米国は、北朝鮮のハッカーによって盗まれた267万ドル以上の仮想通貨を押収するための法的措置を開始した。10月4日、政府は北朝鮮政権と関係のある悪名高いハッカー組織ラザルス・グループを標的とした2件の告訴状を提出した。

盗まれた資金は、2022年のDeribitハッキングで盗まれた170万ドル相当のUSDTと、2023年にStake.comから盗まれた約97万ドル相当のAvalancheブリッジビットコイン（BTC.b）という2つの重大なサイバー強盗に由来しています。

ラザルスグループの犯罪行為

ラザルスグループは、少なくとも2009年からサイバー犯罪に関与している。このグループは、2014年のソニー・ピクチャーズの侵害や2016年のバングラデシュ銀行の窃盗など、注目を集めた事件で悪名を馳せた。最近では、その活動は暗号通貨プラットフォームを標的にしている。アナリストらは、2017年以降、同グループがさまざまな暗号通貨企業から30億ドルから41億ドルを盗んだと推定している。

Deribit のハッキングは、Lazarus Group の戦術を象徴するものです。ハッカーたちはホット ウォレットの脆弱性を悪用し、2,800 万ドル相当の仮想通貨を盗みました。ハッカーたちは自分たちの活動を隠蔽するために、取引を混合して匿名性を高めるツール、Tornado Cash を利用しました。最初の盗難に続いて、ハッカーたちは盗んだ資産を複数の Ethereum アドレスに転送することで、追跡をさらに複雑にしました。

法執行機関は、その洗練された手法にもかかわらず、警戒を怠っていません。米国政府は現在、この違法行為に関連する少なくとも170万ドル相当のUSDTの回収に注力しています。

ラザロが使用した戦術とテクニック

APT38 または Bluenoroff としても知られる Lazarus グループは、高度なサイバー攻撃戦略と暗号資産強奪で有名です。同グループの活動には、各ターゲット向けに特別に設計されたカスタマイズされたツールが含まれており、この分野での同グループの専門知識が際立っています。Chainalysis や TRM Labs などのブロックチェーン分析会社によるレポートは、同グループが長年にわたって引き起こしてきた甚大な被害を物語っています。

最近の攻撃は、その有効性を強調しています。2023年8月、このグループはSteadefiのデプロイヤーウォレットに侵入し、120万ドル相当の仮想通貨を盗みました。この事件はソーシャルエンジニアリング戦術の典型であり、Steadefiの従業員がTelegramでファンドマネージャーになりすました脅威アクターから悪意のあるファイルを誤ってダウンロードしました。別の事件では、Coinshiftプラットフォームが関与し、イーサリアムで90万ドル以上が失われました。これらのケースでは、Deribitと同様に、盗まれた資産はTornado Cashを通じてロンダリングされました。

これらの操作のスピードも注目に値します。8月23日、攻撃者はSteadefiとCoinshiftの両方のハッキングを実行し、数分以内にTornado Cashの100 ETHプールに資金を迅速に入金しました。

追跡と回復の取り組みにおける課題

盗まれた資産を凍結するための継続的な取り組みにもかかわらず、ラザルスグループは適応を続け、捕獲を逃れています。2023年11月、テザーはグループに関連する374,000ドル相当のUSDTをブラックリストに登録しました。同時に、いくつかの中央集権型取引所は、彼らの活動に関連する未公開の量の暗号通貨を凍結しました。2023年第4四半期までに、4つの主要なステーブルコイン発行者のうち3つが、グループに関連する合計340万ドルをブラックリストに登録しました。

Lazarus Group は、盗んだ仮想通貨を現金に換えるために Paxful や Noones などのピアツーピア取引所を利用しています。こうした戦術により、法執行機関と仮想通貨コミュニティが一致団結して活動を阻止しようと努力しているにもかかわらず、同グループは仮想通貨業界において根強い脅威となっています。

「米国、北朝鮮ハッカーから盗まれた仮想通貨を押収するために法的措置を講じる」という記事が最初にCoinfeaに掲載されました。