Nordkoreanske hackere har travlt med at veksle beløb fra kæmpe kup

Udbyttet fra kæmpekuppet for tre uger siden mod en stor kryptobørs er nu bid for bid ved at blive indløst af nordkoreanske hackere, som forsøger at undgå at blive stoppet undervejs mod banken. Det menes at være den berygtede hackergruppe Lazarus, som stod bag tyveriet af kryptovaluta for halvanden milliard dollar (10,3 milliarder kroner) – det største tyveri af sin slags nogensinde. Lazarus-gruppen er kendt for at arbejde for det nordkoreanske regime, som via hackerne skaffer sig penge til at finansiere især landets atomvåbenprogram. Ifølge eksperter, der følger de finansielle transaktioner, er det lykkedes hackerne at få vekslet for mindst 300 millioner dollar (2,1 milliarder kroner) siden kuppet. Snedigt angreb – ændrede adressen Det gik ud over kryptovalutabørsen Bybit, der har hovedsæde i Dubai. Det lykkedes hackerne at tage pengene fra selskabets digitale pengepung, mens Bybit var i færd med at overføre beløb til dækning af den daglige handel. Det stjålne beløb er i ethereum, som er den næststørste kryptovaluta målt i værdi efter den mere kendte bitcoin. Kryptovalutaen skal imidlertid omsættes til »almindelige« valutaer, før Nordkorea kan gøre brug af pengene, der herefter ikke vil kunne spores så tæt. Det er denne omveksling, som foregår lige nu, mens myndigheder og eksperter forsøger at få den stoppet, så hackerne ikke kan bruge det stjålne. »Hvert minut tæller for hackerne, som forsøger at forvirre pengesporet, og de er ekstremt avancerede med, hvad de gør,« siger Tom Robinson, medstifter af kryptoefterforskningsselskabet Elliptic, til britiske BBC. Han kan følge så tæt med, at han kan fastslå, at hackerne kun holder få timers pause hver dag, hvorfor han antager, at de arbejder i skiftehold for at få vekslet den stjålne kryptovaluta til kontanter. Elliptics analyse svarer til Bybits egen, som siger, at 20 procent af de stjålne penge nu er »forsvundet i mørket« uden udsigt til, at de nogensinde bliver fundet. Kuppet fandt sted 21. februar. Her forsvandt 401.000 ethereum ved et snedigt angreb. Disse penge skulle Bybit nemlig overføre fra en af sine egne digitale punge til en anden, men det lykkedes hackerne i det skjulte at ændre adressen, således at beløbet i stedet blev sendt til dem, da Bybit trykkede på knappen. Stor dusør for at finde pengene Bybit har siden udsat en dusør til dem, der kan spore pengene. Indstil nu har 20 personer fået udbetalt mere end fire millioner dollar (27,5 millioner kroner) i dusør for at have sporet 40 millioner dollar af de stjålne penge. Men hackerne har stor ekspertise og mangeårig erfaring, så it-sikkerhedseksperter har ikke store forventninger til, at det lykkes at finde de stjålne penge, før de hvidvaskes. Det er heller ikke alle kryptoselskaber, som er villige til at hjælpe til med opklaringen. Nordkorea har aldrig indrømmet at stå bag Lazarus-gruppen, der menes at arbejde fra også Kina og tidligere har været involveret i flere spektakulære tyverier af kryptovaluta. Lazarus-gruppen stod blandt andet bag den berygtede computervirus WannaCry, som i 2017 blev sluppet løs og blandt andet lagde Mærsk-koncernen ned, hvilket kostede rederigiganten omkring 1,9 milliarder kroner efter store og langvarige problemer. I Vesten rangerer Nordkorea sammen med Kina, Rusland og Iran som de fire største statsstøttede cybertrusler. https://www.berlingske.dk/virksomheder/nordkoreanske-hackere-har-travlt-med-at-veksle-beloeb-fra-kaempe-kup