在竊取加密貨幣方面,北韓是世界上最有動機的國家之一,2017 年該國因核試驗和飛彈試射而遭遇更嚴厲的經濟制裁後,該國將重點轉向網路犯罪。本文源自 Elliptic 所著文章 《How the Lazarus Group is stepping up crypto hacks and changing its tactics》,由 陀螺財經 編譯,PANews 整理。
(前情提要:Stake.com被駭後續》北韓駭客拉撒路集團已將2500萬美元匯入Tornado )
(背景補充:美國FBI:加密賭場Stake.com「被盜4000萬鎂」真兇是北韓駭客拉撒路 )
北韓駭客組織 Lazarus 最近似乎加大了行動力度,自 6 月 3 日以來已確認進行了 4 次針對加密行業的攻擊。近期,他們被懷疑已經進行了第 5 次攻擊,慢霧首席資訊安全官 23pds 發推稱,加密交易所 CoinEx 遭遇的 5500 萬美元駭客攻擊是北韓國家資助的駭客所為。
延伸閱讀:災情擴大》CoinEx交易所遭駭4300萬美元:將全額補償、暫停存提款..
值得注意的是,此前據美聯社援引韓國主要間諜機構國家情報局(NIS)的報導,自 2017 年以來,由北韓贊助的駭客從世界各地竊取了約 12 億美元的加密貨幣。NIS 認為,在竊取加密貨幣方面,北韓是世界上最有動機的國家之一,2017 年聯合國為應對其核試驗和導彈試驗而加強經濟制裁後,該國將重點轉向網路犯罪。
此外,在過去 104 天裡,北韓駭客組織 Lazarus 已被確認從 Atomic Wallet(1 億美元)、CoinsPaid(3730 萬美元)、Alphapo(6000 萬美元)和 Stake.com(4100 萬美元)竊取了近 2.4 億美元的加密資產。
延伸閱讀:Atomic Wallet被駭金額升至1億美元,追兇北韓駭客拉撒路Lazarus
如上圖所示,經 Elliptic 分析指出,從 CoinEx 竊取的部分資金被發送到 Lazarus 組織用來存放從 Stake.com 竊取的資金的地址,儘管是在不同的區塊鏈上。此後,資金通過 Lazarus 之前使用的跨鏈橋跨鏈至以太坊,然後傳送回由 CoinEx 駭客控制的地址。
Elliptic 曾從 Lazarus 事件中觀察到這種來自不同駭客的資金混合情況,最近一次是從 Stake.com 竊取的加密貨幣與從 Atomic 錢包竊取的資金混合。這些來自不同駭客的資金被合併的情況在下圖中以橙色表示。
Lazarus 在 104 天內進行了 5 次攻擊
2022 年,多起備受矚目的駭客攻擊被認為是 Lazarus 所為,其中包括 Harmony 的 Horizon 橋和 Axie Infinity 的 Ronin 橋被攻擊,這 2 起攻擊事件都發生在去年上半年。從那時起到今年 6 月,沒有任何重大加密貨幣盜竊案被公開歸咎於 Lazarus。因此,過去 104 天內的各種駭客攻擊表明了這個北韓駭客組織的活動有所加強。
延伸閱讀:6.2億美金Ronin駭客攻擊,美財政部認定背後是「北韓駭客團體拉撒路」
2023 年 6 月 3 日,非託管去中心化加密貨幣錢包 Atomic Wallet 的使用者損失超過 1 億美元。Elliptic 在確定多項因素表明北韓駭客組織對此負責後,於 2023 年 6 月 6 日正式將此次駭客攻擊歸咎於 Lazarus ,後來得到了聯邦調查局 (FBI) 的證實。
2023 年 7 月 22 日,Lazarus 通過社會工程攻擊獲得了屬於加密支付平臺 CoinsPaid 的熱錢包的訪問許可權。此訪問許可權允許攻擊者建立授權請求,從平臺的熱錢包中提取約 3730 萬美元的加密資產。7 月 26 日,CoinsPaid 釋出報告稱 Lazarus 對此次攻擊負責,也得到了聯邦調查局(FBI)的證實。
同一天,即 7 月 22 日,Lazarus 又進行了一次高調的攻擊,這次是針對中心化加密支付提供商 Alphapo,竊取了 6000 萬美元的加密資產。攻擊者可能通過之前洩露的私鑰獲得了訪問許可權。FBI 後來再度證實了這次攻擊是 Lazarus 所為。
2023 年 9 月 4 日,線上加密貨幣博彩平臺 Stake.com 遭受攻擊,總價值約 4100 萬美元的虛擬貨幣被盜,原因可能是私鑰被盜。FBI 在 9 月 6 日對外公告,確認 Lazarus 組織是此次攻擊的幕後黑手。
最終,2023 年 9 月 12 日,中心化加密貨幣交易所 CoinEx 遭受駭客攻擊,5400 萬美元被盜。如上所述,多項證據表明 Lazarus 是進行本次攻擊的駭客。
Lazarus 改變了戰術?攻擊中心化服務
對 Lazarus 最新活動的分析表明,自去年以來,他們已將重點從去中心化服務轉向中心化服務。前面討論的最近 5 次駭客攻擊中有 4 次是針對中心化加密資產服務提供商的。在 2020 年之前,也是去中心化金融(DeFi)生態系統迅速崛起之前,中心化交易所曾是 Lazarus 選擇的主要目標。
對於 Lazarus 的注意力再次轉向中心化服務的原因,有多種可能的解釋。
DeFi 協議攻擊難度增大
Elliptic 之前對 2022 年 DeFi 駭客攻擊的研究發現,在 2022 年間平均每 4 天就會發生一次攻擊,每次攻擊平均竊取 3260 萬美元。跨鏈橋在 2022 年成為最常被駭客攻擊的 DeFi 協議型別之一。這些趨勢可能促進了智慧合約審計和開發標準的改進,從而縮小了駭客識別和利用漏洞的範圍。
中心化機構社會關係複雜程度高
之前很多次駭客攻擊中,Lazarus Group 選擇的攻擊方法是社會工程。例如,Ronin Bridge 價值 5.4 億美元的駭客攻擊就是該公司一名前員工被 LinkedIn 上的一份虛假工作欺騙造成的。然而,去中心化的服務往往沒有很多員工,而且專案在一定程度上是去中心化的。因此,獲得對開發人員的惡意訪問可能並不一定等於獲得對智慧合約的管理訪問許可權。
與此同時,中心化交易所可能會僱用相對較多的員工,從而擴大可能的目標範圍。他們還可能使用中心化的內部資訊技術系統進行操作,從而使 Lazarus 惡意軟體有更大的機會滲透到業務中。