這是Whistle的第14篇文章,關於牛市爲何以及如何要防範國家級黑客組織。

採訪 | 北辰

嘉賓 | Steven

昨晚公開的美聯儲3月會議聲明及發佈會講話,讓整個金融市場爲之振奮。當然真正的降息還沒有來臨,但今年貨幣政策要逐步放鬆是確定下來了——流動性即將從銀行系統流向風險市場。

此時比特幣減半僅剩30天,而且比特幣ETF打開了流動性從傳統金融市場涌入加密市場的通道,所以可以預見加密市場的牛市已經啓動,投資者面臨的僅僅是賺多或賺少的問題。

但是「刺耳的Whistle」在這裏要發出刺耳的哨音——國家級黑客組織正在盯着加密市場的資產,作爲創業者和投資者的你一定要守護好自己的錢包!

本期邀請了老朋友Steven,他作爲長期關注安全領域的通信技術專家,爲我們揭開加密市場的公敵——東方神祕國家的國家級黑客組織Lazarus是如何運作,以及我們該如何抵禦。

1.北辰:什麼是國家級的APT ?

Steven:APT即Advanced persistent threat(高級持續性威脅),網絡安全領域一般把有經濟目的非法的黑客組織稱爲APT。合法的黑客組織是專門發現威脅並報告對方來盈利,這叫白帽子,不會被稱爲APT。

我們在日常生活中往往是通過電信詐騙這種黑灰產而間接地接觸到APT。比如那些被泄露的個人信息,往往就是APT用爬蟲整理出來或者直接從別的數據庫裏面偷出來的,但這種只能算是APT裏的小蝦米。比較大一點的APT如金眼狗,主要是攻擊賭博類網站,還有一些是針對遊戲網站。

最高級別的APT是國家級APT,往往是出於政治目的去攻擊別人。不過大多數國家政治性的黑客組織一般都稱不上APT,因爲非常鬆散,基本是有人號召一下就展開攻擊了。

2.北辰:所以只有組織嚴密且出於政治目的的國家級黑客組織纔是國家級APT ?

Steven:只能說絕大多數的國家級APT沒有經濟訴求,主要是爲了政治、軍事目的來執行間諜任務。實力比較強的是隸屬於美國國家安全局的方程式(Equation Group)和索倫之眼(Project Sauron),主要針對俄羅斯、中國等國家發動高級攻擊來竊取敏感信息。俄羅斯的實力也比較強,比如隸屬於俄羅斯總參謀部軍事情報總局的奇幻熊和俄羅斯對外情報局的舒適熊。

我國遭遇最頻繁的國家級APT的攻擊是毒雲藤、蔓靈花(BITTER)、響尾蛇(SideWinder)、海蓮花(Ocean Lotus)和Lazarus。毒雲藤是臺灣地區官方背景的APT,蔓靈花和響尾蛇是印度的,海蓮花是越南的,它們往往有明確的政治目的,所以很容易暴露背後的組織,只有Lazarus是出於經濟目的展開攻擊的,它隸屬於東方某神祕國家,並且值得每一個crypto行業的人警惕。

3.北辰:那麼Lazaru跟其他國家級APT有什麼區別?

Steven:Lazarus是東方某神祕國家總參偵察總局的網絡作戰部隊,而且很多組織成員是在中國接受高等教育或者培訓,所以非常熟悉中國的網絡環境。美國曾指控該組織在中國設有活動中心,其實這不太可能,我們不可能允許一個其他國家的情報組織在境內活躍,何況它的規模大概在8000人以上。

4.北辰:Lazaru都有過什麼戰績?

Steven: Lazarus的成名之戰是2014年入侵了索尼影業。當時有一部惡搞他們領導人的電影即將上映,於是就泄露了索尼影業大量未發行影片資料、商業郵件和員工隱私,最終索尼影業宣佈取消了該電影的上映。

Lazarus後來的攻擊越來越頻繁,比如盜竊孟加拉國中央銀行外匯儲備、入侵印度核電站、多次攻擊加密貨幣交易所等,大家最熟知的應該是用比特幣支付贖金勒索軟件。

5.北辰:按理說中央銀行的資產只要還在SWIFT系統,就會被凍結,Lazarus是如何取出來這筆錢的?

Steven:這不是Lazarus第一次攻擊央行系統,他們此前嘗試竊取過很多其他的國家的央行及商業銀行,但是都沒有成功。2016年攻擊孟加拉國中央銀行並盜竊了1.01億美元外儲,其中2000萬美元流向了斯里蘭卡,8100萬美元流向了菲律賓的賭場,但最終大部分被美國發現後追回了。

6.北辰:對Lazarus來講,這筆錢幾乎零成本的。

Steven:不是零成本,畢竟是在盜竊一個國家央行的錢,他們規劃了很久,而且動用了假賬戶、金融中介、賭場和其他協同犯罪的參與方。

7.北辰:那麼如何來確定這些攻擊來自於Lazarus?

Steven:高水平的安全公司以及相關的政府情報機構都能判斷得出來是Lazarus,因爲網絡活動一般都會有痕跡,何況他們的行爲模式比較鮮明:攻擊水平高,組織嚴密,很大部分攻擊以竊取資金爲主。

8.北辰:所以Lazarus主要是一個創收單位?

Steven:沒錯。據美國情報部門估計,每年被Lazarus竊取的資產大概是三到五億美元。更爲關鍵的是近五年來,該神祕國家90%以上的收入都是來自於幣圈,而且他們更加熟悉中國人。

9.北辰:可以展開說說他們的案例。

Steven:2018年日本交易所Coincheck被盜取了5.3億美元的加密貨幣,這就是Lazarus的手筆。

2022年更是盜取了約17億美元的加密貨幣(其中11億美元來自於DeFi協議),然後用Tornado Cash 等混幣器來洗錢。值得一提的是,該神祕國家2022年對外出口總額才1.59億美元。

自2023年下半年以來,Lazarus在幣圈的攻擊頻率明顯又加快了。比如6月份盜取Atomic Wallet 1億美元,7月22日同一天攻擊了兩個不同的機構,共盜取近一億美元。9月4號盜取在線加密賭場4100萬美元。9月12號盜取交易所Coin EX 5400萬美元。

其他小攻擊更加不計其數,因爲還有大量的攻擊是針對個人用戶的,很難統計,也很少被關注到。

10.北辰:Lazarus頻頻得手,是因爲他們更懂crypto,還是說用傳統的攻擊方式就已經可以了?

Steven:Lazarus的攻擊手段其實都是比較傳統的黑客攻擊,但是水平比較高。最常見的是魚叉攻擊,即沒有針對性地發送一些文件(比如郵件),然後把病毒嵌在裏面。當然,他們對幣圈也確實很瞭解,才能很好地利用了水坑攻擊和社會工程。

水坑攻擊就是在你的必經之路上攻擊,就好比獵食動物會躲在水源附近攻擊前來喝水的動物。在幣圈搞水坑攻擊就是先去攻擊項目方的網站,在網站上嵌入特定代碼,用戶只要交互就中毒了。

社會工程嚴格來說都不能算技術攻擊,而是利用日常社交行爲手段,利用人爲疏忽漏洞來獲取私人信息、訪問權限。幣圈的社會工程往往是黑客加入項目的社交社區(比如Telegram,Discord)進行監控,利用交易交易數據篩查出那些交易活躍且有大宗交易的人,然後有針對性地給這個人私聊,比如發一個空投信息,對方一旦打開就被攻擊了。

更高階的攻擊方式其實是直接作爲代碼貢獻者混入項目方,從而加入攻擊代碼。

幣圈的項目基本都是分佈式辦公,一個技術水平高而且薪資要求又低的碼農還是很容易加入團隊,當他作爲開發者掌握了一定權限時竊取加密貨幣是輕而易舉的。

11.北辰:他們在應聘的時候一般是怎麼僞裝身份的?

Steven:Lazarus的組織分工明確,有負責進行數據監控的,有專門做社會工程尋找目標的,有鑽研技術攻擊的,還有些人是負責洗錢。總之這是一個超級大的有實力的團隊專門做這件事,效率就非常高了。

12.北辰: 那麼身處幣圈的我們該如何避免資產被盜呢?

Steven:舉例幾個Lazarus在幣圈常見的攻擊方法。

一種是他們用KandyKorn軟件攻擊交易者。它是針對Mac操作系統,用一個python程序僞裝成套利機器人,然後把攻擊代碼加載在Mac操作系統的內存裏,攻擊的有效負載卻隱藏在Google雲服務硬盤中加載,而且加載動作很隱蔽(病毒源碼採用反射二進制加載作爲混淆技術)。這使得殺毒軟件的兩個主要手段都失效了——代碼特徵檢測無法檢測出攻擊代碼,行爲檢測也無法發現異常的行爲特徵。

另一種就是在加密網絡通信軟件源頭植入SIGNBT負載,感染後等於在內存中注入全功能的遠程訪問工具,這樣就可以運行其他的惡意軟件、外傳數據甚至終止進程運行等任意命令,相當於電腦完全被對方控制了,哪怕私鑰保護得再好,你只要進行一次簽名就暴露出去了。

還有一種就是把代碼切入到一些普通的應用程序。比如專門攻擊一些公司和開源項目並把惡意代碼塞進去,從而獲取使用者的整個系統權限,無論是Mac還是Windows,iOS還是安卓,Lazarus都有相應的程序。大部分的區塊鏈項目很多是採用現成的開源代碼,所以Lazarus就在最源頭把代碼注入進去,從而很容易獲取項目方的權限。

還有就是篡改瀏覽器擴展,大部分人是通過MetaMask錢包去領空投或者做交互,當項目方網頁本身被他篡改了,等於所有和他交互過的錢包都已經不安全了。

13.北辰:上述攻擊方式,具體是怎麼展開的?

Steven:就以2022年Axie Infinity的開發者Sky Mavis做的側鏈Ronin被盜6.2億美元爲例。

首先Lazarus通過社會工程知道有個Sky Mavis的員工在求職,於是虛假設置了一個Web3崗位需求,進行魚叉攻擊,把offer郵件發送給那個員工,員工打開PDF文件,他的電腦就中毒了,繼而尋求感染整個Sky Mavis公司內部的其他成員的電腦和服務器。

Ronin項目賬戶因爲多籤錢包要求9個賬戶裏至少5個簽名纔可以轉賬,而公司從安全角度出發只管理了其中4個賬戶,但是有一個DAO社區賬戶曾經授權公司管理但用完後沒有及時取消授權,被黑客攻破,最後賬上6.2億美元全部被竊取,過了一週時間Sky Mavis公司才發現這件事。

14.北辰:前面不是說他們把錢轉出去,在鏈上和互聯網上都會有痕跡麼?

Steven:首先把盜來的數字貨幣通過DEX全部換成ETH,然後歸集到已經創建好的多個一次性錢包,再跑到混幣器(比如Tornado,Sinbad),裏面把錢洗到新創建的幾十上百個錢包中再轉移出去。

所以說Lazarus的每次攻擊其實工作量非常大,前期要收集大量信息,然後單獨開發攻擊代碼,準備洗錢的錢包地址,還要用到社會工程的手段。說不定項目社區裏一些特別熱心的碼農出來貢獻代碼,他就是來自於Lazarus。

15.北辰:那麼針對幣圈的個人,請你總結一下應該怎麼去避免?我感覺只要你鏈上交互比較多,就沒辦法避免。

Steven:第一是利用中心化交易所,儘管這不符合加密精神,但大部分人確實很難管理好自己的私鑰,很多人就連自己的銀行賬戶都不一定管得好,何況是去管理一個不可能記住的私鑰,而且現在大家手上的錢包地址往往不止一個。

我覺得電腦操作能力比較差的小白索性相信中心化的交易所吧,畢竟合法的中心化交易所哪怕被盜,大部分資產是可以保全的。比如Mt.Gox的被盜資產就被保全到現在。

北辰:反而賺得更多了。

Steven:對,那時候比特幣才只有兩三千美元,大部分人是不可能守到現在的,也算是因禍得福吧。

第二是注意基本操作,比如新幣空投,如果一定要進行鏈上操作進行交互,那就儘可能用iOS系統吧,而且最好專機專用。

第三是收到不明郵件不要去點開不明附件。對社交平臺上套近乎的人要留點心眼,不要點開陌生人發的鏈接或者是郵件。

最後,如果資產確實比較多的話,而且又要進行鏈上操作,最好有個硬件錢包,並且冷、熱錢包應該分級、分域,準備多個硬件(PC,手機)互相隔離,最核心的資產放在安全等級高的錢包,需要經常交互的資產多準備一些熱錢包,只放少量資產,哪怕一個被盜,損失也不會傷筋動骨。

16.北辰:現在硬件錢包也不安全了,比如Ledger就被嵌入了惡意代碼。

Steven:是的,但我還是推薦用大品牌的硬件錢包,作惡的門檻會提高很多,而且即使發現漏洞,也會及時彌補漏洞。

17.北辰:那麼對於項目方有什麼建議嗎?

Steven:第一就是嚴格安全紀律,要有安全意識,設置多籤錢包,並認真執行所有的安全守則,這樣會提高攻擊成本。

還有就是要引入安全團隊,比如代碼審覈,比如引入一個藍隊(即防禦隊),白帽黑客,讓他們來提供一些地址監控和安全預警,做比不做要很好,因爲哪怕被盜了也能第一時間去找到轉移地址(畢竟洗錢還是要一定時間),發現及時的話還是有很大可能截住這筆資金。而不是一星期過去了才發現錢包的錢不見了,那就很難追得到。

18.北辰:鏈上的資產怎麼攔截?

Steven:要麼報警,要麼看你在圈內的人脈關係了,這就是爲什麼要引入安全團隊,因爲安全團隊往往有這樣的關係。不過要是遇上Lazarus這樣的國家級APT就很難了。

19.北辰:現在行業的安全服務主要還是以代碼審計爲主,其他的服務項目方的付費意願並不強。

Steven:代碼審覈是很基礎的要求,可以提高單打獨鬥的小黑客的攻擊難度,但像Lazarus這種國家級APT很難防住。所以我建議要找專業的藍隊,國內技術厲害的紅隊和藍隊的資源其實還挺豐富的。

20.北辰:比如360?

Steven:說實話,幣圈的項目不可能請國內合法公司去做安全服務的。可以找慢霧,CertiK這類圈內的安全公司,其實通過每年的護網行動找到得分高的那些藍隊來做安全團隊就可以了。在安全領域最強的並不是最大的網安公司,而是一些專業小團隊,這個你從每年的紅藍對抗賽就可以發現。

21.北辰:最後再做一個總結吧。

Steven:現在的幣圈還是個西部世界,政府管制很少參與,於是就有大量的搶劫偷盜的團伙和騙子,無論是項目方還是個人,最主要是大家腦子裏應該有這根弦,把這個籬笆扎得高一點,這樣即使遇到Lazarus這樣的大兵團,還是能防住他的一些攻擊。