作者:餅干,鏈捕手
黑客攻擊如今已然成為加密生態中的常態化事件,據Chainalysis2022年Q1報告顯示,黑客在2021年盜取價值32億美元的加密資產,但在2022年前三個月,黑客從交易所、DeFi協議和普通用戶盜取約13億美元加密資產,其中97%來自DeFi協議。
而在一眾黑客組織中,又以朝鮮黑客組織LazarusGroup近期最受關注。根據美國財政部報告,該組織正是損失高達6.2億美元的Ronin跨鏈橋被盜事件的幕后黑手,其以太坊地址已經納入美國制裁名單。此前,該組織被認為是Bithumb、KuCoin等諸多加密貨幣交易所被盜事件的主導者,并且手法多為釣魚攻擊。
如今,LazarusGroup儼然正在成為加密生態最具破壞性的黑客組織之一。那么這個組織究竟是如何形成的?它們通常又是如何作案的?
LazarusGroup簡介
據維基百科資料,LazarusGroup成立于2007年,隸屬于北韓人民軍總參謀部偵察總局第三局旗下的110號研究中心,專門負責網絡戰。該組織從國內挑選最聰明的學生接受六年的特殊教育,培養其將各種類型的惡意軟件部署到計算機和服務器的能力,朝鮮國內的金日成大學、KimChaek科技大學和Moranbong大學提供相關教育。
日本加密交易所BitFlyer聯創尋求重新任職CEO,并指導公司IPO:2月27日消息,日本加密交易所BitFlyer聯合創始人加納裕三計劃在3月下旬母公司股東大會上發布一份股東提案,來恢復自己作為該交易所首席執行官的職位,并指導其進行首次公開??募股(IPO),以尋求結束與現任管理層和其他股東對這家初創公司控制權的糾紛。他指出,自從他辭去總裁一職后,該公司并沒有取得與成本相符的成果。他指出其希望在完善公司內部控制和加強合規后,使該公司成為一家能夠在世界舞臺上競爭的全球創業公司。
據悉,BitFlyer于2014年由加納裕三和他在高盛的前老板創立。2018年,日本金融廳指出了該公司內部控制系統的缺陷,對其下發了業務改進命令。因此當時加納裕三辭去總裁一職,負責管理。目前加納裕三擁有BitFlyer 40%的股份。
此前金色財經報道,新加坡私募股權基金ACA Group放棄收購日本交易所BitFlyer。(彭博社)[2023/2/27 12:31:09]
該組織分為2個部門,一個是大約1700名成員的BlueNorOff,負責通過偽造SWIFT訂單進行非法轉賬,專注于利用網絡漏洞謀取經濟利益或控制系統來實施金融網絡犯罪,此部門針對金融機構和加密貨幣交易所。另一個是大約1600名成員的AndAriel,以韓國為攻擊目標。
韓國將對朝鮮黑客實施與加密貨幣盜竊和網絡攻擊相關的獨立制裁:2月10日消息,首爾外交部稱,四名朝鮮個人和七家企業因涉嫌參與網絡攻擊和加密貨幣盜竊而被列入黑名單。被列入黑名單的個人包括臭名昭著的ark Jin-hyok, Jo Myong-rae, Song Rim和Oh Chung-seong。
其中,Park為Chosun Expo Joint Venture從事信息技術工作,這是一家與朝鮮 Lazarus Group有關聯的掛名公司。他因參與2017年的WannaCry勒索軟件攻擊和2014年11月對索尼影視娛樂公司的網絡攻擊而聞名。美國財政部于2018年將他列入黑名單。
據韓國外交部提供的信息顯示,自2017年以來,朝鮮黑客竊取了價值超過12億美元的虛擬資產,其中僅2022年就達到了6.26億美元。[2023/2/10 11:59:21]
已知LazarusGroup最早的攻擊活動是2009年其利用DDoS技術來攻擊韓國政府的“特洛伊行動”。而最著名的一次是2014年對索尼影業的攻擊,原因是索尼上映關于暗殺朝鮮領導人金正恩的喜劇。
該組織旗下機構BlueNorOff的一次知名攻擊是2016年的孟加拉國銀行攻擊案,他們試圖利用SWIFT網絡從屬于孟加拉國中央銀行的紐約聯邦儲備銀行賬戶非法轉移近10億美元。在完成了幾筆交易后,紐約聯邦儲備銀行以拼寫錯誤引起的懷疑為由阻止了其余交易。
SBF:沒有資金被盜,Alameda因市場崩盤而虧損等三件事情導致FTX破產:金色財經報道,SBF發文表示,11 月中旬,FTX International實際資不抵債。三件事結合在一起導致了內爆:
1. 在2021年期間,Alameda的資產負債表增長到大約1000億美元的資產凈值、80億美元的凈借款(杠桿)和 70億美元的手頭流動性。
2. Alameda未能充分對沖其市場風險。在2022年期間,股票和加密貨幣領域發生了一系列大規模的廣泛市場崩盤,導致其資產市值下跌約80%。
3. 2022年11月,幣安CEO促成的一場極端、迅速、有針對性的崩盤使Alameda資不抵債。
然后Alameda的傳染蔓延到FTX和其他地方,類似于3AC等最終影響Voyager、Genesis、Celsius、BlockFi、Gemini等的方式。
FTX US仍然完全有償付能力,應該能夠退還所有客戶的資金。
此外,SBF在詳情中表示,沒有竊取資金,也沒有藏匿數十億美元。FTX International和Alameda 在2021年都是合法且獨立盈利的企業,每家都賺了數十億美元。[2023/1/12 11:08:41]
自2017年以來,該組織開始對加密行業進行攻擊,并獲利至少達10億美元。
NFT游戲Axie Infinity對Origins進行維護,正部署休賽期補丁:12月29日消息,NFT游戲Axie Infinity正在維護Origins,目前正在部署休賽期補丁,本次更新通過引入新的卡牌、符文、護身符和職業機制,從而為Origins Season 2做好準備,所有的Season 2符文和護身符已解鎖。[2022/12/29 22:14:31]
LazarusGroup加密攻擊事件
2017年2月從韓國交易所Bithumb盜取700萬美元的數字資產。?
2017年4月從韓國交易所Youbit盜取約4000枚比特幣,12月再次盜取其17%數字資產,Youbit申請破產。
2017年12月從加密貨幣云挖礦市場Nicehash盜取超過4500枚比特幣。
2020年9月從KuCoin交易所盜取價值約3億美元的數字資產。
2022年3月攻擊Ronin跨鏈橋,盜取17.36萬個ETH和2550萬USDC被盜,累計價值約6.2億美元。
此外,許多加密項目方負責人或者KOL也會成為LazarusGroup的目標。2022年3月22日,DefianceCapital創始人Arthur在推特表示熱錢包被盜,包括17枚azuki和5枚cloneX在內的的60枚NFT,損失約170萬美元。Arthur稱有證據表明幕后黑手是朝鮮支持的BlueNorOff黑客組織,他們正在大力傷害加密行業。
Naoris Protocol完成1150萬美元融資,Tim Draper領投:7月27日消息,Naoris Protocol完成1150萬美元融資,Tim Draper領投,Holt Xchange、Holdun Family Officer、SDC Management、Expert Dojo、Uniera、Level One Robotics等參投。據悉,Naoris Protocol旨在是改造區塊鏈網絡安全。(Silicon Angle)[2022/7/27 2:41:49]
面對外界的指控,朝鮮曾發表公告稱不是LazarusGroup所為,但此后從不回應媒體的詢問。
攻擊特點
根據虎符智庫分析,LazarusGroup通過網絡釣魚、惡意代碼、惡意軟件等手段盜取存儲在數字錢包的加密資產,主要有以下特點:
攻擊周期普遍較長,通常進行較長時間潛伏,并換不同方法誘使目標被入侵。
投遞的誘餌文件具有極強的迷惑性和誘惑性,導致目標無法甄別。
攻擊過程會利用系統破壞或勒索應用干擾事件的分析。
利用SMB協議漏洞或相關蠕蟲工具實現橫向移動和載荷投放。
每次攻擊使用工具集的源代碼都會修改,并且網安公司披露后也會及時修改源代碼。
LazarusGroup最擅長的攻擊手段是濫用信任,利用目標對商業通信、同事內部聊天或者與外部交互的信任,向其發送惡意文件,并監控其日常操作伺機盜竊。在攻擊者意識到找到的目標是加密大戶后,會仔細觀察用戶數周或數月的活動軌跡,最后才制定盜竊方案。
2021年1月,谷歌安全團隊也曾表示發現Lazarus長期潛伏在Twitter、LinkedIn、Telegram等社交媒體,利用虛假身份偽裝成活躍的業內漏洞研究專家,博取業內信任從而對其他漏洞研究人員發動0day攻擊。
據卡巴斯基的研究,今年BlueNoroff組織喜歡跟蹤和研究成功的加密貨幣初創公司,目標是與團隊管理層建立良好的個人互動關系并了解可能感興趣的主題,甚至會雇傭或偽裝成應聘者潛入公司,以便發起高質量的社會工程攻擊。
美國政府的一份報告,則進一步披露,入侵往往始于在各種通信平臺上發送給加密貨幣公司員工的大量魚叉式網絡釣魚消息,這些員工通常從事系統管理或軟件開發/IT運營(DevOps)。這些消息通常模仿招聘工作并提供高薪工作以誘使收件人下載帶有惡意軟件的加密貨幣應用程序。
把惡意文件植入目標電腦之后,如果攻擊者意識到目標使用Metamask拓展來管理加密錢包之后,會將擴展源從WebStore更改為本地存儲,并將核心擴展組件替換為篡改版本。下面截圖顯示了受病感染的Metamaskbackground.js代碼,其中注入的代碼行以黃色顯示。在這種情況下,攻擊者設置了對特定發件人和收件人地址之間交易的監控,可以在發現大額轉賬時觸發通知。
另外,如果攻擊者意識到目標用戶的加密貨幣是儲存在硬件錢包,會攔截交易過程并注入惡意邏輯。當用戶將資金轉移到另一個賬戶時,交易就會在硬件錢包上簽名。但是,鑒于該操作是由用戶主動發起,不會引起自身的懷疑,然而攻擊者不僅修改了收款人地址,還將轉賬數量拉到最大值。
這聽上去很簡單,但需要對Metamask擴展插件進行徹底分析,該擴展包含超過6MB的JavaScript代碼,并實施代碼注入讓用戶使用擴展時按需重寫交易細節。
但是,攻擊者對Chrome擴展的修改會留下痕跡。瀏覽器必須切換到開發者模式,并且Metamask擴展是從本地目錄而不是在線商店安裝的。如果插件來自商店,Chrome會對代碼強制執行數字簽名驗證并保證代碼完整性,攻擊者就無法完成攻擊過程。
如何應對
隨著加密生態規模的快速增長,LazarusGroup對行業的威脅也在急劇增長。根據美國聯邦調查局、美國網絡安全和基礎設施安全局和美國財政部近日共同發布的聯合網絡安全咨詢,自2020年以來,朝鮮支持的高級持續威脅就已開始針對區塊鏈和加密行業的各種組織,包括加密交易所、DeFi協議、鏈游、加密貿易公司、加密風投以及持有大量代幣和NFT的個人所有者。這些組織可能會繼續利用加密貨幣技術公司、游戲公司和交易所的漏洞來產生和洗錢以支持朝鮮政權。?
為此,該報告提出的緩解措施包括應用縱深防御安全策略、強制執行憑據要求和多因素身份驗證、在社交媒體和魚叉式釣魚中對用戶進行社交工程教育等。
今日,知名加密安全組織慢霧也針對該現象發布防范建議:建議行業從業人員隨時關注國內外各大威脅平臺安全情報,做好自我排查,提高警惕;開發人員運行可執行程序之前,做好必要的安全檢查;做好零信任機制,可以有效降低這類威脅帶來的風險;建議Mac/Windows實機運行的用戶保持安全軟件實時防護開啟,并隨時更新最新病庫。
在洗錢渠道方面,以太坊混幣協議TornadoCash近日也發推表示,該項目正在使用合規公司Chainalysis開發的工具來阻止美國外國資產控制辦公室(OFAC)批準的特定加密錢包地址訪問DApp,這似乎是在對LazarusGroup的圍追堵截。
不過TornadoCash聯合創始人RomanSemenov此后發推稱,封鎖僅適用于面向用戶的去中心化應用程序,而不適用于底層智能合約。也就是說,此舉更多地是象征性行動,很難實質性影響資深黑客通過TornadoCash混幣。
總結
LazarusGroup組織是有國家背景支持的頂尖黑客團伙,專注于針對特定目標進行長期的持續性網絡攻擊,以竊取資金和實現目的為出發點,是全球金融機構的最大威脅之一。
同時,此類組織對加密生態的攻擊也會間接導致加密貨幣市場成為朝鮮政權補充資金的便捷渠道,導致加密行業的進一步惡名化,影響其合規化與規范化進程。
為了應對LazarusGroup等一系列黑客組織的攻擊以及維護健康的加密行業生態,加密項目需要在應對此類攻擊方面形成更加有效的預防機制,在代碼審計、內控、用戶教育、響應機制等層面均采取相應措施,盡可能保障用戶資產安全。
作為加密用戶,每個人也需要了解更多安全方面的知識,尤其是在保護個人隱私、鑒別釣魚鏈接等方面,鑒于DefianceCapital創始人Arthur這般資深用戶仍然被盜,任何人都不容忽視此類風險。
參考資料:1、https://en.wikipedia.org/wiki/Lazarus_Group2、https://blog.chainalysis.com/reports/2022-defi-hacks/3、https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/4、https://cryptobriefing.com/north-korea-is-targeting-entire-crypto-space-top-vc-warns/
訪者:RyanSelkis,Messari創始人編譯:Amber,ForesightNews入行的背景以及早期的故事Eric:所以我今天非常興奮地邀請RyanSelkis參加播客.
1900/1/1 0:00:00來源:TwitterSpace?編譯:律動BlockBeats當Terra這個龐大的金融帝國開始迅速向外擴張,原生Stablecoin的穩定性愈發重要.
1900/1/1 0:00:00整理:Eva,鏈捕手 “過去24小時都發生了哪些重要事件”?1、Mirror網站疑似遭到攻擊,CTO回應稱與新增optimism公告鑄造NFT功能有關去中心化內容發布平臺Mirror今日網站出現.
1900/1/1 0:00:00鏈捕手消息,前Twitter首席執行官JackDorsey表示:“Twitter一直在努力做到最好,公司做出的每一個決定最終都是我的責任,我們犯過錯誤,也走偏過很遠,但我們承認并努力糾正.
1900/1/1 0:00:00來源:蜂巢Tech 進入4月,公鏈Near的動作越來越多,先是在4月6日宣布完成3.5億美元新一輪融資,以促進Near生態的進一步增長;又有消息稱Near將推出原生算法穩定幣USN.
1900/1/1 0:00:00作者:Blanker 編譯:代觀 01前言 互聯網自1974年TCP/IP協議誕生至今,已經快50年了。如今監管制度日趨嚴格,互聯網基礎設施也日益完備,曾被互聯網廣為宣傳的匿名性已不堪一擊.
1900/1/1 0:00:00