原文标题:《起底朝鲜黑客组织 Lazarus Group:Ronin、KuCoin 等多起行业事故幕后黑手,擅长社会工程》
黑客攻击如今已然成为加密生态中的常态化事件,据 Chainalysis 2022 年 Q1 报告显示,黑客在 2021 年盗取价值 32 亿美元的加密资产,但在 2022 年前三个月,黑客从交易所、DeFi 协议和普通用户盗取约 13 亿美元加密资产,其中 97% 来自 DeFi 协议。
而在一众黑客组织中,又以朝鲜黑客组织 Lazarus Group 近期最受关注。根据美国财政部报告,该组织正是损失高达 6.2 亿美元的 Ronin 跨链桥被盗事件的幕后黑手,其以太坊地址已经纳入美国制裁名单。此前,该组织被认为是 Bithumb、KuCoin 等诸多加密货币交易所被盗事件的主导者,并且手法多为钓鱼攻击。
如今,Lazarus Group 俨然正在成为加密生态最具破坏性的黑客组织之一。那么这个组织究竟是如何形成的?它们通常又是如何作案的?
据维基百科资料,Lazarus Group 成立于 2007 年,隶属于北韩人民军总参谋部侦察总局第三局旗下的 110 号研究中心,专门负责网络战。该组织从国内挑选最聪明的学生接受六年的特殊教育,培养其将各种类型的恶意软件部署到计算机和服务器的能力,朝鲜国内的金日成大学、Kim Chaek 科技大学和 Moranbong 大学提供相关教育。
观点:法官Analisa Torres可能会发现某些因素的缺乏导致同样的结果:金色财经报道,推特用户MackAttackXRP在社交媒体中称,关于XRP的裁决,如果美国SEC上诉获胜,法官Analisa Torres将面临两种选择。“她很可能会发现某些因素的缺乏,导致了我们今天所得到的同样的实际结果。”[2023/8/2 16:14:12]
该组织分为 2 个部门,一个是大约 1700 名成员的 BlueNorOff(也称为 APT38),负责通过伪造 SWIFT 订单进行非法转账,专注于利用网络漏洞谋取经济利益或控制系统来实施金融网络犯罪,此部门针对金融机构和加密货币交易所。另一个是大约 1600 名成员的 AndAriel,以韩国为攻击目标。
已知 Lazarus Group 最早的攻击活动是 2009 年其利用 DDoS 技术来攻击韩国政府的「特洛伊行动」。而最著名的一次是 2014 年对索尼影业的攻击,原因是索尼上映关于暗杀朝鲜领导人金正恩的喜剧。
该组织旗下机构 BlueNorOff 的一次知名攻击是 2016 年的孟加拉国银行攻击案,他们试图利用 SWIFT 网络从属于孟加拉国中央银行的纽约联邦储备银行账户非法转移近 10 亿美元。在完成了几笔交易(2000 万美元追踪到斯里兰卡,8100 万美元追踪到菲律宾)后,纽约联邦储备银行以拼写错误引起的怀疑为由阻止了其余交易。
NFT金融所有权市场Solv Protocol推出投资基金SFT:2月16日消息,Web3 流动性基础设施 Solv Protocol 宣布推出基金 Solv Seahorse Fund,这是一系列投资基金 SFT,用户在 Solv 协议上购买并在未来赎回股份以获得收入。其首期产品“Crypto Market 2023-02”今日将在 Polygon 的 Solv 协议 dApp 上发布。据悉,首期产品规模为 5 万美元,最低门槛为 10 美元,收益由利息和奖励组成,投资者需须持有份额到基金关闭才能获得奖励。[2023/2/16 12:11:10]
自 2017 年以来,该组织开始对加密行业进行攻击,并获利至少达 10 亿美元。
2017 年 2 月从韩国交易所 Bithumb 盗取 700 万美元的数字资产。
2017 年 4 月从韩国交易所 Youbit 盗取约 4000 枚比特币,12 月再次盗取其 17% 数字资产,Youbit 申请破产。
2017 年 12 月从加密货币云挖矿市场 Nicehash 盗取超过 4500 枚比特币。
2020 年 9 月从 KuCoin 交易所盗取价值约 3 亿美元的数字资产。
2022 年 3 月攻击 Ronin 跨链桥,盗取 17.36 万个 ETH 和 2550 万 USDC 被盗,累计价值约 6.2 亿美元。
数据:信标链ETH2合约地址质押数达1573万枚ETH:12月21日消息,根据Tokenview链上数据监测,当前信标链ETH2合约地址质押存款为15,731,783枚ETH,近一周增长72,416枚ETH。[2022/12/21 21:57:43]
此外,许多加密项目方负责人或者 KOL 也会成为 Lazarus Group 的目标。2022 年 3 月 22 日,Defiance Capital 创始人 Arthur 在推特表示热钱包被盗,包括 17 枚 azuki 和 5 枚 cloneX 在内的的 60 枚 NFT ,损失约 170 万美元。Arthur 称有证据表明幕后黑手是朝鲜支持的 BlueNorOff 黑客组织,他们正在大力伤害加密行业。
面对外界的指控,朝鲜曾发表公告称不是 Lazarus Group 所为,但此后从不回应媒体的询问。
根据虎符智库分析,Lazarus Group 通过网络钓鱼、恶意代码、恶意软件等手段盗取存储在数字钱包的加密资产,主要有以下特点:
攻击周期普遍较长,通常进行较长时间潜伏,并换不同方法诱使目标被入侵。
投递的诱饵文件具有极强的迷惑性和诱惑性,导致目标无法甄别。
攻击过程会利用系统破坏或勒索应用干扰事件的分析。
利用 SMB 协议漏洞或相关蠕虫工具实现横向移动和载荷投放。
安全团队:Project Kaito项目Discord服务器遭到攻击:金色财经报道,据CertiK监测,Project Kaito项目Discord服务器遭到攻击。请社区用户不要点击链接,铸造或批准任何交易。[2022/10/14 14:27:26]
每次攻击使用工具集的源代码都会修改,并且网安公司披露后也会及时修改源代码。
Lazarus Group 最擅长的攻击手段是滥用信任,利用目标对商业通信、同事内部聊天或者与外部交互的信任,向其发送恶意文件,并监控其日常操作伺机盗窃。在攻击者意识到找到的目标是加密大户后,会仔细观察用户数周或数月的活动轨迹,最后才制定盗窃方案。
2021 年 1 月,谷歌安全团队也曾表示发现 Lazarus 长期潜伏在 Twitter、LinkedIn、Telegram 等社交媒体,利用虚假身份伪装成活跃的业内漏洞研究专家,博取业内信任从而对其他漏洞研究人员发动 0day 攻击。
据卡巴斯基的研究,今年 BlueNoroff 组织喜欢跟踪和研究成功的加密货币初创公司,目标是与团队管理层建立良好的个人互动关系并了解可能感兴趣的主题,甚至会雇佣或伪装成应聘者潜入公司,以便发起高质量的社会工程攻击。
美国政府的一份报告,则进一步披露,入侵往往始于在各种通信平台上发送给加密货币公司员工的大量鱼叉式网络钓鱼消息,这些员工通常从事系统管理或软件开发 / IT 运营 (DevOps)。这些消息通常模仿招聘工作并提供高薪工作以诱使收件人下载带有恶意软件的加密货币应用程序。
Terra发布Terra2.0空投细节,攻击后快照预计于5月27日4:00左右进行:5月26日消息,Terra发布Terra2.0空投细节,攻击前的快照时间为区块高度7544910(北京时间5月7日22:59:37),攻击后快照时间将在区块高度7790000(北京时间5月27日3:59:51左右),攻击前快照时持有LUNA(包括质押)或小于50万枚aUST以及攻击后快照时持有LUNC(包括质押)或UST的用户可获得新LUNA代币空投。其中,攻击前快照时的LUNA持有者中,持有量小于1万枚的将立即释放30%,而持有量大于1万枚的用户,空投将有1年的锁定期。
Terra表示,预计的空投比率为攻击前快照:1LUNC空投0.9477729517LUNA;攻击后快照:1LUNC空投0.00001448496473LUNA、1UST空投0.01788054508LUNA。[2022/5/26 3:43:05]
把恶意文件植入目标电脑之后,如果攻击者意识到目标使用 Metamask 拓展来管理加密钱包之后,会将扩展源从 Web Store 更改为本地存储,并将核心扩展组件(backgorund.js)替换为篡改版本。下面截图显示了受病感染的 Metamask background.js 代码,其中注入的代码行以黄色显示。在这种情况下,攻击者设置了对特定发件人和收件人地址之间交易的监控,可以在发现大额转账时触发通知。
另外,如果攻击者意识到目标用户的加密货币是储存在硬件钱包,会拦截交易过程并注入恶意逻辑。当用户将资金转移到另一个账户时,交易就会在硬件钱包上签名。但是,鉴于该操作是由用户主动发起,不会引起自身的怀疑,然而攻击者不仅修改了收款人地址,还将转账数量拉到最大值。
这听上去很简单,但需要对 Metamask 扩展插件进行彻底分析,该扩展包含超过 6MB 的 JavaScript 代码(约 170,000 行代码),并实施代码注入让用户使用扩展时按需重写交易细节。
但是,攻击者对 Chrome 扩展的修改会留下痕迹。浏览器必须切换到开发者模式,并且 Metamask 扩展是从本地目录而不是在线商店安装的。如果插件来自商店,Chrome 会对代码强制执行数字签名验证并保证代码完整性,攻击者就无法完成攻击过程。
随着加密生态规模的快速增长,Lazarus Group 对行业的威胁也在急剧增长。根据美国联邦调查局(FBI)、美国网络安全和基础设施安全局(CISA)和美国财政部近日共同发布的联合网络安全咨询(CSA),自 2020 年以来,朝鲜支持的高级持续威胁(APT)就已开始针对区块链和加密行业的各种组织,包括加密交易所、DeFi 协议、链游、加密贸易公司、加密风投以及持有大量代币和 NFT 的个人所有者。这些组织可能会继续利用加密货币技术公司、游戏公司和交易所的漏洞来产生和以支持朝鲜政权。
为此,该报告提出的缓解措施包括应用纵深防御安全策略、强制执行凭据要求和多因素身份验证、在社交媒体和鱼叉式钓鱼中对用户进行社交工程教育等。
今日,知名加密安全组织慢雾也针对该现象发布防范建议:建议行业从业人员随时关注国内外各大威胁平台安全情报,做好自我排查,提高警惕;开发人员运行可执行程序之前,做好必要的安全检查;做好零信任机制,可以有效降低这类威胁带来的风险;建议 Mac/Windows 实机运行的用户保持安全软件实时防护开启,并随时更新最新病库。
在渠道方面,以太坊混币协议 Tornado Cash 近日也发推表示,该项目正在使用合规公司 Chainalysis 开发的工具来阻止美国外国资产控制办公室 (OFAC) 批准的特定加密钱包地址访问 DApp,这似乎是在对 Lazarus Group 的围追堵截。
不过 Tornado Cash 联合创始人 Roman Semenov 此后发推称,封锁仅适用于面向用户的去中心化应用程序(dapp),而不适用于底层智能合约。也就是说,此举更多地是象征性行动,很难实质性影响资深黑客通过 Tornado Cash 混币。
Lazarus Group 组织是有国家背景支持的顶尖黑客团伙,专注于针对特定目标进行长期的持续性网络攻击,以窃取资金和实现目的为出发点,是全球金融机构的最大威胁之一。
同时,此类组织对加密生态的攻击也会间接导致加密货币市场成为朝鲜政权补充资金的便捷渠道,导致加密行业的进一步恶名化,影响其合规化与规范化进程。
为了应对 Lazarus Group 等一系列黑客组织的攻击以及维护健康的加密行业生态,加密项目需要在应对此类攻击方面形成更加有效的预防机制,在代码审计、内控、用户教育、响应机制等层面均采取相应措施,尽可能保障用户资产安全。
作为加密用户,每个人也需要了解更多安全方面的知识,尤其是在保护个人隐私、鉴别钓鱼链接等方面,鉴于 Defiance Capital 创始人 Arthur 这般资深用户仍然被盗,任何人都不容忽视此类风险。
1、https://en.wikipedia.org/wiki/Lazarus_Group
2、https://blog.chainalysis.com/reports/2022-defi-hacks/
3、https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/
4、https://cryptobriefing.com/north-korea-is-targeting-entire-crypto-space-top-vc-warns/
头条▌SBF提出推文上链等多条建议以去中心化Twitter4月14日消息,FTX创始人SBF对去中心化Twitter提出了一些想法: 1. 推文上链,加密:发文者选择谁有权访问它们.
1900/1/1 0:00:00AMA关键词:NFT DAO电影 去中心化集体创作 FwenClub:项目方 20W全球成员Joan Cornella:西班牙艺术家 Ins 325W twitter 53.
1900/1/1 0:00:00以太坊和其他公链,都在尝试利用多链结构扩容,例如以太坊2.0可能实现的同构分片、波卡正在实施的异构分片、COSMOS的跨链结构.
1900/1/1 0:00:00金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是项目周刊,带您一览本周主流项目以及明星项目的进展.
1900/1/1 0:00:00金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、矿业信息、项目动态、技术进展等行业动态。本文是其中的新闻周刊,带您一览本周区块链行业大事.
1900/1/1 0:00:004月16日,2022清华五道口全球金融论坛召开,会上中国金融学会会长、中国人民银行原行长周小川针对数字人民币及数字货币的问题发表了《关于数字货币的几点问题及回应》的演讲.
1900/1/1 0:00:00