaigoje ir 2025 m. pradžioje per Wasabi Wallet buvo pavogta ir išplauti daugiau nei 28 mln. USD vertės kriptovaliuta. Dar 7 mln.
TRM teigia, kad lėšos buvo pakartotinai išgrynintos per tas pačias su Rusija susijusias biržas, įskaitant „Cryptex“ ir „Audi6“, o tai taip pat rodo, kad už šiuos pažeidimus slypi tie patys grėsmės veikėjai.
MCP (Model Context Protocol) tampant LLM prijungimo prie įrankių ir duomenų standartu, saugos komandos sparčiai dirba, kad šios naujos paslaugos būtų saugios.
Šiame nemokamame apgaulės lape pateikiamos 7 geriausios praktikos, kurias galite pradėti naudoti jau šiandien.
