Взлом LastPass: 35 миллионов криптовалют отмыто российскими хакерами

Согласно углубленному анализу, опубликованному блокчейн-аналитической компанией TRM Labs, скоординированная группа российских киберпреступников предположительно ответственна за отмывание более 35 миллионов долларов США в криптовалюте. Эти средства систематически изымались у пользователей LastPass после нашумевшего взлома системы, произошедшего в 2022 году.

В отчете подчеркивается, что атака была не единичным случаем, а многолетней кампанией по опустошению кошельков. Несмотря на время, прошедшее с момента первого взлома, исследователи подтвердили, что злоумышленники продолжали выводить средства из взломанных "хранилищ" до конца 2025 года.

Денежный след: от миксеров до российских платформ

Технический анализ TRM Labs раскрыл сложную схему отмывания денег. Преступники действовали по четкому протоколу: сначала не биткоин-активы конвертировались в биткоин через сервисы мгновенного обмена. Затем средства поступали в сервисы-микшеры, такие как Wasabi Wallet и CoinJoin.

Эти инструменты предназначены для "смешивания" транзакций разных пользователей, что теоретически делает невозможным отслеживание происхождения и конечного назначения средств. Однако в данном случае технология конфиденциальности показала свои пределы.

Поворотный момент в расследовании: "De-mixing"

Аналитики TRM Labs смогли провести операцию "de-mixing", расшифровав движения с помощью так называемого "анализа поведенческой непрерывности". Эксперты выявили "постоянную подпись на цепи", которая позволила им связать различные кражи с одной организованной группой.

Отслеживая конкретные отпечатки пальцев - например, как программное обеспечение кошелька импортирует приватные ключи, - следователи "распутали" процесс смешивания. Это позволило проследить поток денег до их окончательного размещения на биржах, расположенных в России.

Незаконные инфраструктуры и международные санкции

Похищенные деньги попадали на печально известные международным властям платформы. Около 7 миллионов долларов были отслежены на Audi6, обменном сервисе, работающем в российской киберпреступной экосистеме. Еще одна значительная часть средств прошла через Cryptex - биржу, на которую в настоящее время наложены санкции Управления по контролю за иностранными активами США (OFAC) за ее роль в содействии незаконным операциям.

Анализ деятельности по отмыванию денег, связанной с LastPass, выявил два разных этапа, которые оба проходили на российских биржах. На начальном этапе, после первоначальной эксплуатации, похищенные средства направлялись через ныне не существующую Cryptomixer.io и конвертировались в фиатную валюту через Cryptex, российскую биржу, на которую OFAC наложило санкции в 2024 году, как утверждает TRM в отчете.

TRM Traces Stolen Crypto from 2022 LastPass Breach - On-.Chain Indicators Suggest Russian Cybercriminal Involvement | TRM Blog

TRM отследила отмывание биткоинов, связанных с LastPass, через миксеры на высокорисковых российских биржах, показав, как демиксинг раскрывает повторное использование инфраструктуры и ограничивает анонимность миксеров.

TRM BlogTRM Team

В докладе отмечается, что кошельки, взаимодействовавшие со смесителями, демонстрировали "оперативные связи" с Россией как до, так и после процесса отмывания. Эта деталь позволяет предположить, что хакеры не просто использовали местную инфраструктуру, а действовали непосредственно из региона.

Сигнал тревоги для глобальной безопасности

Эта история подчеркивает центральную роль российских криптоплатформ в поддержке киберпреступности в глобальном масштабе. Предоставляя ликвидность и пути выхода (off-ramps) для украденных цифровых активов, эти биржи позволяют преступным группам монетизировать утечки данных, уклоняясь от международных правоохранительных органов.

Для пользователей LastPass и всего криптовалютного сообщества очевиден вывод: прошлые уязвимости могут порождать угрозы, которые сохраняются годами, что делает необходимым постоянную бдительность и проактивные меры безопасности.