Російська мережа відмивання грошей викрита! Внутрішній слідство викрадення 35 мільйонів доларів у LastPass

Блокчейн-аналітична компанія TRM Labs нещодавно опублікувала дослідження, в якому відстежено понад 35 мільйонів доларів криптовалюти, викрадених з користувачів менеджера паролів LastPass, що в кінцевому підсумку потрапили у мережу відмивання грошей, контрольовану російськими кіберзлочинними групами. Ця справа виникла внаслідок витоку даних LastPass у 2022 році, хакери приховували потоки коштів за допомогою приватних угод і сервісів змішування, але їх все одно вдалося розкрити.

Від LastPass до російських бірж: шлях відмивання грошей

(Джерело: TRM Labs)

Дослідження TRM Labs показує, що російські мережі відмивання грошей застосовують багаторівневу стратегію очищення коштів. Зловмисники спершу конвертують різні цифрові активи, викрадені з криптогаманців користувачів LastPass, у біткоїни через миттєві обмінні сервіси. Це спрощує подальшу обробку та використовує високу ліквідність і анонімність біткоїна для підготовки до наступного етапу змішування.

Після конвертації коштів хакери частинами вводять біткоїни у платформи змішування, такі як Wasabi Wallet і CoinJoin. Ці інструменти збирають кошти кількох користувачів і переробляють транзакції, щоб заплутати зв’язки між початковими джерелами і кінцевими адресами. Теоретично, така технологія робить потоки коштів невідстежуваними, оскільки кожен вихід може мати кілька вхідних джерел.

Однак у звіті TRM Labs зазначається, що технології змішування мають структурні вразливості. Аналізуючи «послідовні ознаки у ланцюгу», дослідники виявили, що ці розподілені транзакції фактично походять з однієї організованої групи. Зловмисники повторно використовують певне програмне забезпечення для імпорту приватних ключів, що стає ключовим елементом для відстеження. Крім того, поведінкові моделі до і після змішування демонструють явну послідовність, що дозволяє слідчим «відокремлювати» транзакції змішування і простежувати реальні потоки коштів під прикриттям приватних угод.

Зрештою, очищені кошти зберігаються на російських криптовалютних біржах. Найбільшим отримувачем є Cryptex, яка вже внесена до санкційного списку OFAC і обслуговує російську кіберзлочинну екосистему. Крім того, слідчі відстежили близько 7 мільйонів доларів викрадених коштів, що потрапили на платформу Audi6 — ще один активний сервіс для відмивання грошей у російській мережі.

Роль російських крипто-платформ у системі відмивання грошей

Дослідження TRM Labs розкриває системну роль російських крипто-платформ у глобальній кіберзлочинності. Ці біржі не є просто пасивними сервісами, а активно формують інфраструктуру злочинної діяльності.

Особливо наголошується, що гаманці, що взаємодіють із змішувачами, мають «операційний зв’язок» із Росією до і після процесу відмивання. Це свідчить про те, що хакери не просто орендують сторонні інфраструктурні ресурси, а безпосередньо ведуть бізнес у Росії. Від технічної архітектури до потоків коштів — вся мережа відмивання базується на російських підпільних організаціях, формуючи високопрофесійний і організований механізм.

Факт санкціонування Cryptex з боку OFAC підкреслює зусилля уряду США у боротьбі з російською мережею відмивання. Однак реальний ефект санкцій обмежений, оскільки ці платформи здебільшого обслуговують російських користувачів і інші структури, що ухиляються від санкцій, і мають дуже низьку залежність від міжнародних ринків. Наявність платформ, таких як Audi6, ще більше підтверджує, що навіть при санкціях російські мережі відмивання можуть швидко створювати альтернативні канали.

Три основні функції російських платформ для відмивання грошей

Забезпечення миттєвого виходу ліквідності: російські біржі швидко конвертують викрадені криптоактиви у фіат або інші важко відстежувані активи.

Обхід міжнародного регулювання: ці платформи зазвичай ігнорують KYC (знай свого клієнта) і AML (боротьба з відмиванням грошей), забезпечуючи анонімність злочинних коштів.

Створення закритої екосистеми: від сервісів змішування до кінцевого обміну — російська мережа відмивання формує цілі ланцюги індустрії, дозволяючи хакерам завершувати процес без участі міжнародних бірж.

Технологічний прорив у блокчейн-експертизі: розкриття змішувальної завіси

Ключовим у відстеженні російської мережі відмивання є «аналіз послідовності поведінки». Традиційний аналіз блокчейну базується на побудові графів транзакцій, але введення змішувачів ускладнює цю задачу. Інновація TRM Labs полягає у тому, що вони аналізують не окремі транзакції, а поведінкові моделі, що дозволяє ідентифікувати цифрові сліди, які зловмисники залишають у процесі.

Зокрема, аналітики виявили, що під час переказу коштів із викрадених гаманців, спосіб імпорту приватних ключів має унікальні ознаки. Технічні деталі обробки приватних ключів різняться залежно від програмного забезпечення, і ці дрібні відмінності залишають сліди, що можна простежити у ланцюгу. Крім того, хакери демонструють послідовність у часі, пропорціях розбиття коштів і частоті транзакцій, що дозволяє кластеризувати їх поведінкові шаблони і пов’язувати сотні адрес у єдину злочинну групу.

Звіт зазначає, що станом на 2025 рік злочинці продовжують викрадати активи із зламаних гаманців LastPass. Це свідчить про те, що наслідки витоку 2022 року ще не завершилися, і частина приватних ключів жертв досі у руках хакерів. Постійна робота російської мережі відмивання показує, що поки існують ці нелегальні фінансові інфраструктури, кіберзлочинність зможе отримувати прибутки.

Ця справа має глибокий вплив на глобальний регулювання криптовалют і індустрію кібербезпеки. Вона доводить, що навіть найсучасніші технології приватності не здатні повністю протистояти професійному аналізу блокчейну, і одночасно відкриває реальність ролі Росії як глобального притулку для кіберзлочинності. Для користувачів важливо активувати всі доступні функції безпеки у менеджері паролів і регулярно змінювати приватні ключі криптогаманців, щоб не стати жертвою довготривалих витоків даних.