強気相場が始まる 国内のハッキング集団があなたの財布を監視していることに注意

出典：シュリル・ホイッスル

昨夜のFRB3月定例会合と会見演説の公的声明は、金融市場全体を高揚させた。もちろん実質的な利下げはこれからだが、金融政策が今年中に徐々に緩和されることは確実で、流動性が銀行システムからリスク市場へ流れ出ようとしている。

現時点では、ビットコインが半減するまであと30日しかなく、ビットコインETFは伝統的な金融市場から暗号市場に流動性が流れ込む経路を開くものであるため、暗号の強気相場はすでに始まっており、投資家は儲かるか儲からないかという単なる問題に直面していると考えてもいいだろう。

しかし、「Prickly Whistle」はここでけたたましい警笛を鳴らします。国家的なハッキング集団が暗号市場の資産に目をつけており、起業家や投資家である皆さんは財布を守らなければなりません！

今号では、長年の通信技術者であり、セキュリティを専門とする旧友のスティーブンを迎え、暗号市場のパブリックエネミーである東洋の謎の国の国家レベルのハッキング組織「Lazarus」がどのように活動しているのか、また、私たちが彼らから身を守るために何ができるのかを明らかにします。

1.North Star: 国家レベルのAPTとは？

スティーブン：APTとはAdvanced persistent threat持続的な脅威（Advanced persistent threat）のことで、サイバーセキュリティの分野では一般的に、金銭目的の違法なハッキング組織をAPTと呼んでいます。合法的なハッキング組織は、脅威を発見し、それを相手側に報告して利益を得ることに特化しており、ホワイトハットと呼ばれ、APTとは呼ばれないでしょう。

私たちは日常生活の中で、通信詐欺のブラック・グレー生産を通じて間接的にAPTにさらされることが多く、例えば、個人情報を流出させられた人は、クローラーを使って情報を選別したり、他のデータベースから直接盗んだりするAPTであることが多いのですが、これはAPTの中の小エビとしか考えられません。小エビのAPTGoldeneyeのような大規模なAPTは、主にギャンブルサイトを攻撃し、中にはゲームサイトを標的にするものもあります。

最もレベルの高いAPTは国家規模のAPTで、政治目的で攻撃する傾向があります。しかし、ほとんどの国家的政治ハッキング組織は、非常に緩やかで、基本的に誰かが攻撃を開始するよう呼びかけるため、一般的にAPTとは呼ばれません。

2.Northstar：では、よく組織化され、政治的に動機づけられた国家的ハッカー集団だけが、国家的APTなのでしょうか？

スティーブン：国家レベルのAPTの大多数は、経済的な願望はなく、主に政治的・軍事的な目的のためにスパイ活動を行います。より強力なのは、米国家安全保障局に属するEquation GroupやProject Sauronで、主にロシアや中国などを標的に高度な攻撃を仕掛け、機密情報を盗み出す。ロシアも比較的強く、ロシア参謀本部軍事情報総局に属するファンタジー・ベアや、ロシア対外情報庁に属するコンフォート・ベアなどがある。

中国で最も頻繁に行われている国家レベルのAPT攻撃は、Poison Ivy、BITTER、SideWinder、Ocean Lotus、Lazarusです。Poison IVYは台湾を拠点とするAPTで公的な背景があり、BITTERとRattlesnakeはインド系、Ocean Lotusはベトナム系で、明確な政治的目的を持つ傾向があります。Lazarusだけが経済目的で攻撃しており、東洋の謎めいた国に所属しており、暗号業界のすべての人の警戒に値します。

3.Northstar: では、Lazaruと他の国家レベルのAPTとの違いは何でしょうか？

Steven:Lazarusは東洋の謎の国の参謀本部偵察総局のサイバー戦闘部隊であり、組織のメンバーの多くは中国で高等教育や訓練を受けたため、中国のサイバー環境に非常に精通しています。である。米国は、このグループが中国に活動拠点を置いていると非難しているが、実際にはありえないことだ。他国の諜報組織が国境内で活動することを許すはずがないし、およそ8000人以上の規模であることは言うまでもない。

4.ノーススター：ラザルはどんな戦いをしたことがありますか？

スティーブン： ラザルの名声は2014年にソニー・ピクチャーズを侵略したことだ。当時、彼らのリーダーを詐称した映画が公開されようとしていたのですが、ソニー・ピクチャーズから大量の未公開映画映像、ビジネスメール、従業員のプライバシーを流出させ、最終的に映画の公開を中止すると発表しました。

Lazarusはその後、バングラデシュの中央銀行から外貨準備高を盗んだり、インドの原子力発電所をハッキングしたり、暗号通貨取引所を繰り返し攻撃するなど、攻撃の頻度を高めており、最も知られているのは、ビットコインで身代金を支払うランサムウェアだろう。だろう。

5.Northstar: 中央銀行の資産がSWIFTシステムに残っている限り凍結されるのは論理的ですが、Lazarusはどうやってこのお金を持ち出したのでしょうか？

スティーブン：ラザルスが中央銀行システムを攻撃したのは今回が初めてではありません。スリランカに2,000万ドル、フィリピンのカジノに8,100万ドル流出したが、そのほとんどは発見された米国によって回収された。

6.ノーススター：ラザロにとって、この金はほぼゼロコストで手に入った。

スティーブン：犠牲はゼロではなかった。結局のところ、それは一国の中央銀行から金を盗むことであり、彼らは長い間それを計画し、偽の口座、金融仲介業者、カジノ、その他の共同犯罪参加者を利用した。

7.ノーススター：では、これらの攻撃がLazarusからのものだとどうやって判断するのですか？

スティーブン：高度なセキュリティ企業や関連する政府情報機関は、ネットワーク活動には一般的に痕跡があるため、それがLazarusだと見分けることができます。というのも、ネットワーク活動には一般的に痕跡があるからです。彼らの行動パターンがかなり特徴的であることは言うまでもありません。

8. ノーススター：では、ラザロは主に収益を生み出すユニットなのですね？

スティーブン：その通りです。米国の諜報機関は、ラザロによって盗まれた資産は、年間およそ3億ドルから5億ドルだと見積もっています。さらに危機的なのは、過去5年間の謎の国の収入の90％以上が暗号通貨コミュニティからのもので、彼らは中国に精通しているということです。

9.ノーススター：あなたは彼らのケースを拡大することができます。

スティーブン：2018年に日本の取引所コインチェックから5億3000万ドルの暗号通貨が盗まれましたが、これはラザロ社の手によるものでした。

2022年にはさらに約17億ドルの暗号通貨が盗まれ（うち11億ドルはDeFiプロトコルによるもの）、トルネードキャッシュのようなコインミキサーを使って洗浄された。2022年の謎の国の対外輸出が、合計でわずか1億5900万ドルだったことは注目に値する。

2023年後半以降、暗号通貨の世界におけるラザロ攻撃の頻度は、明らかに再び上昇している。例えば、6月にAtomic Walletから1億ドルを盗み、7月22日には同じ日に2つの異なる組織を攻撃し、合計1億ドル近くを盗みました。9月4日にはオンラインクリプトカジノから4100万ドルを盗み、9月12日には取引所Coin EXから5400万ドルを盗みました。

その他の小さな攻撃はさらに無数にあり、数えるのが難しく、ほとんど気づかれない個人ユーザーに対する攻撃も大量にあります。

10.Northstar:Lazarusがこれほど頻繁に攻撃されるのは、彼らが暗号について詳しいからなのでしょうか、それとも従来の攻撃ですでに可能なのでしょうか？

Steven: Lazarusの攻撃は実際にはもっと伝統的なハッキングですが、より高いレベルです。最も一般的なのは、ハープーン攻撃で、(電子メールのような)ファイルをターゲットにせずに送り、その中にウイルスを埋め込むというものです。そしてもちろん、彼らは水たまり攻撃やソーシャル・エンジニアリングをうまく利用できるほど、暗号通貨の世界を熟知しています。

水たまり攻撃とは、捕食動物が水源の近くに隠れて、水を飲みに来た動物を攻撃するのと同じように、必然的に通り道に攻撃を仕掛けることです。暗号通貨の世界で水たまり攻撃に従事するということは、先に進んでプロジェクトのウェブサイトを攻撃し、ウェブサイトに特定のコードを埋め込み、ユーザーはそれに接するだけで毒されてしまうということです。

ソーシャルエンジニアリングは、技術的な攻撃と考えることもできませんが、むしろ日常的な社会的行動の手段を利用し、人間の過失の抜け穴を利用して、個人情報やアクセス権を取得することです。暗号通貨の世界におけるソーシャルエンジニアリングは、ハッカーがプロジェクトのソーシャルコミュニティ（テレグラム、ディスコードなど）に参加し、監視し、取引データを使って、取引に積極的で取引件数が多い人を選別し、例えば、エアドロップのメッセージを送信することで、意図的にその人にプライベートなチャットを与え、相手がそれを開くことができるようにすることがよくあります。相手がそれを開くと、攻撃される。

より高度な攻撃方法は、実際にコード貢献者としてプロジェクトに直接入り込み、攻撃コードを追加することです。

暗号通貨プロジェクトは基本的に分散型オフィスであり、給与条件の低い高度なスキルを持つコーダーがチームに参加するのはまだ簡単で、開発者として一定の権限を持てば、暗号通貨を盗むのは簡単です。

11.ノーススター：彼らは通常、求人に応募する際、どのように身元を偽装するのでしょうか？

スティーブン:ラザルスの組織には明確な役割分担があり、データ監視を担当する者、ソーシャルエンジニアリングでターゲットを見つける専門家、技術的な攻撃を掘り下げる者、マネーロンダリングを担当する者などがいる。全体として、この活動に専念する超大規模で強力なチームであり、非常に効率的なのだ。

12.ノーススター：では、暗号通貨の世界にいるとき、どうやって資産の盗難を避けるのでしょうか？

スティーブン： 暗号通貨の世界でよくあるラザロ攻撃の例をいくつか挙げます。

ひとつは、KandyKornソフトウェアでトレーダーを攻撃することです。これはアービトラージボットに偽装したパイソンプログラムでMac OSを標的にし、攻撃コードをMac OSのメモリにロードする一方、攻撃のペイロードは隠れてGoogleクラウドサービスのハードドライブにロードされ、ロード動作は非常にステルス的です（ウイルスのソースコードは難読化技術として反射バイナリロードを使用しています）。コード シグネチャ検出は攻撃コードを検出できず、振る舞い検出は異常な振る舞いのシグネチャを見つけることができませんでした。

もう 1 つは、暗号化されたネットワーク通信ソフトウェアのソースに SIGNBT の負荷を埋め込むことで、感染後はフル機能のリモート アクセス ツールをメモリに注入するのと同じことになります。これにより、他のマルウェアを実行したり、データを送信したり、あるいは実行中のプロセスを終了させたり、その他の任意のコマンドを実行することができます。これは、たとえ秘密鍵がしっかりと保護されていたとしても、コンピュータが相手によって完全に制御されているのと同じことになります。それを公開するために必要なのは、たった一度の署名だけです。

いくつかの一般的なアプリケーションにコードをカットする別の方法があります。例えば、特に企業やオープンソースプロジェクトを攻撃し、悪意のあるコードを忍び込ませて、MacであれWindowsであれ、iOSであれAndroidであれ、ユーザーのシステム全体にアクセスする、Lazarusにはそのためのプログラムがあります。ブロックチェーン・プロジェクトの多くは、既製のオープンソース・コードを使用しているため、Lazarusはソースの時点でコードを注入し、プロジェクトのパーミッションへのアクセスを容易にします。

そしてブラウザ拡張機能による改ざんもあります。ほとんどの人はMetaMaskウォレットを経由してエアドロップを要求したり、やりとりをしたりしますが、プロジェクト側のウェブページ自体が彼によって改ざんされると、彼がやりとりしたすべてのウォレットが安全でなくなったのと同じことになります。

13.Northstar: 上記の攻撃はどのように展開したのでしょうか？

Steven:2022年にAxie Infinityの開発者であるSky Mavisによって作られたサイドチェーン、Roninから6億2000万ドルが盗まれたことを例に挙げてみましょう。

まずLazarusは、ソーシャルエンジニアリングを通じて、Sky Mavisの従業員が仕事を探していることを知っていたため、Web3の求人掲載依頼を偽って設定し、スピア攻撃を行い、オファーメールをその従業員に送り、その従業員がPDFファイルを開いたところ、彼のコンピュータが汚染され、その後、Sky Mavisの会社全体の他のメンバーのコンピュータやサーバーに感染しようとしました。サーバーに感染しました。

マルチシグネチャウォレットは送金に9つの口座で少なくとも5つの署名を必要とするため、浪人プロジェクト口座はセキュリティの観点から4つの口座しか管理していなかったが、DAOコミュニティ口座があり、同社が管理することを承認していたが、口座の使用終了後に時間内に承認を解除しなかったため、ハッキングされ、最終的に6億2000万ドルがすべて盗まれた。スカイメイビスがそれを知るのに1週間かかった。

14.ノーススター:以前、彼らはお金を移し、チェーン上やインターネット上にその痕跡が残っていると言っていませんでしたか？

Steven: まず第一に、盗まれたデジタル通貨は常にDEXを通じてETHに交換され、すでに作成された複数の使い捨てウォレットにプールされ、コインミキサー（例えばトルネードやシンドバッド）に流れ、コインミキサーはその資金を数十から数百の新しく作成されたウォレットに洗浄してから、外部に送金します。.

そのため、それぞれのLazarus攻撃は、初期段階で大量の情報を収集し、その後、別の攻撃コードを開発し、マネーロンダリングのためにウォレットアドレスを準備し、ソーシャルエンジニアリングの手口を使うなど、実際には非常に膨大な作業となります。もしかしたら、プロジェクトコミュニティで特に熱心なコーダーが出てきて、コードを貢献してくれるかもしれませんし、彼はLazarus出身かもしれません。

15.Northstar: では、暗号通貨コミュニティの個人のために、避けるべきことをまとめていただけますか？チェーン上でのやり取りが増える限り、避けようがないような気がします。

Steven:1つ目は中央集権的な取引所を使うことです。暗号の精神に沿わないとはいえ、ほとんどの人にとって自分の秘密鍵を管理するのは本当に難しいことです。また、最近は複数のウォレットアドレスを持っていることも多い。

コンピュータスキルが低い人は、中央集権的な取引所を信頼すればいいと思います。 結局のところ、合法的な中央集権的取引所の資産のほとんどは、たとえ盗まれても保存することができます。例えば、Mt.Goxの盗まれた資産は現在まで保存されている。

ノース・スター：その代わり、より多くのお金を稼いだ。

スティーブン:ええ、ビットコインは当時わずか2000ドルか3000ドルで、ほとんどの人が今まで持ち続けられたはずがありません。

2つ目は、新コインのエアドロップなど、基本的な操作に気を配ることで、チェーン操作でやり取りする必要があるのであれば、できるだけiOSのシステムで、専用機に特化するのがベストです。

3つ目は知らないメールを受信しても、知らない添付ファイルをクリックしないことです。ソーシャル・メディア・プラットフォームで親しくなる人に目を光らせ、見知らぬ人から送られてきたリンクやメールをクリックしないことです。

最後に、もし資産をたくさん持っていて、チェーン上で運用したいのであれば、ハードウェアウォレットを用意するのがベストで、コールドウォレットとホットウォレットをグレード分けし、ドメインに分け、複数のハードウェア（PC、携帯電話）を用意し、互いに隔離するのが最もコアです。資産はセキュリティレベルの高いウォレットに置き、頻繁なやり取りが必要な資産はよりホットなウォレットを用意し、少量の資産だけを置き、たとえ1つが盗まれても損失は痛くない。

16.Northstar：現在、ハードウェアウォレットも安全ではありません、例えば、Ledgerは悪意のあるコードが埋め込まれています。

Steven:そうですが、やはり大きなブランドのハードウェアウォレットをお勧めします。

17.Northstar:では、プロジェクトオーナーに何かアドバイスはありますか？

スティーブン:

1つ目は、厳格なセキュリティ規律、セキュリティを意識すること、マルチ署名ウォレットを設定すること、すべてのセキュリティコードを慎重に実施することです。

また、ブルーチーム（すなわち、防衛チーム）、ホワイトハットハッカーの導入など、コードレビューなどのセキュリティチームの導入があり、彼らはいくつかのアドレスの監視やセキュリティ警告を提供するように、非常に良いことをしないよりもしないので、それが盗まれた場合でも、転送先（結局のところ、マネーロンダリングはまだ一定の時間です）を見つけるために行くために最初にすることができ、資金を傍受する可能性がまだ高い場合、タイムリーな方法でそれを発見した。代わりに、一週間が財布のお金が行方不明であることを見つけるためにのみ経過している、それはトレースすることは困難であろう。

18.北極星：チェーン上の資産を傍受する方法は？

スティーブン：警察に通報するか、サークル内のコネクションによります。しかし、ラザルスのような全国規模のAPTに遭遇した場合は大変です。

19.Northstar:現在、業界のセキュリティサービスはまだコード監査が中心であり、他のサービスにお金を払う意欲はプロジェクト側には強くありません。

Steven:コード監査は非常に基本的な要件であり、単独で活動する小規模なハッカーを攻撃する難易度を高めることはできますが、Lazarusのような国家レベルのAPTを防御するのは困難です。だからこそ、プロのブルーチームを探すことをお勧めしますし、技術的に印象的なレッドチームやブルーチームの国内リソースは、実際にはかなり豊富です。

20.Northstar:

Steven: