Afgelopen weekend stalen cybercriminelen 1,4 miljard euro aan cryptomunten van de beurs Bybit – de grootste diefstal ooit van virtuele valuta. Vandaag bevestigde de FBI dat de Noord-Koreaanse hackersgroep Lazarus verantwoordelijk was.
is nieuwsverslaggever van de Volkskrant, met tech als specialisme.
Hoe weet de FBI dat Noord-Korea achter de hack zit?
Alle transacties van cryptovaluta worden opgeslagen in een virtueel grootboek, de zogeheten ‘blockchain’. Die is niet in het bezit van een enkele partij. Noord-Korea kan de informatie over de Bybit-roof daarom ook niet zomaar kan uitwissen. Iedereen kan de blockchain inzien, en ontdekken welke transacties zijn gedaan, wanneer en door welke accounts.
Die ‘accounts’ – geanonimiseerde identiteiten in de vorm van een serie letters en cijfers – kon de FBI dus ook gemakkelijk bekijken. De veiligheidsdienst meldde vandaag dat het de adressen herkende: ze zouden verbonden zijn aan de hackersgroep Lazarus, die gesteund wordt door de Noord-Koreaanse staat.
Enkele dagen na de hack blijkt dat groep zeer inventief te werk is gegaan. Een virtuele cryptokluis binnendringen is heel lastig, maar team-Lazarus wist de opname van het enorme bedrag van persoonlijke tegoeden van gebruikers te maskeren. De kluis was zo beveiligd, dat meerdere (menselijke) beveiligers van de cryptobeurs tegelijkertijd toestemming moesten geven voor transacties.
De hackers zorgden ervoor dat die beveiligers een nepbeeld op hun computerscherm te zien kregen waarop de transactie onbeduidend en veilig leek. Zonder het te weten gaven de beveiligers zelf ‘toestemming’ voor de roof.
Wat doen de hackers met zo’n enorme buit cryptomunten?
Er is in totaal 400 duizend Ethereum gestolen, na Bitcoin de grootste cryptomunt. Hoewel die buit in theorie 1,4 miljard euro waard is, bezitten de hackers nog geen enkele euro, dollar of Noord-Koreaanse won. De roof was pas stap één, vertelt Frank van Weert, oprichter van blockchainanalyst Whale Alert. Hij kan zien dat de hackers direct na de roof hun buit ophakten in kleine stukjes. ‘Ze proberen de boel te laten verdwijnen.’
De kleine pakketjes ethereum zijn makkelijker te verkopen op verschillende onlinecryptobeurzen. Al is het maar omdat niemand – onopgemerkt – in één klap 400 duizend Ethereum kan kopen. De Noord-Koreanen proberen op allerlei verschillende cryptobeurzen hun gestolen buit te verkopen, aldus Van Weert. Maar de grootste beurzen, zoals Binance, worden door hun historie met het meewerken aan witwaspraktijken strenger in de gaten gehouden.
‘Helaas zijn er allerlei kleinere beurzen, en beurzen zonder centraal toezicht, die alsnog meewerken’, zegt Van Weert. ‘Ik denk dat de kans heel klein is dat we dit geld gaan terugzien.’ Dat de verkoop herleidbaar is, maakt de Noord-Koreanen niet meer uit: het enige wat er voor hen toe doet, is dat ze het bedrag om kunnen zetten in reguliere valuta.
Wat is er bekend over de Noord-Koreaanse cryptoportemonnee?
‘Wist ik het maar’, zegt hoogleraar Koreastudies Remco Breuker. Er komen zo nu en dan rapporten uit over de hoeveelheid crypto die het regime van Kim Jong-un inmiddels zou hebben buitgemaakt, maar dat zijn altijd educated guesses, aldus Breuker. Volgens een van die schattingen zou Noord-Korea in heel 2024 ongeveer 1,25 miljard euro aan cryptovaluta hebben gestolen – minder dan in deze ene nieuwe roof.
Wat Breuker wel zeker weet, is dat digitale roof, waaronder cryptodiefstal, een van de belangrijkse inkomstenbronnen is voor Noord-Korea. ‘Door alle internationale sancties op Noord-Koreaanse handel moet de staat op allerlei alternatieve manieren aan z’n geld komen’, verklaart hij.
Een deel van de winst zal de staat uitbetalen aan de hackers als loon: ‘De staat moet hen tevreden houden, en blijven overtuigen aan Noord-Koreaanse kant te blijven.’ Lang niet alle Lazarus-hackers zijn Noord-Koreaans – er zitten bijvoorbeeld ook Russen tussen – en de Noord-Koreaanse leden werken hoogstwaarschijnlijk niet vanuit hun thuisland.
Volgens het Amerikaanse ministerie van Defensie gebruikt Noord-Korea de opbrengsten van cryptoroven onder meer om de ontwikkeling van kernwapens te financieren. Zo simpel is het niet, zegt Breuker. De crypto, al dan niet verzilverd, kan met bijvoorbeeld Rusland worden geruild voor informatie of andere wapens. ‘Dit draagt indirect wel bij aan het kernprogramma’, denkt hij.
Noord-Korea is niet bepaald het meest technologisch ontwikkelde land ter wereld. Hoe kan het dan toch een recordroof uitvoeren?
In Noord-Korea bestaat geen vrij internet. ‘Er zijn maar een paar honderd mensen die internet hebben’, zegt Breuker. Dat betekent echter niet dat er geen kundige Noord-Koreaanse hackers zijn. Integendeel: al meer dan veertig jaar zijn er hoogwaardige opleidingen voor hackers.
Kim Jong-il, de voormalige leider van Noord-Korea, zag al in de jaren tachtig in dat hij de reguliere oorlogvoering zou verliezen met Zuid-Korea, dat een veel sterkere economie heeft. Breuker: ‘Hij zette daarom al vroeg in op het werven van computertalent, waardoor de Noord-Koreaanse digitale oorlogsvoering het nu kan opnemen tegen de rest van de wereld.’
Geselecteerd door de redactie
Source: Volkskrant