Este es el artículo número 14 de Whistle sobre por qué y cómo Bull Market debería protegerse contra los grupos de piratería a nivel estatal.

Entrevista |

Invitado |

La declaración de la reunión de marzo de la Reserva Federal y el discurso en la conferencia de prensa publicados anoche entusiasmaron a todo el mercado financiero. Por supuesto, el recorte de los tipos de interés reales aún no se ha producido, pero se confirma que la política monetaria se relajará gradualmente este año: la liquidez está a punto de fluir del sistema bancario al mercado de riesgo.

En este momento, solo quedan 30 días para la reducción a la mitad de Bitcoin, y el ETF de Bitcoin ha abierto un canal para que la liquidez fluya desde el mercado financiero tradicional hacia el mercado de criptomonedas. Por lo tanto, es previsible que el mercado alcista en el mercado de criptomonedas. ya ha comenzado y los inversores se enfrentan a problemas como ganar más o menos.

Pero el "silbato duro" está aquí para hacer un silbido penetrante: las organizaciones nacionales de hackers están mirando los activos en el mercado de criptomonedas. Como empresarios e inversores, ¡deben proteger su billetera!

En este número, invitamos a nuestro viejo amigo Steven, un experto en tecnología de las comunicaciones que lleva mucho tiempo preocupado por el campo de la seguridad, a revelarnos cómo el enemigo público del mercado del cifrado: la organización nacional de hackers Lazarus en el misterioso país del Este. —opera, y cómo podemos resistirlo.

1. Beichen: ¿Qué es una APT a nivel nacional?

Steven: APT significa Amenaza Persistente Avanzada (Advanced Persistent Threat). En el campo de la seguridad de redes, las organizaciones de piratas informáticos con fines económicos ilegales generalmente se denominan APT. Las organizaciones legítimas de piratas informáticos se especializan en descubrir amenazas e informarlas para ganar dinero. Se denominan sombreros blancos, no APT.

En nuestra vida diaria, a menudo entramos en contacto indirectamente con APT a través de productos negros y grises, como el fraude en las telecomunicaciones. Por ejemplo, la información personal filtrada a menudo es recopilada por APT mediante rastreadores o robada directamente de otras bases de datos, pero esto solo puede considerarse como un pequeño camarón en APT. Las APT más grandes, como Golden Eye Dog, atacan principalmente a sitios web de juegos de apuestas, y algunas apuntan a sitios web de juegos.

La APT de más alto nivel es la APT de nivel nacional, que a menudo ataca a otros con fines políticos. Sin embargo, las organizaciones de hackers políticos en la mayoría de los países generalmente no pueden denominarse APT porque son muy flexibles y básicamente lanzan ataques a pedido de alguien.

2. Beichen: Entonces, ¿solo las organizaciones de hackers a nivel nacional que están bien organizadas y motivadas por fines políticos son APT a nivel nacional?

Steven: Sólo se puede decir que la gran mayoría de las APT a nivel nacional no tienen exigencias financieras y realizan principalmente misiones de espionaje con fines políticos y militares. Los más poderosos son Equation Group y Project Sauron, que están afiliados a la Agencia de Seguridad Nacional de EE. UU. Lanzan principalmente ataques avanzados contra Rusia, China y otros países para robar información confidencial. Rusia también es relativamente fuerte, como el Fantasy Bear, que está afiliado a la Dirección de Inteligencia Militar del Estado Mayor ruso, y el Comfort Bear, que es el Servicio de Inteligencia Exterior de Rusia.

Los ataques APT a nivel nacional más frecuentes en mi país son Poison Ivy, BITTER, SideWinder, Ocean Lotus y Lazarus. Poison Ivy es una APT con antecedentes oficiales en Taiwán, Philodendron y Rattlesnake son de la India y Ocean Lotus es de Vietnam. A menudo tienen propósitos políticos claros, por lo que es fácil exponer la organización detrás de ellos. Solo Lazarus se lanza con fines económicos. Para fines de ataque, pertenece a un país misterioso del este y merece la vigilancia de todos en la industria de la criptografía.

3. Beichen: Entonces, ¿cuál es la diferencia entre Lazaru y otras APT nacionales?

Steven: Lazarus es la unidad de guerra cibernética de la Oficina General de Reconocimiento de un misterioso país del Este, y muchos miembros de la organización recibieron educación superior o capacitación en China, por lo que están muy familiarizados con el entorno de red de China. Estados Unidos ha acusado a la organización de tener un centro de actividades en China. De hecho, es poco probable que podamos permitir que una organización de inteligencia de otro país esté activa en China, sin mencionar que su tamaño probablemente sea mayor. de 8.000 personas.

4. Beichen: ¿Qué logros ha tenido Lázaru?

Steven: La fama de Lazarus invadió Sony Pictures en 2014. En ese momento, estaba a punto de estrenarse una película que simulaba a su líder, por lo que se filtró una gran cantidad de materiales cinematográficos inéditos, correos electrónicos comerciales y privacidad de los empleados de Sony Pictures. Al final, Sony Pictures anunció que había cancelado el estreno. la película.

Posteriormente, Lazarus llevó a cabo ataques cada vez más frecuentes, como robar las reservas de divisas del Banco Central de Bangladesh, invadir plantas de energía nuclear de la India y atacar varias veces intercambios de criptomonedas. El más conocido es el ransomware que utiliza Bitcoin para pagar. rescate.

5. Beichen: Es lógico que mientras los activos del banco central sigan en el sistema SWIFT, estarán congelados. ¿Cómo retiró Lazarus el dinero?

Steven: Esta no es la primera vez que Lazarus ataca el sistema de bancos centrales. Ya han intentado robar bancos centrales y bancos comerciales en muchos otros países, pero no tuvieron éxito. En 2016, atacó al Banco Central de Bangladesh y robó 101 millones de dólares en reservas extranjeras, de los cuales 20 millones fueron a Sri Lanka y 81 millones a casinos en Filipinas, pero la mayor parte fue finalmente recuperada por Estados Unidos después de siendo descubierto.

6. Beichen: Para Lazarus, este dinero tiene un costo casi nulo.

Steven: Después de todo, no es un costo cero, es robar dinero del banco central de un país. Lo planearon durante mucho tiempo y utilizaron cuentas falsas, intermediarios financieros, casinos y otros participantes en el crimen colaborativo.

7. Beichen: Entonces, ¿cómo determinar que estos ataques provienen de Lázaro?

Steven: Las empresas de seguridad de alto nivel y las agencias de inteligencia gubernamentales relevantes pueden decir que se trata de Lazarus, porque generalmente hay rastros de actividades en la red, sin mencionar que su patrón de comportamiento es relativamente claro: alto nivel de ataque, bien organizado y la mayoría de Los ataques son principalmente para robar fondos.

8. Beichen: ¿Entonces Lazarus es principalmente una unidad generadora de ingresos?

steven: eso es correcto. Las agencias de inteligencia estadounidenses estiman que Lazarus roba entre 300 y 500 millones de dólares en activos cada año. Lo que es más crítico es que en los últimos cinco años, más del 90% de los ingresos de este misterioso país provienen del círculo monetario y están más familiarizados con los chinos.

9. Beichen: Puedes ampliar sus casos.

Steven: En 2018, se robaron 530 millones de dólares en criptomonedas del intercambio japonés Coincheck. Este fue el trabajo de Lazarus.

En 2022, se robaron aproximadamente 1.700 millones de dólares en criptomonedas (de los cuales 1.100 millones de dólares provinieron de protocolos DeFi), y luego se lavó dinero utilizando mezcladores de divisas como Tornado Cash. Cabe mencionar que las exportaciones totales al exterior de este misterioso país en 2022 son de sólo 159 millones de dólares.

Desde la segunda mitad de 2023, la frecuencia de los ataques de Lazarus en el círculo monetario obviamente se ha acelerado. Por ejemplo, en junio, se robaron 100 millones de dólares de Atomic Wallet, y el 22 de julio, dos instituciones diferentes fueron atacadas el mismo día, robando casi 100 millones de dólares en total. El 4 de septiembre, se robaron 41 millones de dólares de un criptocasino en línea. El 12 de septiembre, se robaron 54 millones de dólares del intercambio Coin EX.

Hay innumerables otros ataques pequeños, porque todavía hay una gran cantidad de ataques dirigidos a usuarios individuales, que son difíciles de contar y rara vez se notan.

10. Beichen: ¿Es porque Lazarus tiene éxito con frecuencia porque conoce mejor las criptomonedas, o es suficiente usar métodos de ataque tradicionales?

Steven: Los métodos de ataque de Lazarus son en realidad ataques de piratas informáticos más tradicionales, pero el nivel es relativamente alto. El más común es un ataque con arpón, que consiste en enviar algunos archivos (como correos electrónicos) sin apuntar a ellos y luego incrustar el virus en ellos. Por supuesto, conocen muy bien el círculo monetario, por lo que pueden hacer buen uso de los ataques a los abrevaderos y de la ingeniería social.

Un ataque de charco consiste en atacar en el camino por el que debes pasar, tal como un depredador se escondería cerca de una fuente de agua y atacaría a los animales que vienen a beber. Para llevar a cabo un ataque de abrevadero en el círculo monetario, primero ataca el sitio web del proyecto e incrusta un código específico en el sitio web. Los usuarios serán envenenados mientras interactúen con él.

Estrictamente hablando, la ingeniería social no puede considerarse como un ataque técnico, sino que utiliza métodos cotidianos de comportamiento social y lagunas de negligencia humana para obtener información privada y derechos de acceso. La ingeniería social en el círculo monetario a menudo implica que los piratas informáticos se unan a la comunidad social del proyecto (como Telegram, Discord) para monitorear, usar datos de transacciones para descartar a aquellos que están activos en transacciones y tienen transacciones grandes, y luego chatear en privado con esta persona en un De manera específica, por ejemplo, si envía un mensaje de lanzamiento aéreo, la otra parte será atacada una vez que se abra.

Un método de ataque más avanzado es infiltrarse directamente en el proyecto como colaborador de código y agregar código de ataque.

Los proyectos en el círculo monetario son básicamente oficinas distribuidas. Es fácil para un codificador con alto nivel técnico y bajos requisitos salariales unirse al equipo cuando tiene ciertos permisos como desarrollador, es fácil robar criptomonedas.

11. Beichen: ¿Cómo suelen disfrazar sus identidades cuando solicitan empleo?

Steven: Lazarus tiene una clara división organizacional del trabajo. Algunos son responsables del monitoreo de datos, otros se especializan en ingeniería social para encontrar objetivos, algunos se dedican a ataques técnicos y otros son responsables del lavado de dinero. En resumen, este es un equipo súper grande y poderoso dedicado a hacer esto, y la eficiencia es muy alta.

12. Beichen: Entonces, ¿cómo podemos evitar el robo de activos en el círculo monetario?

Steven: Da algunos ejemplos de los métodos de ataque comunes de Lazarus en el círculo monetario.

Una es que utilizan el software KandyKorn para atacar a los comerciantes. Se dirige al sistema operativo Mac. Utiliza un programa Python para disfrazarse de robot de arbitraje y luego carga el código de ataque en la memoria del sistema operativo Mac. La carga útil del ataque se oculta y se carga en el servicio de nube de Google. unidad, y la acción de carga es muy encubierta (virus El código fuente utiliza la carga binaria reflectante como técnica de ofuscación). Esto hace que los dos métodos principales del software antivirus sean ineficaces: la detección de firma de código no puede detectar el código de ataque y la detección de comportamiento no puede detectar características de comportamiento anormales.

La otra es implantar la carga útil SIGNBT en la fuente del software de comunicación de red cifrado. Después de la infección, equivale a inyectar una herramienta de acceso remoto con todas las funciones en la memoria, para que pueda ejecutar otro malware, transferir datos e incluso finalizar. el proceso y otros comandos arbitrarios, lo que equivale a La computadora está completamente controlada por la otra parte No importa qué tan bien protegida esté la clave privada, solo necesita firmar una vez y quedará expuesta.

Otra forma es dividir el código en algunas aplicaciones normales. Por ejemplo, se especializa en atacar algunas empresas y proyectos de código abierto e insertar código malicioso para obtener los permisos completos del sistema del usuario, ya sea Mac o Windows, iOS o Android, Lazarus tiene los programas correspondientes. La mayoría de los proyectos de blockchain utilizan código fuente abierto ya preparado, por lo que Lazarus inyecta el código en la fuente misma, lo que facilita la obtención de permisos por parte del proyecto.

También está la manipulación de las extensiones del navegador. La mayoría de las personas usan la billetera MetaMask para recibir lanzamientos aéreos o interactuar. Cuando se manipula el sitio web del proyecto, significa que todas las billeteras que han interactuado con él ya no son seguras.

13. Beichen: ¿Cómo se desarrolla exactamente el método de ataque anterior?

Steven: Tomemos como ejemplo la cadena lateral Ronin creada por Sky Mavis, el desarrollador de Axie Infinity, en 2022, cuando se robaron 620 millones de dólares.

Primero, Lazarus supo mediante ingeniería social que un empleado de Sky Mavis estaba solicitando un trabajo, por lo que configuró falsamente un requisito de trabajo Web3, realizó un ataque con arpón y envió el correo electrónico de oferta al empleado cuando el empleado abrió el archivo PDF. su computadora fue infectada y luego busca infectar las computadoras y servidores de otros miembros en toda la compañía Sky Mavis.

Para la cuenta del proyecto Ronin, la billetera multifirma requiere al menos 5 firmas de 9 cuentas para transferir dinero, y la empresa solo administra 4 de las cuentas desde una perspectiva de seguridad. Sin embargo, existe una cuenta comunitaria DAO que una vez autorizó a la empresa. para administrarlo, pero no lo usó a tiempo. La autorización fue cancelada, los piratas informáticos irrumpieron y robaron todos los $ 620 millones en la cuenta. Sky Mavis tardó una semana en descubrir esto.

14. Beichen: ¿No dije antes que cuando transfieran dinero, habrá rastros en la cadena e Internet?

Steven: Primero, convierta todas las monedas digitales robadas en ETH a través de DEX, luego recójalas en múltiples billeteras desechables que se hayan creado y luego ejecute el mezclador de monedas (como Tornado, Sinbad) para lavar el dinero en las recién creadas. transferirlo a docenas o cientos de billeteras.

Por lo tanto, cada ataque de Lazarus requiere en realidad una gran carga de trabajo. Se debe recopilar una gran cantidad de información en la etapa inicial y luego se debe desarrollar el código de ataque por separado, preparar la dirección de la billetera para el lavado de dinero y aplicar métodos de ingeniería social. debe ser usado. Quizás algunos programadores particularmente entusiastas de la comunidad del proyecto vengan a contribuir con código, y son de Lazarus.

15. Beichen: Entonces, para las personas en el círculo monetario, ¿podrían resumir cómo evitarlo? Siento que mientras haya muchas interacciones en la cadena, no hay forma de evitarlo.

Steven: El primero es utilizar intercambios centralizados. Aunque esto no está en línea con el espíritu del cifrado, es realmente difícil para la mayoría de las personas administrar sus propias claves privadas. Muchas personas ni siquiera pueden administrar bien sus propias cuentas bancarias. , y mucho menos ir a Es imposible administrar una clave privada que es imposible de recordar, y ahora todo el mundo suele tener más de una dirección de billetera.

Creo que los principiantes con pocos conocimientos informáticos deberían simplemente creer en los intercambios centralizados. Después de todo, incluso si se roba un intercambio centralizado legal, la mayoría de los activos se pueden conservar. Por ejemplo, los activos robados de Mt. Gox se han conservado hasta ahora.

Beichen: Al contrario, gané más dinero.

Steven: Sí, en ese momento, Bitcoin costaba solo entre dos y tres mil dólares estadounidenses, y la mayoría de la gente no podría conservarlo hasta ahora. Puede considerarse como una bendición disfrazada.

El segundo es prestar atención a las operaciones básicas, como los lanzamientos aéreos de nuevas monedas. Si se deben realizar operaciones en cadena para la interacción, utilice el sistema iOS tanto como sea posible, y es mejor utilizar una máquina dedicada.

El tercero es no hacer clic en archivos adjuntos desconocidos al recibir correos electrónicos desconocidos. Tenga cuidado con las personas cercanas a usted en las plataformas sociales y no haga clic en enlaces o correos electrónicos enviados por extraños.

Finalmente, si realmente hay muchos activos y se van a realizar operaciones en cadena, lo mejor es tener una billetera de hardware, y las billeteras fría y caliente deben clasificarse y dividirse en dominios y múltiples hardware (PC, dispositivos móviles). Los teléfonos) deben estar preparados para aislarse entre sí. El núcleo Coloque los activos en billeteras con un alto nivel de seguridad. Para los activos que requieren interacción frecuente, prepare más billeteras activas y solo coloque una pequeña cantidad de activos. Incluso si uno es robado, la pérdida. No dañará tus huesos.

16. Beichen: Las carteras de hardware ya no son seguras. Por ejemplo, a Ledger se le han incorporado códigos maliciosos.

Steven: Sí, pero sigo recomendando usar una billetera de hardware de una gran marca. El umbral para cometer el mal será mucho más alto e incluso si se descubre una laguna jurídica, se reparará a tiempo.

17. Beichen: ¿Tiene alguna sugerencia para las fiestas del proyecto?

Steven: La primera es hacer cumplir estrictamente las disciplinas de seguridad. Debes tener en cuenta la seguridad, configurar una billetera con múltiples firmas e implementar concienzudamente todas las reglas de seguridad. Esto aumentará el costo de los ataques.

También existe la necesidad de introducir un equipo de seguridad, como la revisión del código, como la introducción de un equipo azul (es decir, un equipo de defensa), piratas informáticos de sombrero blanco, y permitirles proporcionar algunas advertencias de seguridad y monitoreo de direcciones. porque incluso si es robado, también puede encontrar la dirección de transferencia lo antes posible (después de todo, el lavado de dinero todavía lleva una cierta cantidad de tiempo, si lo encuentra a tiempo, es muy probable que intercepte los fondos). . En lugar de descubrir que el dinero de la billetera falta después de una semana, será difícil recuperarlo.

18. Beichen: ¿Cómo interceptar activos en la cadena?

Steven: Llama a la policía o mira tus conexiones en el círculo. Es por eso que se trae al equipo de seguridad, porque el equipo de seguridad a menudo tiene ese tipo de conexiones. Sin embargo, será difícil encontrar una APT a nivel nacional como Lazarus.

19. Beichen: Actualmente, los servicios de seguridad en la industria se basan principalmente en la auditoría de códigos y la disposición a pagar por otros servicios no es fuerte.

Steven: La revisión del código es un requisito muy básico, lo que puede dificultar que los pequeños piratas informáticos ataquen solos, pero es difícil evitar APT nacionales como Lazarus. Así que te sugiero que busques un equipo azul profesional. En realidad, hay recursos bastante abundantes para equipos rojos y azules con habilidades nacionales.

20. Beichen: ¿Te gusta 360?

Steven: Para ser honesto, es imposible que los proyectos del círculo monetario contraten empresas legales nacionales para brindar servicios de seguridad. Puede encontrar empresas de seguridad en la industria como SlowMist y CertiK. De hecho, a través de operaciones anuales de protección de red, puede encontrar equipos azules con puntuaciones altas para ser el equipo de seguridad. Las más fuertes en el campo de la seguridad no son las empresas de seguridad de redes más grandes, sino algunos pequeños equipos profesionales. Puede encontrarlo en la competencia anual rojo-azul.

21. Beichen: Hagamos un resumen al final.

Steven: El círculo monetario actual sigue siendo un mundo occidental, con poco control gubernamental involucrado, por lo que hay una gran cantidad de bandas de ladrones y estafadores y estafadores, ya sean partes del proyecto o individuos, lo más importante es que todos deberían tener esto. Encadene en sus mentes y ponga esto. La cerca debe ser más alta, de modo que incluso si se encuentra con un ejército grande como Lázaro, aún pueda prevenir algunos de sus ataques.