Хакеры из России отмыли $35 млн через взлом LastPass

Российские киберпреступники, вероятно, несут ответственность за легализацию более $35 млн в криптовалюте. Эти средства были похищены у пользователей менеджера паролей LastPass. К такому выводу пришли специалисты блокчейн-аналитической компании TRM Labs в своем отчете.

Эксперты связали многолетний процесс опустошения криптокошельков с нарушением системы безопасности LastPass в 2022 году. Похищенные активы проходили через незаконную финансовую инфраструктуру, которая исторически ассоциируется с российским теневым рынком.

Механизм легализации украденных активов

Исследователи выяснили, что атакующие использовали протоколы конфиденциальности для запутывания следов. Однако в конечном итоге средства оседали на платформах, базирующихся в России. Согласно отчету, преступники продолжали выводить активы из скомпрометированных хранилищ вплоть до конца 2025 года.

Злоумышленники систематически отмывали деньги через каналы, которые традиционно используют российские хакеры. Одной из таких площадок стала биржа Cryptex. В настоящее время она находится под санкциями Управления по контролю за иностранными активами США (OFAC).

Специалисты TRM Labs выявили «устойчивый ончейн-почерк», связывающий серию краж с единой скоординированной группой. Атакующие регулярно конвертировали различные токены в биткоин через сервисы мгновенного обмена. Затем средства направлялись в миксеры, такие как Wasabi Wallet и CoinJoin.

Деанонимизация транзакций

Инструменты микширования предназначены для объединения средств множества пользователей с целью запутывания истории операций. Теоретически это делает транзакции не отслеживаемыми. Однако аналитики TRM Labs обнаружили уязвимость в использовании этих технологий преступниками.

Экспертам удалось «размикшировать» транзакции, применив анализ поведенческой непрерывности. Следователи отследили специфические цифровые отпечатки. Например, они изучили, как программное обеспечение кошельков импортировало приватные ключи.

В результате процесс микширования был успешно дешифрован. Это позволило проследить движение цифровой валюты сквозь протоколы конфиденциальности вплоть до финального депозита на российские биржи.

Роль локальных платформ

Помимо Cryptex, расследование вывело на сервис Audi6. Эта обменная платформа также функционирует внутри экосистемы российской киберпреступности. Через нее прошло около $7 млн похищенных средств.

Роль российских криптоплатформ в отмывании средств Lastpass. Источник: TRM Labs

Отчет подчеркивает важную деталь. Кошельки, взаимодействующие с миксерами, демонстрировали операционные связи с Россией как до, так и после процесса отмывания. Это свидетельствует о том, что хакеры не просто арендовали инфраструктуру, а действовали непосредственно из региона.

Полученные данные подтверждают роль некоторых криптоплатформ в обеспечении глобальной киберпреступности. Предоставляя ликвидность и каналы для вывода украденных цифровых активов, эти биржи позволяют преступным группам монетизировать взломы данных, избегая преследования со стороны международных правоохранительных органов.