過去2ヶ月の間に、北朝鮮のハッカーグループLazarusは2億9000万ドル以上の暗号通貨を盗んだ。そこでDefiLlamaは、窃盗団が目的を達成するために使用する手法を調査した。
Lazarus、2ヶ月で2億9000万ドル以上の暗号通貨を盗む
これまでのところ、2023年はエコシステムにおけるハッキングが例年よりまばらなようで、現在のところ総額は6億3500万ドルとなっている。しかし、ここ数ヶ月の間にいくつかの重要な攻撃を目にしており、北朝鮮のグループ「Lazarus」だけでも過去2ヶ月間に2億9000万ドル以上の暗号通貨が盗まれたと報告されている。
この数字を踏まえ、DefiLlamaのアナリストは、数週間前に3700万ドルの攻撃を受けたCoinsPaidの最近のケースを中心に、これらの窃盗犯が使用するテクニックについて調査を行いました。
実際、HarmonyとAtomic Walletのブリッジハックに関与したウォレットが使用されていることから、Lazarusグループとの関連が確認されています。
数日前の夜、@zachxbtと私は、Coinspaid/Alphapo Atomic Wallet Harmonyから盗まれた資金間のクレイジーな直接リンクを偶然見つけました。
昨夜、Coinspaid/Alphapoの資金(Atomic Walletの残り物も含む)のうち~850万ドルが3チェーンの300以上のaddiesにまたがって飛びました。
https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L
– テイ (@tayvano_) 2023年8月3日
6ヶ月の準備と様々な攻撃
7月22日の攻撃に先立ち、Lazarusのハッカーは6ヶ月以上の準備期間を費やし、様々な方法でCoinsPaidのセキュリティを侵害した。
例えば7月7日には、15万ものIPアドレスを巻き込んだ大規模なDDoS攻撃が同プラットフォームを標的とした。
また、6月から7月にかけて、賄賂や、同プラットフォームのエンジニアに対する月給16,000ドルから24,000ドルの偽の求人オファーが行われたことも報告されている。
実際、ハッキングの成功につながる抜け穴を開いたのは、Crypto.comの採用面接を行っていると思い込んだ従業員が悪意のあるソフトウェアをダウンロードしたことだった。マルウェアのコードによって、攻撃者は脆弱性を悪用するためにCoinsPaidのシステムにアクセスすることができた。
CoinsPaidチームはLazarusグループのソーシャル・エンジニアリング技術についてDefiLlamaに語った。
従業員のコンピュータにマルウェアをインストールしようとするような試みは明らかだと思われるかもしれませんが、ハッカーたちはCoinsPaid、私たちのチームメンバー、私たちの会社の構造などについて、ありとあらゆる詳細を6ヶ月かけて学びました。高レベルのハッカーグループは、この脆弱性を悪用して有利な立場に立つことができました。Lazarusのようなハイレベルのハッカーグループは、潜在的なターゲットを利用するために、完全に信じられるストーリーを作成することができます。
最も印象的なハッキングは通常、分散型金融アプリケーション(DeFi)のソースコードの問題を利用したものであるが、ここでは人的要因を過小評価すべきではないことがわかる。技術的な脆弱性を探すよりも、悪意のあるエンティティがこのレバレッジを悪用する方が簡単な場合が多いからだ。
