比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

加密貨幣:朝鮮黑客組織 Lazarus Group:Ronin、KuCoin等多起行業事故幕后黑手_DEFI

Author:

Time:1900/1/1 0:00:00

黑客攻擊如今已然成為加密生態中的常態化事件,據 Chainalysis 2022 年 Q1 報告顯示,黑客在 2021 年盜取價值 32 億美元的加密資產,但在 2022 年前三個月,黑客從交易所、DeFi 協議和普通用戶盜取約 13 億美元加密資產,其中 97% 來自 DeFi 協議。

而在一眾黑客組織中,又以朝鮮黑客組織 Lazarus Group 近期最受關注。根據美國財政部報告,該組織正是損失高達 6.2 億美元的Ronin 跨鏈橋被盜事件的幕后黑手,其以太坊地址已經納入美國制裁名單。此前,該組織被認為是Bithumb、KuCoin等諸多加密貨幣交易所被盜事件的主導者,并且手法多為釣魚攻擊。

如今,Lazarus Group 儼然正在成為加密生態最具破壞性的黑客組織之一。那么這個組織究竟是如何形成的?它們通常優勢如何作案的?

Lazarus Group 簡介

據維基百科資料,Lazarus Group 成立于 2007 年,隸屬于北韓人民軍總參謀部偵察總局第三局旗下的 110 號研究中心,專門負責網絡戰。該組織從國內挑選最聰明的學生接受六年的特殊教育,培養其將各種類型的惡意軟件部署到計算機和服務器的能力,朝鮮國內的金日成大學、Kim Chaek科技大學和Moranbong大學提供相關教育。

知情人士:朝鮮黑客入侵IT管理公司JumpCloud以竊取加密貨幣:7月20日消息,據知情人士透露,朝鮮政府支持的黑客組織于6月下旬侵入了一家美國IT管理公司JumpCloud,并利用對該公司系統的訪問權限來瞄準其加密貨幣公司客戶,并將其作為跳板,針對數量不詳的加密貨幣公司發起攻擊。[2023/7/20 11:06:55]

該組織分為2個部門,一個是大約 1700 名成員的 BlueNorOff(也稱為APT38),負責通過偽造 SWIFT 訂單進行非法轉賬,專注于利用網絡漏洞謀取經濟利益或控制系統來實施金融網絡犯罪,此部門針對金融機構和加密貨幣交易所。另一個是大約 1600 名成員的 AndAriel,以韓國為攻擊目標。

已知 Lazarus Group 最早的攻擊活動是 2009 年其利用 DDoS 技術來攻擊韓國政府的“特洛伊行動”。而最著名的一次是 2014 年對索尼影業的攻擊,原因是索尼上映關于暗殺朝鮮領導人金正恩的喜劇。

該組織旗下機構 BlueNorOff 的一次知名攻擊是 2016 年的孟加拉國銀行攻擊案,他們試圖利用SWIFT 網絡從屬于孟加拉國中央銀行的紐約聯邦儲備銀行賬戶非法轉移近 10 億美元。在完成了幾筆交易(2000 萬美元追蹤到斯里蘭卡,8100 萬美元追蹤到菲律賓)后,紐約聯邦儲備銀行以拼寫錯誤引起的懷疑為由阻止了其余交易。

報告:朝鮮黑客自2017年以來已從日本竊取7.21億美元加密資產:5月15日消息,根據Elliptic一項研究報告,自2017年以來,與朝鮮有關聯的黑客組織從日本竊取了7.21億美元的加密資產,這相當于全球此類損失總數的30%。據Elliptic稱,從2017年到2022年底,朝鮮共從企業竊取了價值23億美元的加密貨幣。其中,日本所占比例最大,其次是越南(5.4億美元)、美國(4.97億美元)和中國香港(2.81億美元)。[2023/5/15 15:03:42]

自2017年以來,該組織開始對加密行業進行攻擊,并獲利至少達10億美元。

Lazarus Group 加密攻擊事件

2017 年 2 月從韓國交易所 Bithumb 盜取 700 萬美元的數字資產。?

2017 年 4 月從韓國交易所 Youbit 盜取約 4000 枚比特幣,12月再次盜取其 17% 數字資產,Youbit申請破產。

2017 年 12 月從加密貨幣云挖礦市場 Nicehash 盜取超過 4500 枚比特幣。

2020 年 9 月從 KuCoin 交易所盜取價值約3億美元的數字資產。

2022 年 3 月攻擊 Ronin 跨鏈橋,盜取17.36 萬個ETH 和 2550 萬 USDC 被盜,累計價值約 6.2 億美元。

聯合國報告:朝鮮黑客2022年盜取的加密貨幣為歷年最多:2月7日消息,聯合國一份機密報告顯示,到目前為止,朝鮮黑客在2022年盜取的加密資產比以往任何一年都多。據路透社報道,這份聯合國報告已于上周提交給由15名成員組成的朝鮮制裁委員會。

調查發現,去年與朝鮮有關聯的黑客盜取了6.3億美元至10億多美元的加密資產,并將外國航空航天和國防公司的網絡作為攻擊目標。

這份聯合國報告還指出,網絡攻擊比前幾年更加復雜,使得追蹤被盜資金比以往任何時候都更加困難。

獨立制裁監督機構在提交給聯合國安理會委員會的報告中表示:“(朝鮮)利用日益復雜的網絡技術,進入涉及網絡金融的數字網絡,并竊取有潛在價值的信息,包括對其武器計劃的信息。”

此前消息,據區塊鏈分析公司Chainalysis最新報告表示,整體加密貨幣損失從2021年的33億美元增至2022年的38億美元,2022年為有史以來加密貨幣被盜損失規模最大的一年。其中,DeFi協議損失占黑客竊取的所有加密貨幣的82.1%(約31億美元),遠高于2021年的73.3%。在這31億美元中,64%來自跨鏈橋接協議。此外,朝鮮網絡犯罪集團Lazarus Group于2022年共竊取價值約17億美元的加密貨幣,創歷史紀錄。(Cointelegraph)[2023/2/7 11:51:56]

此外,許多加密項目方負責人或者 KOL 也會成為 Lazarus Group 的目標。2022年3月22日,Defiance Capital 創始人 Arthur 在推特表示熱錢包被盜,包括 17 枚 azuki 和 5 枚 cloneX 在內的的 60 枚 NFT ,損失約 170 萬美元。Arthur稱有證據表明幕后黑手是朝鮮支持的 BlueNorOff 黑客組織,他們正在大力傷害加密行業。

韓國金融服務委員會稱其對朝鮮黑客竊取加密貨幣不負責:韓國金融服務委員會(FSC)在回復國民議會事務委員會的書面質詢時表示,他們對由朝鮮政權支持的黑客在加密交易所平臺上發起的攻擊中竊取的加密貨幣不負責。根據這份報告,該監管機構辯稱,加密交易所不屬于他們的管轄范圍,但沒有提供有關此事的更多細節。他們把責任轉交給韓國外交部和韓國通信委員會(KCC)。但是,外交部和韓國通信委員會都認為,FSC仍然要對加密公司遭受的任何損失負責,因為這些都與金融有關。這兩個機構指出,FSC的職務是“負責管理和監督虛擬資產提供商”。(Fn News)[2020/10/24]

面對外界的指控,朝鮮曾發表公告稱不是Lazarus Group所為,但此后從不回應媒體的詢問。

攻擊特點

根據虎符智庫分析,Lazarus Group 通過網絡釣魚、惡意代碼、惡意軟件等手段盜取存儲在數字錢包的加密資產,主要有以下特點:

攻擊周期普遍較長,通常進行較長時間潛伏,并換不同方法誘使目標被入侵。

投遞的誘餌文件具有極強的迷惑性和誘惑性,導致目標無法甄別。

攻擊過程會利用系統破壞或勒索應用干擾事件的分析。

利用SMB協議漏洞或相關蠕蟲工具實現橫向移動和載荷投放。

每次攻擊使用工具集的源代碼都會修改,并且網安公司披露后也會及時修改源代碼。

聲音 | 卡巴斯基:朝鮮黑客現通過Telegram竊取加密貨幣:金色財經報道,在周二發表的研究報告中,網絡安全公司卡巴斯基表示,與朝鮮有聯系的網絡犯罪組織Lazarus Group的攻擊方法已發生重大變化。新的攻擊手段是通過Telegram傳播惡意軟件。研究人員發現,某些受害者的計算機下載了帶有嵌入式惡意軟件的操縱軟件,該軟件會在黑客不知情的情況下將敏感數據發送給黑客。一項案例研究涉及一個偽造的加密貨幣錢包的軟件更新,該軟件一旦被下載,便開始將用戶數據傳輸給黑客。[2020/1/10]

Lazarus Group 最擅長的攻擊手段是濫用信任,利用目標對商業通信、同事內部聊天或者與外部交互的信任,向其發送惡意文件,并監控其日常操作伺機盜竊。在攻擊者意識到找到的目標是加密大戶后,會仔細觀察用戶數周或數月的活動軌跡,最后才制定盜竊方案。

2021年1月,谷歌安全團隊也曾表示發現Lazarus長期潛伏在Twitter、LinkedIn、Telegram 等社交媒體,利用虛假身份偽裝成活躍的業內漏洞研究專家,博取業內信任從而對其他漏洞研究人員發動0day攻擊。

據卡巴斯基的研究,今年 BlueNoroff 組織喜歡跟蹤和研究成功的加密貨幣初創公司,目標是與團隊管理層建立良好的個人互動關系并了解可能感興趣的主題,甚至會雇傭或偽裝成應聘者潛入公司,以便發起高質量的社會工程攻擊。

美國政府的一份報告,則進一步披露,入侵往往始于在各種通信平臺上發送給加密貨幣公司員工的大量魚叉式網絡釣魚消息,這些員工通常從事系統管理或軟件開發/IT 運營 (DevOps)。這些消息通常模仿招聘工作并提供高薪工作以誘使收件人下載帶有惡意軟件的加密貨幣應用程序。

把惡意文件植入目標電腦之后,如果攻擊者意識到目標使用Metamask拓展來管理加密錢包之后,會將擴展源從 Web Store 更改為本地存儲,并將核心擴展組件(backgorund.js)替換為篡改版本。下面截圖顯示了受病感染的 Metamask background.js 代碼,其中注入的代碼行以黃色顯示。在這種情況下,攻擊者設置了對特定發件人和收件人地址之間交易的監控,可以在發現大額轉賬時觸發通知。

另外,如果攻擊者意識到目標用戶的加密貨幣是儲存在硬件錢包,會攔截交易過程并注入惡意邏輯。當用戶將資金轉移到另一個賬戶時,交易就會在硬件錢包上簽名。但是,鑒于該操作是由用戶主動發起,不會引起自身的懷疑,然而攻擊者不僅修改了收款人地址,還將轉賬數量拉到最大值。

這聽上去很簡單,但需要對 Metamask 擴展插件進行徹底分析,該擴展包含超過 6MB 的 JavaScript 代碼(約 170,000 行代碼),并實施代碼注入讓用戶使用擴展時按需重寫交易細節。

但是,攻擊者對 Chrome 擴展的修改會留下痕跡。瀏覽器必須切換到開發者模式,并且 Metamask 擴展是從本地目錄而不是在線商店安裝的。如果插件來自商店,Chrome 會對代碼強制執行數字簽名驗證并保證代碼完整性,攻擊者就無法完成攻擊過程。

如何應對

隨著加密生態規模的快速增長,Lazarus Group 對行業的威脅也在急劇增長。根據美國聯邦調查局(FBI)、美國網絡安全和基礎設施安全局(CISA)和美國財政部近日共同發布的聯合網絡安全咨詢(CSA),自 2020 年以來,朝鮮支持的高級持續威脅(APT)就已開始針對區塊鏈和加密行業的各種組織,包括加密交易所、DeFi 協議、鏈游、加密貿易公司、加密風投以及持有大量代幣和 NFT 的個人所有者。這些組織可能會繼續利用加密貨幣技術公司、游戲公司和交易所的漏洞來產生和洗錢以支持朝鮮政權。?

為此,該報告提出的緩解措施包括應用縱深防御安全策略、強制執行憑據要求和多因素身份驗證、在社交媒體和魚叉式釣魚中對用戶進行社交工程教育等。

今日,知名加密安全組織慢霧也針對該現象發布防范建議:建議行業從業人員隨時關注國內外各大威脅平臺安全情報,做好自我排查,提高警惕;開發人員運行可執行程序之前,做好必要的安全檢查;做好零信任機制,可以有效降低這類威脅帶來的風險;建議 Mac/Windows 實機運行的用戶保持安全軟件實時防護開啟,并隨時更新最新病庫。

在洗錢渠道方面,以太坊混幣協議 Tornado Cash 近日也發推表示,該項目正在使用合規公司 Chainalysis 開發的工具來阻止美國外國資產控制辦公室 (OFAC) 批準的特定加密錢包地址訪問 DApp,這似乎是在對 Lazarus Group 的圍追堵截。

不過 Tornado Cash 聯合創始人Roman Semenov此后發推稱,封鎖僅適用于面向用戶的去中心化應用程序(dapp),而不適用于底層智能合約。也就是說,此舉更多地是象征性行動,很難實質性影響資深黑客通過 Tornado Cash 混幣。

總結

Lazarus Group 組織是有國家背景支持的頂尖黑客團伙,專注于針對特定目標進行長期的持續性網絡攻擊,以竊取資金和實現目的為出發點,是全球金融機構的最大威脅之一。

同時,此類組織對加密生態的攻擊也會間接導致加密貨幣市場成為朝鮮政權補充資金的便捷渠道,導致加密行業的進一步惡名化,影響其合規化與規范化進程。

為了應對 Lazarus Group 等一系列黑客組織的攻擊以及維護健康的加密行業生態,加密項目需要在應對此類攻擊方面形成更加有效的預防機制,在代碼審計、內控、用戶教育、響應機制等層面均采取相應措施,盡可能保障用戶資產安全。

作為加密用戶,每個人也需要了解更多安全方面的知識,尤其是在保護個人隱私、鑒別釣魚鏈接等方面,鑒于 Defiance Capital 創始人 Arthur 這般資深用戶仍然被盜,任何人都不容忽視此類風險。

參考資料:1、https://en.wikipedia.org/wiki/Lazarus_Group2、https://blog.chainalysis.com/reports/2022-defi-hacks/3、https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/4、https://cryptobriefing.com/north-korea-is-targeting-entire-crypto-space-top-vc-warns/

Tags:加密貨幣GROEFIDEFI加密貨幣市場總市值多少億PlaygroundzDefivilleDogDeFiCoin

中幣交易所
NFT:三會《NFT倡議》的解讀_nfts幣合約地址

三會《NFT倡議》的解讀天元律師事務所合伙人王偉2022年4月13日,中國互聯網金融協會、中國銀行業協會、中國證券業協會(下稱“三會”)共同發布了《關于防范NFT相關金融風險的倡議》(下稱“《N.

1900/1/1 0:00:00
區塊鏈:如何尋找交易加密貨幣的“最佳時間”?_加密貨幣

與傳統市場不同,加密貨幣市場全天候開放,即使在公共假期也是如此。加密貨幣交易的全球性和持續性給交易者帶來了許多挑戰,其中之一就是尋找最佳交易時間.

1900/1/1 0:00:00
ETH:什么是影子分叉?以太坊合并領導人解讀相關疑問_pos幣也會集中

合并 Kiln 合并到底發生了什么?和主網一樣,Kiln 以單獨的 PoW 鏈和 PoS 鏈啟動。通過合并,它現在完全在 PoS 下運行.

1900/1/1 0:00:00
DAO:DAO 如何改變我們的工作方式_Daiquilibrium

大家好我是鳥哥,海外得到的消息:每一次技術革命都改變了我們的工作方式。犁將狩獵采集者變成農民。紡紗珍妮和動力織布機把農民變成了工廠工人.

1900/1/1 0:00:00
UNI:Messari:深入解讀Uniswap一季度市場表現與進展_Unicorn Milk

原標題:State of Uniswap Q1 2022 重點內容: 由于從 2021 年第四季度開始市場對加密貨幣和 NFT 的興趣減弱.

1900/1/1 0:00:00
元宇宙:元宇宙龍頭股歌爾自廢 資本為何還在追捧 ?_ETA

這是中國制造樣本式的典型案例,它本可載入史冊;卻囿于創始人局限性,錯過一個時代。它的前身起于九十年代,是那個時代典型的下海浪潮的產物;它經歷過完整的經濟周期,見識過大蕭條和大危機;它有著那個時代.

1900/1/1 0:00:00
ads