ブロックチェーン分析企業TRM Labsの報告によると、3500万米ドル以上の仮想通貨をLastPassユーザーから盗難したのは、おそらくロシアのサイバー犯罪集団である。
分析では、何年にもわたる仮想通貨ウォレットからの盗難と、2022年にパスワードマネージャーLastPassがハッキングされたことの間に関連性があるとされている。盗難された資金は、ロシアのサイバー犯罪界と関連する違法な金融構造を通じて流れている。
ロシアのサイバー犯罪集団は、このような方法で盗難資金を洗浄している
TRM Labsの研究者は、犯人がデータ保護プロトコルを使用して資金の流れを隠蔽するために利用したことを発見した。それでも、彼らは資金をロシアのプラットフォームに誘導した。
報告書によると、犯人は2025年終了まで、ハッキングされた金庫から資産をさらに盗み続けている。
攻撃者は、ロシアのハッカーが以前に使用していた経路を系統的に資金洗浄に利用した。その中の一つのプラットフォームがCryptexであり、現在は米国外国資産管理局(OFAC)によって制裁を受けているDEXである。
TRM Labsは、盗難を単一の組織化されたグループと結びつける「一定のオンチェーン署名」を発見したと説明した。
攻撃者は、常に非ビットコイン資産をビットコインに交換していた。これは、即時交換サービスを活用して行われた。その後、資金はWasabi WalletやCoinJoinなどのミキシングサービスに流入した。
このようなツールは、多数のユーザーの資金を混ぜることで、取引履歴を隠蔽し、追跡できなくする目的がある。
しかし報告書は、これらのデータ保護技術に重要な脆弱性があることを示している。分析官たちは、行動の分析を用いて取引を監視し、「ミキシングを解除」することができた。
例えば、ウォレットソフトウェアがプライベートキーをインポートする様子を追跡することで、ミキシングプロセスを逆引きできた。これにより、仮想通貨がデータ保護プロトコルを通じてロシアの取引所まで追跡可能となった。
Cryptexに加えて、捜査官はロシアのサイバー犯罪界に属する別の交換サービスであるAudi6で、約700万米ドルの盗難資金を発見した。
報告書によると、ミキサーと接触したウォレットは、資金洗浄の前後ともにロシアとの「運用上の関係」を持っていた。つまり、ハッカーはインフラを単に使用しただけでなく、直接その地域から活動していたのである。
結果は、ロシアの仮想通貨プラットフォームが世界的なサイバー犯罪において重要な役割を果たしていることを示している。
資金洗浄グループは、流動性と盗難されたデジタル資産の換金手段を提供するため、データ漏洩を金銭に変換し、国際的な捜査を回避できる。
