これは、ブル マーケットが国家レベルのハッキング グループに対してなぜ、どのように警戒すべきかについてのホイッスル氏の 14 回目の記事です。

インタビュー | 北辰

ゲスト | スティーブン

昨夜発表されたFRBの3月会合声明と記者会見演説は金融市場全体を興奮させた。もちろん、実質利下げはまだ実現していませんが、今年は金融政策が段階的に緩和されることが確認されており、流動性が銀行システムからリスク市場に流れることになります。

現時点では、ビットコインの半減期まであと 30 日しか残されておらず、ビットコイン ETF は従来の金融市場から仮想通貨市場に流動性が流入するチャネルを開いたので、仮想通貨市場の強気相場が予想されます。はすでに始まっており、投資家は利益を増やすか減らすかに直面しているだけで、問題はほとんどありません。

しかし、「厳しいホイッスル」が鋭い笛を吹くためにここにいます - 国家ハッカー組織が仮想通貨市場の資産に注目しています。起業家や投資家として、あなたは自分の財布を守らなければなりません。

この号では、長年セキュリティ分野に関心を持っている通信技術の専門家である私たちの旧友スティーブンを招待し、暗号市場の公の敵である謎の東の国にある国家的ハッカー組織ラザロがどのように行動するのかを明らかにしてもらいます。 —それがどのように機能するのか、そしてそれにどう抵抗できるのか。

1. Beichen: 国家レベルの APT とは何ですか?

スティーブン: APTとはAdvanced Persistent Threat(Advanced Persistent Threat)の略で、ネットワークセキュリティの分野では、違法な経済的目的を持ったハッカー組織のことを総称してAPTと呼んでいます。正規のハッカー組織は、脅威を発見し、報告して金儲けをすることに特化しており、APT ではなくホワイト ハットと呼ばれます。

私たちの日常生活では、通信詐欺などの闇の製品を通じて間接的に APT に接触することがよくあります。例えば、漏洩した個人情報は、APTがクローラを利用して収集したり、他のデータベースから直接盗んだりすることが多いが、APTにとっては単なる小エビとしか考えられない。 Golden Eye Dog などの大型 APT は主にギャンブル Web サイトを攻撃し、ゲーム Web サイトをターゲットにするものもあります。

最高レベルの APT は国家レベルの APT であり、政治的な目的で他者を攻撃することがよくあります。ただし、ほとんどの国のほとんどの政治ハッカー組織は、非常に自由度が高く、基本的に誰かの要求に応じて攻撃を開始するため、APT と呼ぶことはできません。

2. Beichen: ということは、よく組織され、政治的目的によって動機づけられている国家レベルのハッカー組織だけが国家レベルの APT なのでしょうか?

スティーブン: 国家レベルの APT の大多数は経済的需要がなく、主に政治的および軍事的目的でスパイ活動を行っているとしか言えません。より強力なものは、米国家安全保障局に属する Equation Group と Project Sauron で、主にロシア、中国、その他の国に対して高度な攻撃を仕掛けて機密情報を盗みます。ロシア軍参謀本部軍事情報総局所属のファンタジー・ベアやロシア対外情報局所属のコンフォート・ベアなど、ロシアも比較的強い。

私の国で最も頻繁に発生する国家レベルの APT 攻撃は、Poison Ivy、BITTER、SideWinder、Ocean Lotus、Lazarus です。 Poison Ivy は台湾の正式な経歴を持つ APT、Philodendron と Rattlesnake はインド出身、Ocean Lotus はベトナム出身です。多くの場合、明確な政治的目的を持っているため、その背後にある組織を暴露するのは簡単です。Lazarus のみが経済目的で起動されています。攻撃、それは東の謎に満ちた国に属しており、暗号通貨業界の全員が警戒するに値します。

3. Beichen: それで、Lazaru と他の国の APT の違いは何ですか?

スティーブン:ラザロは東方の謎の国の総合偵察局のサイバー戦部隊で、組織員の多くは中国で高等教育や訓練を受けているため、中国のネットワーク環境に精通しています。 「米国は、この組織が中国に活動拠点を置いていると非難している。実際、その可能性は低い。他国の諜報機関が中国で活動することを認めることは不可能である。言うまでもなく、その規模はおそらく中国を上回るだろう」 8,000人以上。

4. ベイチェン: ラザルにはどんな功績がありましたか?

スティーブン: ラザロの名声の主張は、2014 年にソニー・ピクチャーズに浸透しました。当時、リーダーを騙る映画の公開が迫っていたため、ソニー・ピクチャーズの未公開映画資料やビジネスメール、社員のプライバシーなどが大量に流出し、最終的にソニー・ピクチャーズは『映画』の公開中止を発表した。映画。

Lazarus はその後、バングラデシュ中央銀行の外貨準備金の窃盗、インドの原子力発電所への侵入、仮想通貨取引所への複数回の攻撃など、ますます頻繁な攻撃を実行しました。身代金。

5. Beichen: 中央銀行の資産が SWIFT システム内にある限り、凍結されるのは当然ですが、ラザロはどのようにしてお金を引き出したのですか?

スティーブン: ラザロが中央銀行システムを攻撃したのはこれが初めてではなく、これまでも他の多くの国で中央銀行や商業銀行を盗もうとしましたが、失敗しました。 2016年、彼はバングラデシュ中央銀行を攻撃し、外貨準備1億100万ドルを盗み、そのうち2000万ドルがスリランカに、8100万ドルがフィリピンのカジノに送られたが、そのほとんどは最終的に米国によって回収された。発見されつつある。

6. Beichen: ラザロにとって、このお金はコストがほとんどゼロです。

スティーブン: コストがゼロというわけではありません。結局のところ、国の中央銀行からお金を盗んでいるのです。彼らは長い間計画し、偽の口座、金融仲介業者、カジノ、その他の共同犯罪参加者を利用しました。

7. Beichen: それでは、これらの攻撃がラザロからのものであることをどうやって判断するのでしょうか?

スティーブン: ハイレベルのセキュリティ会社や関連する政府諜報機関は、それが Lazarus であると判断できます。なぜなら、通常、ネットワーク活動の痕跡が存在するからです。言うまでもなく、彼らの行動パターンは比較的明確です。高レベルの攻撃、よく組織化された攻撃、そしてほとんどの攻撃が行われます。攻撃は主に資金を盗むことです。

8. Beichen: Lazarus は主に収益を生み出す部門ということですか?

スティーブン:その通りです。米国情報機関は、ラザロが毎年3億ドルから5億ドルの資産を盗んでいると推定している。さらに重要なことは、過去5年間でこの謎に満ちた国の収入の90%以上が通貨圏から来ており、彼らは中国人に対してより親しみを持っているということだ。

9. Beichen: 彼らのケースを拡張してみましょう。

スティーブン: 2018年、日本の取引所コインチェックから5億3,000万米ドルの仮想通貨が盗まれましたが、これはラザラスの仕業でした。

2022年には、約17億米ドルの暗号通貨が盗まれ(うち11億米ドルはDeFiプロトコルによるもの)、その後トルネードキャッシュなどの通貨ミキサーを使用してマネーロンダリングが行われました。この神秘的な国の2022年の輸出総額はわずか1億5,900万米ドルであることは言及する価値があります。

2023 年後半以降、通貨サークルにおける Lazarus 攻撃の頻度は明らかに加速しています。たとえば、6 月にはアトミック ウォレットから 1 億ドルが盗まれ、7 月 22 日には 2 つの異なる機関が同日に攻撃され、合計 1 億ドル近くが盗まれました。 9月4日、オンライン仮想通貨カジノから4100万ドルが盗まれた。 9月12日、取引所Coin EXから5,400万ドルが盗まれた。

他にも小規模な攻撃は数え切れないほどあります。これは、個人ユーザーをターゲットとした攻撃が依然として多数存在するためであり、それらを数えるのは難しく、ほとんど気付かれることもありません。

10. Beichen: Lazarus が頻繁に成功するのは、彼らが暗号通貨についてよく知っているからでしょうか、それとも従来の攻撃方法を使用するだけで十分なのでしょうか?

Steven: Lazarus の攻撃方法は、実際にはより伝統的なハッカー攻撃ですが、レベルは比較的高いです。最も一般的なのは銛攻撃です。これは、特定のファイル (電子メールなど) を標的にせずに送信し、そのファイルにウイルスを埋め込むものです。もちろん、彼らは通貨サークルをよく知っているため、水飲み場攻撃やソーシャル エンジニアリングをうまく利用できます。

水たまり攻撃とは、捕食者が水源の近くに隠れて水を飲みに来た動物を攻撃するのと同じように、必ず通過しなければならない道を攻撃することです。通貨サークルで水飲み場攻撃を実行するには、まずプロジェクトの Web サイトを攻撃し、その Web サイトに特定のコードを埋め込みます。ユーザーは、その Web サイトを操作している限り毒にさらされます。

厳密に言えば、ソーシャル エンジニアリングは技術的な攻撃とみなされませんが、日常的な社会的行動の手法や人間の過失の抜け穴を利用して、個人情報やアクセス権を取得します。通貨業界のソーシャル エンジニアリングでは、プロジェクトのソーシャル コミュニティ (Telegram、Discord など) にハッカーが監視のために参加し、取引データを使用して取引に積極的で大規模な取引を行っている人を選別し、その人と個人的にチャットすることがよくあります。たとえば、エアドロップメッセージを送信すると、メッセージが開封されると相手が攻撃されます。

より高度な攻撃方法は、コード投稿者としてプロジェクトに直接侵入し、攻撃コードを追加することです。

通貨サークルのプロジェクトは基本的に分散オフィスであり、高い技術レベルと低賃金のプログラマーがチームに参加しやすく、開発者として一定の権限を持っていれば仮想通貨を盗むことも容易です。

11. Beichen: 仕事に応募するとき、彼らは通常どのようにして身分を偽りますか?

スティーブン: Lazarus には明確な組織分業があり、データ監視を担当する者、ターゲットを見つけるためのソーシャル エンジニアリングを専門とする者、技術的な攻撃を専門とする者、マネーロンダリングを担当する者がいます。つまり、これはこれを専門に行う超大規模で強力なチームであり、効率は非常に高いです。

12. Beichen: それでは、通貨サークルの中で資産の盗難を避けるにはどうすればよいでしょうか?

スティーブン: 通貨サークルにおけるラザロの一般的な攻撃方法の例をいくつか挙げてください。

1 つは、トレーダーを攻撃するために KandyKorn ソフトウェアを使用しているということです。これは Mac オペレーティング システムをターゲットとします。Python プログラムを使用して自身をアービトラージ ロボットに偽装し、攻撃コードを Mac オペレーティング システムのメモリにロードします。攻撃のペイロードは隠蔽され、Google Cloud Service にロードされます。ドライブにロードされ、ロード動作は非常に秘密裏に行われます (ウイルス ソース コードでは、難読化技術としてリフレクティブ バイナリ ロードが使用されています)。これにより、ウイルス対策ソフトウェアの 2 つの主な方法、つまりコード署名検出では攻撃コードを検出できず、動作検出では異常な動作特性を検出できなくなります。

もう 1 つは、暗号化されたネットワーク通信ソフトウェアのソースに SIGNBT ペイロードを埋め込むことであり、感染後はフル機能のリモート アクセス ツールをメモリに挿入するのと同じことで、他のマルウェアの実行、データの転送、さらには終了が可能になります。プロセスやその他の任意のコマンドは、「コンピューターは相手によって完全に制御されている」と同等であり、秘密鍵がどれほど厳重に保護されていても、一度署名するだけで公開されてしまいます。

もう 1 つの方法は、コードをいくつかの通常のアプリケーションに分割することです。たとえば、一部の企業やオープンソース プロジェクトを攻撃し、ユーザーのシステム全体のアクセス許可を取得するために悪意のあるコードを挿入することに特化しており、Mac であろうと Windows であろうと、iOS であろうと Android であろうと、Lazarus には対応するプログラムがあります。ほとんどのブロックチェーンプロジェクトは既製のオープンソースコードを使用するため、Lazarus はソースそのものにコードを挿入し、プロジェクト側の許可を簡単に取得できるようにします。

ブラウザ拡張機能の改ざんもあります. ほとんどの人はエアドロップを受信したりやり取りするために MetaMask ウォレットを使用します. プロジェクトの Web サイト自体が改ざんされると, それとやり取りしたすべてのウォレットがもはや安全ではなくなることを意味します.

13. Beichen: 上記の攻撃方法は具体的にどのように展開されますか?

Steven: 2022 年に 6 億 2,000 万米ドルが盗まれた、Axie Infinity の開発者 Sky Mavis が作成したサイドチェーン Ronin を例に挙げます。

まず、ラザラスはスカイ メイビスの従業員が仕事に応募していることをソーシャル エンジニアリングを通じて知っていたため、Web3 の求人要件を偽って設定し、銛攻撃を行って、その従業員にオファーのメールを送信しました。従業員が PDF ファイルを開いたところ、彼のコンピュータは感染し、その後、他のメンバーのコンピュータと Sky Mavis 社内のサーバーに感染しようとします。

Ronin プロジェクトのアカウントの場合、マルチシグネチャ ウォレットでは送金に 9 つのアカウントから少なくとも 5 つの署名が必要であり、同社はセキュリティの観点からそのうちの 4 つのアカウントのみを管理していますが、かつて同社を承認した DAO コミュニティ アカウントが存在します。 「管理しようとしましたが、期限内に使用しませんでした。認証は取り消され、ハッカーが侵入し、アカウント内の 6 億 2,000 万ドルがすべて盗まれました。スカイ メイビスがこれを発見するのに 1 週​​間かかりました。」

14. Beichen: 先ほど、送金するとチェーンやインターネット上に痕跡が残ると言いましたね?

スティーブン: まず、盗まれたすべてのデジタル通貨を DEX を通じて ETH に変換し、次に作成された複数の使い捨てウォレットに集めてから、通貨ミキサー (トルネード、シンドバッドなど) に実行して、新しく作成された通貨にマネーロンダリングします。それを数十または数百のウォレットに転送します。

そのため、Lazarus による攻撃は、初期段階で大量の情報を収集し、別途攻撃コードを開発したり、マネーロンダリング用のウォレットアドレスを用意したり、ソーシャルエンジニアリング手法を利用したりする必要があり、実際には非常に負荷がかかります。を使用する必要があります。もしかしたら、プロジェクト コミュニティの中で特に熱心なプログラマーがコードを提供しに来て、彼らは Lazarus 出身なのかもしれません。

15. Beichen: それでは、通貨関係者向けに、それを回避する方法をまとめていただけますか。チェーン上でやり取りが多い限り、それを避ける方法はないと思います。

スティーブン: 1 つ目は、集中型の取引所を使用することです。これは暗号化の精神とは一致しませんが、ほとんどの人にとって自分の秘密鍵を管理するのは非常に困難です。多くの人は自分の銀行口座さえもうまく管理できないかもしれません。ましてや、覚えておくことが不可能な秘密鍵を管理することは不可能であり、現在では誰もが複数のウォレットアドレスを持っていることがよくあります。

パソコンのスキルが低い初心者は集中型取引所を信じればいいと思いますが、結局のところ、合法的な集中型取引所が盗まれたとしても、資産のほとんどは保存されます。たとえば、マウントゴックスの盗難資産は現在まで保存されています。

ベイチェン:逆に、お金が増えました。

スティーブン: はい、当時ビットコインはわずか 2 ~ 3,000 米ドルで、ほとんどの人は今までビットコインを保持することはできませんでした。

2つ目は、新通貨のエアドロップなどの基本的な操作に注意することですが、インタラクションのためにオンチェーン操作を実行する必要がある場合は、可能な限りiOSシステムを使用し、専用マシンを使用するのが最善です。

3つ目は、身に覚えのないメールを受信したときに、身に覚えのない添付ファイルをクリックしないことです。ソーシャル プラットフォームで親しくなる人には注意し、見知らぬ人から送信されたリンクやメールをクリックしないでください。

最後に、実際に多くの資産があり、オンチェーン操作を実行する場合は、ハードウェア ウォレットを用意するのが最善であり、コールド ウォレットとホット ウォレットをグレード分けしてドメインと複数のハードウェア (PC、モバイル) に分割する必要があります。核心 セキュリティレベルの高いウォレットに資産を入れる 頻繁にやり取りが必要な資産については、より多くのホットウォレットを用意し、少量の資産のみを入れる たとえ盗難されても損失は発生しない骨を傷つけません。

16. Beichen: ハードウェア ウォレットはもはや安全ではありません。たとえば、Ledger には悪意のあるコードが埋め込まれています。

スティーブン: はい、でも大手ブランドのハードウェアウォレットを使用することをお勧めします。悪を犯す敷居ははるかに高く、たとえ抜け穴が発見されたとしても、時間内に修復されます。

17. Beichen: プロジェクト パーティーについて何か提案はありますか?

Steven: 1 つ目は、セキュリティ規律を厳格に施行することです。セキュリティを意識し、マルチシグネチャ ウォレットを設定し、すべてのセキュリティ ルールを誠実に実装する必要があります。これにより、攻撃のコストが増加します。

また、コード レビューなどのセキュリティ チームを導入する必要もあります。ブルー チーム (つまり防御チーム) やホワイト ハッカーを導入し、アドレス監視やセキュリティ警告を提供させるなどです。なぜなら、たとえ盗まれたとしても、転送先アドレスをすぐに見つけることができるからです(やはり、マネーロンダリングにはある程度の時間がかかります)。 。 1週間経ってから財布の中のお金がなくなっていることに気づくというよりも、取り戻すのが困難になります。

18. Beichen: チェーン上の資産を傍受するにはどうすればよいですか?

スティーブン: 警察に電話するか、サークル内のつながりを調べてください。セキュリティ チームが呼ばれるのはそのためです。セキュリティ チームにはそのようなつながりがあることが多いからです。ただし、Lazarus のような国家レベルの APT に出会うのは難しいでしょう。

19. Beichen: 現在、業界のセキュリティ サービスは主にコード監査に基づいており、他のサービスにお金を払う意欲は高くありません。

Steven: コード レビューは非常に基本的な要件であり、小規模なハッカーが単独で攻撃することはより困難になりますが、Lazarus のような国家規模の APT を防ぐことは困難です。実際、国内の熟練したレッドチームとブルーチームのためのリソースは非常に豊富にあります。

20. ベイチェン: 360 みたいな?

スティーブン: 正直に言うと、カレンシーサークルのプロジェクトが国内の法律会社にセキュリティサービスを依頼するのは不可能です。業界には SlowMist や CertiK などのセキュリティ会社があり、実際、毎年のネットワーク保護運用を通じて、セキュリティ チームとなる高スコアの青色チームを見つけることができます。セキュリティ分野で最も強いのは、最大手のネットワーク セキュリティ会社ではなく、小規模な専門チームです。これは、毎年開催される赤と青のコンテストでわかります。

21. ベイチェン:最後にまとめをしましょう。

スティーブン: 現在の通貨サークルは依然として西側世界であり、政府の管理がほとんど関与していないため、強盗や窃盗のギャングや詐欺師が多数存在します。プロジェクト関係者であろうと個人であろうと、最も重要なことは、誰もがこれを持っていることです。たとえラザロのような大軍に遭遇しても、攻撃の一部を防ぐことができるように、柵はもっと高くあるべきです。