Це 14-та стаття Whistle про те, чому і як Bull Market має захищатися від хакерських груп на державному рівні.
Інтерв'ю | Beichen
Гість | Стівен
Заява Федеральної резервної системи на березневому засіданні та виступ на прес-конференції, оприлюднені вчора ввечері, схвилювали весь фінансовий ринок. Звичайно, реальне зниження процентної ставки ще не відбулося, але підтверджено, що монетарна політика цього року буде поступово пом’якшуватися – ліквідність буде перетікати з банківської системи на ринок ризиків.
На даний момент залишилося лише 30 днів для халвінгу біткойна, і біткойн ETF відкрив канал для надходження ліквідності з традиційного фінансового ринку на ринок криптовалют. Тому можна передбачити, що бичачий ринок на ринку криптовалют вже розпочато, і інвесторам доводиться просто заробляти більше або заробляти менше.
Але «суворий Свисток» тут, щоб дати пронизливий свист — національні хакерські організації придивляються до активів на крипторинку. Як підприємці та інвестори, ви повинні захистити свій гаманець!
У цьому випуску ми запрошуємо нашого старого друга Стівена, експерта з комунікаційних технологій, який давно переймається сферою безпеки, щоб розповісти нам, як громадський ворог ринку шифрування — національна хакерська організація Lazarus у таємничій східній країні — діє, і як ми можемо цьому протистояти.
1. Бейхен: Що таке APT національного рівня?
Стівен: APT означає Advanced Persistent Threat (Advanced Persistent Threat).У сфері мережевої безпеки хакерські організації з незаконними економічними цілями зазвичай називають APT. Законні хакерські організації спеціалізуються на виявленні загроз і звітуванні про них, щоб заробити гроші. Їх називають білими капелюхами, а не APT.
У нашому повсякденному житті ми часто контактуємо з APT опосередковано через чорні та сірі продукти, такі як телекомунікаційне шахрайство. Наприклад, витік особистої інформації часто збирається APT за допомогою сканерів або викрадається безпосередньо з інших баз даних, але це можна розглядати лише як невелику креветку в APT. Більші APT, такі як Golden Eye Dog, здебільшого атакують веб-сайти азартних ігор, а деякі націлені на ігрові веб-сайти.
APT найвищого рівня — це APT національного рівня, який часто атакує інших із політичною метою. Однак більшість політичних хакерських організацій у більшості країн не можна назвати APT, тому що вони дуже вільні та в основному здійснюють атаки на чийсь запит.
2. Бейхен: Отже, лише національні хакерські організації, які добре організовані та мотивовані політичними цілями, є APT національного рівня?
Стівен: Можна лише сказати, що переважна більшість APT національного рівня не мають фінансових вимог і в основному виконують шпигунські місії в політичних і військових цілях. Найпотужнішими з них є Equation Group і Project Sauron, які пов’язані з Агентством національної безпеки США.Вони в основному здійснюють передові атаки проти Росії, Китаю та інших країн з метою викрадення конфіденційної інформації. Росія також є відносно сильною, наприклад Fantasy Bear, яка пов’язана з Управлінням військової розвідки Генштабу Росії, і Comfort Bear, яка є російською Службою зовнішньої розвідки.
Найчастішими атаками APT на національному рівні в моїй країні є Poison Ivy, BITTER, SideWinder, Ocean Lotus і Lazarus. Poison Ivy — це APT з офіційним досвідом у Тайвані, Philodendron і Rattlesnake — з Індії, а Ocean Lotus — із В’єтнаму. Вони часто мають чіткі політичні цілі, тому легко викрити організацію, що стоїть за ними. Тільки Lazarus запускається для економіки Attack, він належить до таємничої країни на Сході та заслуговує на пильність усіх у криптоіндустрії.
3. Бейхен: Тож у чому різниця між Lazaru та іншими національними APT?
Стівен: Lazarus — це підрозділ кібервійни Головного розвідувального бюро таємничої країни на Сході, і багато членів організації отримали вищу освіту або підготовку в Китаї, тому вони добре знайомі з мережевим середовищем Китаю. Сполучені Штати звинуватили організацію в наявності центру діяльності в Китаї. Насправді це малоймовірно. Ми не можемо дозволити розвідувальній організації з іншої країни діяти в Китаї, не кажучи вже про те, що її розмір, ймовірно, більший понад 8 тисяч осіб.
4. Бейхен: Які досягнення Лазару?
Стівен: Претензії Лазаря на славу захопили Sony Pictures у 2014 році. У той час у прокат мав вийти фільм, який фальсифікує їхнього лідера, тож велика кількість неопублікованих кіноматеріалів Sony Pictures, ділової електронної пошти та конфіденційності співробітників потрапила в мережу. Зрештою Sony Pictures оголосила, що скасувала випуск фільму відео.
Пізніше Lazarus здійснював дедалі частіші атаки, такі як викрадення валютних резервів Центрального банку Бангладеш, вторгнення на індійські атомні електростанції та численні атаки на криптовалютні біржі.Найвідомішим є програмне забезпечення-вимагач, яке використовує біткойни для оплати викуп.
5. Бейхен: Зрозуміло, що поки активи центрального банку залишаються в системі SWIFT, вони будуть заморожені.Як Лазарус вивів гроші?
Стівен: Це не перший випадок, коли Lazarus атакує систему центрального банку. Раніше вони намагалися вкрасти центральні банки та комерційні банки багатьох інших країн, але їм це не вдалося. У 2016 році він напав на Центральний банк Бангладеш і викрав 101 мільйон доларів США в іноземних резервах, з яких 20 мільйонів доларів США пішли на Шрі-Ланку, а 81 мільйон доларів США – на казино на Філіппінах, але більшу частину зрештою було повернуто Сполученими Штатами після будучи виявленим.
6. Бейхен: Для Лазаря ці гроші майже нульові.
Стівен: Це не нульова вартість. Зрештою, це крадіжка грошей із центрального банку країни. Вони планували це протягом тривалого часу та використовували фальшиві рахунки, фінансових посередників, казино та інших учасників спільного злочину.
7. Бейхен: Тож як визначити, що ці напади походять від Лазаря?
Стівен: Високопоставлені охоронні компанії та відповідні державні розвідувальні служби можуть визначити, що це Lazarus, тому що зазвичай є сліди мережевої діяльності, не кажучи вже про те, що їхня модель поведінки відносно чітка: високий рівень атаки, добре організована та більшість атаки спрямовані на крадіжку. Переважно кошти.
8. Бейхен: Отже, Lazarus є головним чином прибутковим підрозділом?
Стівен: Саме так. За оцінками спецслужб США, Lazarus щороку викрадає активи на суму від 300 до 500 мільйонів доларів. Найважливішим є те, що за останні п’ять років більше 90% доходів цієї таємничої країни надходило від валютного кола, і вони більше знайомі з китайцями.
9. Бейхен: Ви можете розширити їхні справи.
Стівен: У 2018 році з японської біржі Coincheck було вкрадено криптовалюту на 530 мільйонів доларів США. Це була робота Лазаруса.
У 2022 році було викрадено криптовалюту на суму приблизно 1,7 мільярда доларів США (з яких 1,1 мільярда доларів США – через протоколи DeFi), а потім відмивали гроші за допомогою змішувачів валют, таких як Tornado Cash. Варто зазначити, що загальний експорт цієї загадкової країни у 2022 році становить лише 159 мільйонів доларів США.
З другої половини 2023 року частота атак Lazarus у валютному колі явно прискорилася. Наприклад, у червні з Atomic Wallet було вкрадено 100 мільйонів доларів, а 22 липня в той же день напали на дві різні установи, загалом викравши майже 100 мільйонів доларів. 4 вересня з онлайн-казино крипто вкрали 41 мільйон доларів. 12 вересня з біржі Coin EX вкрали $54 млн.
Існує незліченна кількість інших невеликих атак, тому що все ще існує велика кількість атак, націлених на окремих користувачів, які важко підрахувати та рідко помічати.
10. Бейхен: Це тому, що Lazarus часто досягає успіху, тому що вони краще знають криптовалюту, чи достатньо використовувати традиційні методи атаки?
Стівен: Методи атаки Lazarus насправді більш традиційні хакерські атаки, але рівень відносно високий. Найпоширенішим є гарпунна атака, яка полягає у надсиланні деяких файлів (наприклад, електронних листів) без націлювання на них, а потім вбудовуванні в них вірусу. Звичайно, вони дуже добре знають валютне коло, тому можуть добре використовувати атаки на водопою та соціальну інженерію.
Атака на калюжу — це напад на шлях, який ви повинні пройти, так само, як хижак сховався б біля джерела води й напав на тварин, які прийшли попити. Щоб здійснити атаку у валютному колі, ви спочатку атакуєте веб-сайт проекту та вставляєте на веб-сайт певний код. Користувачі будуть отруєні, доки вони з ним взаємодіють.
Строго кажучи, соціальна інженерія не може розглядатися як технічна атака, але використовує щоденні методи соціальної поведінки та лазівки людської недбалості для отримання приватної інформації та прав доступу. Соціальна інженерія у валютному колі часто передбачає приєднання хакерів до соціальної спільноти проекту (наприклад, Telegram, Discord) для моніторингу, використання даних транзакцій для відсіювання тих, хто бере активну участь у транзакціях і має великі транзакції, а потім приватно спілкується з цією особою в Наприклад, якщо ви надішлете повідомлення airdrop, іншу сторону буде атаковано, коли воно буде відкрите.
Більш розширений метод атаки полягає в тому, щоб безпосередньо проникнути в проект як учасник коду та додати код атаки.
Проекти у валютному колі — це в основному розподілені офіси, кодеру з високим технічним рівнем і низькими вимогами до зарплати легко приєднатися до команди, коли він має певні права розробника, легко вкрасти криптовалюту.
11. Бейхен: Як вони зазвичай маскують свою особу, коли подають заявку на роботу?
Стівен: У Lazarus є чіткий організаційний розподіл праці. Деякі відповідають за моніторинг даних, інші спеціалізуються на соціальній інженерії для пошуку цілей, інші займаються технічними атаками, а деякі відповідають за відмивання грошей. Коротше кажучи, це надзвичайно велика та потужна команда, яка займається цим, і ефективність дуже висока.
12. Бейхен: Отже, як ми можемо у валютному колі уникнути крадіжки активів?
Стівен: Наведіть кілька прикладів поширених методів атаки Lazarus у валютному колі.
Одна полягає в тому, що вони використовують програмне забезпечення KandyKorn для нападу на трейдерів. Він націлений на операційну систему Mac. Він використовує програму Python, щоб маскуватися під арбітражного робота, а потім завантажує код атаки в пам’ять операційної системи Mac. Корисне навантаження атаки приховано та завантажується в хмарну службу Google. диск, а дія завантаження є дуже прихованою (вірус. Вихідний код використовує рефлексивне бінарне завантаження як техніку обфускації). Це робить два основні методи антивірусного програмного забезпечення неефективними: виявлення сигнатури коду не може виявити код атаки, а виявлення поведінки не може виявити аномальні характеристики поведінки.
Другий — імплантувати корисне навантаження SIGNBT у джерело програмного забезпечення зашифрованого мережевого зв’язку.Після зараження це еквівалентно введенню в пам’ять повнофункціонального інструменту віддаленого доступу, щоб можна було запускати інше шкідливе програмне забезпечення, передавати дані та навіть завершувати роботу. процес та інші довільні команди, що еквівалентно Комп’ютер повністю контролюється іншою стороною Незалежно від того, наскільки добре захищений закритий ключ, вам потрібно підписати лише один раз, і він буде відкритий.
Інший спосіб - розрізати код у деяких звичайних програмах. Наприклад, він спеціалізується на атаках на деякі компанії та проекти з відкритим кодом і вставці шкідливого коду для отримання повних системних дозволів користувача.Незалежно від того, чи це Mac чи Windows, iOS чи Android, Lazarus має відповідні програми. Більшість блокчейн-проектів використовують готовий відкритий вихідний код, тому Lazarus впроваджує код у самому джерелі, що полегшує отримання дозволів сторони проекту.
Існує також підробка розширень браузера.Більшість людей використовують гаманець MetaMask для отримання airdrops або взаємодії.Коли веб-сайт проекту підроблено, це означає, що всі гаманці, які з ним взаємодіяли, більше не безпечні.
13. Бейхен: Як саме розгортається описаний вище метод атаки?
Стівен: Візьмемо бічний ланцюг Ronin, виготовлений Sky Mavis, розробником Axie Infinity, як приклад у 2022 році, коли було вкрадено 620 мільйонів доларів США.
По-перше, за допомогою соціальної інженерії Лазарус дізнався, що працівник Sky Mavis подає заявку на роботу, тому він помилково встановив вимоги до роботи Web3, здійснив гарпунну атаку та надіслав працівнику електронний лист із пропозицією. Коли працівник відкрив PDF-файл, його комп'ютер було заражено, а потім намагається заразити комп'ютери та сервери інших членів компанії Sky Mavis.
Для облікового запису проекту Ronin гаманець із кількома підписами вимагає принаймні 5 підписів із 9 облікових записів для переказу грошей, і компанія керує лише 4 обліковими записами з точки зору безпеки.Однак є обліковий запис спільноти DAO, який колись авторизував компанію керувати, але вчасно ним не скористався. Авторизація була скасована, хакери зламали його, і всі $620 млн на рахунку були вкрадені. Sky Mavis знадобився тиждень, щоб це виявити.
14. Бейхен: Хіба я не казав раніше, що коли вони переказуватимуть гроші, будуть сліди в ланцюжку та в Інтернеті?
Стівен: Спочатку конвертуйте всі вкрадені цифрові валюти в ETH через DEX, потім зберіть їх у кілька створених одноразових гаманців, а потім біжіть до валютного змішувача (наприклад, Tornado, Sinbad), щоб відмити гроші в новостворений. Потім перевести його на десятки чи сотні гаманців.
Таким чином, кожна атака Lazarus насправді дуже трудомістка, на ранній стадії потрібно зібрати велику кількість інформації, а потім окремо розробити код атаки, підготувати адресу гаманця для відмивання грошей і методи соціальної інженерії. необхідно використовувати. Можливо, деякі програмісти з особливим ентузіазмом у спільноті проекту прийдуть, щоб додати код, і вони з Lazarus.
15. Бейхен: Отже, для людей із валютного кола, чи могли б ви підсумувати, як цього уникнути? Я вважаю, що поки у вас багато взаємодій у ланцюжку, цього неможливо уникнути.
Стівен: По-перше, це використовувати централізовані обміни. Хоча це не відповідає духу шифрування, більшості людей справді важко керувати своїми приватними ключами. Багато людей можуть навіть не вміти добре керувати власними банківськими рахунками , не кажучи вже про те, щоб перейти до Неможливо керувати закритим ключем, який неможливо запам’ятати, і зараз кожен часто має більше ніж одну адресу гаманця.
Я вважаю, що новачки зі слабкими навичками роботи з комп’ютером повинні просто повірити в централізовані біржі. Зрештою, навіть якщо легальну централізовану біржу вкрадуть, більшість активів можна зберегти. Наприклад, вкрадені активи гори Гокс збереглися досі.
Бейхен: Навпаки, я заробив більше грошей.
Стівен: Так, у той час біткойн коштував лише дві-три тисячі доларів США, і більшість людей не змогли б утримати його досі. Це можна розглядати як приховане благо.
По-друге, звернути увагу на базові операції, такі як скидання нової валюти.Якщо для взаємодії необхідно виконувати операції в ланцюжку, то використовуйте систему iOS якомога частіше, а найкраще використовувати спеціальну машину.
По-третє, не натискайте невідомі вкладення під час отримання невідомих електронних листів. Будьте обережні з людьми, з якими ви спілкуєтеся в соціальних мережах, і не натискайте на посилання або електронні листи, надіслані незнайомцями.
Нарешті, якщо є справді багато активів і потрібно виконувати операції в ланцюжку, найкраще мати апаратний гаманець, а холодні та гарячі гаманці слід класифікувати та розділити на домени, а також кілька апаратних засобів (ПК, мобільні пристрої). телефони) повинні бути готові до ізоляції один одного. Основне Помістіть активи в гаманці з високим рівнем безпеки. Для активів, які потребують частої взаємодії, підготуйте більше гарячих гаманців і розмістіть лише невелику кількість активів. Навіть якщо один буде вкрадено, втрата не зашкодить вашим кісткам.
16. Бейхен: Апаратні гаманці тепер небезпечні, наприклад, Ledger містить шкідливий код.
Стівен: Так, але я все ж рекомендую використовувати апаратний гаманець від великого бренду. Поріг для скоєння зла буде набагато вищим, і навіть якщо буде виявлена лазівка, її вчасно виправлять.
17. Бейхен: У вас є якісь пропозиції щодо вечірок проекту?
Стівен: По-перше, це суворе дотримання правил безпеки. Ви повинні знати про безпеку, налаштувати гаманець із кількома підписами та сумлінно виконувати всі правила безпеки. Це збільшить вартість атак.
Існує також потреба запровадити команду безпеки, наприклад перевірку коду, наприклад запровадження синьої команди (тобто команди захисту), хакерів білих капелюхів, і дозволити їм забезпечувати певний моніторинг адрес і попередження безпеки. Зробити це краще, ніж не робити це, тому що навіть якщо його вкрадуть, Ви також можете знайти адресу переказу якнайшвидше (зрештою, відмивання грошей все одно займає певний час). Якщо ви знайдете його вчасно, є велика ймовірність перехоплення коштів . Замість того, щоб виявити, що гроші в гаманці зникли через тиждень, їх буде важко повернути.
18. Beichen: Як перехопити активи в ланцюжку?
Стівен: Або викликайте поліцію, або подивіться на свої зв'язки в колі.Для цього залучається охорона, тому що охорона часто має такі зв'язки. Однак буде важко зустріти APT національного рівня, як Lazarus.
19. Бейхен: Зараз послуги безпеки в галузі в основному базуються на аудиті коду, і готовність платити за інші послуги невелика.
Стівен: Перегляд коду є дуже основною вимогою, яка може ускладнити атаку дрібних хакерів поодинці, але важко запобігти національним APT, таким як Lazarus. Тож я пропоную вам знайти професійну синю команду. Насправді існує досить багато ресурсів для домашньої кваліфікованої червоної команди та синьої команди.
20. Бейхен: Як 360?
Стівен: Чесно кажучи, для проектів валютного кола неможливо найняти вітчизняні юридичні компанії для надання послуг безпеки. Ви можете знайти компанії безпеки в галузі, такі як SlowMist і CertiK. Насправді, завдяки щорічним операціям із захисту мережі, ви можете знайти сині команди з високими балами, щоб стати командою безпеки. Найсильнішими в сфері безпеки є не найбільші компанії з мережевої безпеки, а невеликі професійні команди, про це можна дізнатися з щорічного червоно-синього конкурсу.
21. Бейхен: Давайте підведемо підсумок наприкінці.
Стівен: Нинішнє валютне коло все ще є західним світом, де державний контроль невеликий, тому існує велика кількість банд грабіжників і крадіжок, а також шахраїв. Незалежно від того, чи це сторони проекту, чи окремі особи, найважливіше, щоб кожен мав це огорожу слід поставити вищою, щоб навіть якщо вона зіткнеться з великою армією, як Лазар, вона все одно зможе запобігти деяким із його атак.
