2017年以来,LazarusGroup从加密行业攻击中获利至少10亿美元。
原文标题:《起底朝鲜黑客组织LazarusGroup:Ronin、KuCoin等多起行业事故幕后黑手,擅长社会工程》
黑客攻击如今已然成为加密生态中的常态化事件,据Chainalysis2022年Q1报告显示,黑客在2021年盗取价值32亿美元的加密资产,但在2022年前三个月,黑客从交易所、DeFi协议和普通用户盗取约13亿美元加密资产,其中97%来自DeFi协议。
而在一众黑客组织中,又以朝鲜黑客组织LazarusGroup近期最受关注。根据美国财政部报告,该组织正是损失高达6.2亿美元的Ronin跨链桥被盗事件的幕后黑手,其以太坊地址已经纳入美国制裁名单。此前,该组织被认为是Bithumb、KuCoin等诸多加密货币交易所被盗事件的主导者,并且手法多为钓鱼攻击。
如今,LazarusGroup俨然正在成为加密生态最具破坏性的黑客组织之一。那么这个组织究竟是如何形成的?它们通常又是如何作案的?
LazarusGroup简介
据维基百科资料,LazarusGroup成立于2007年,隶属于北韩人民军总参谋部侦察总局第三局旗下的110号研究中心,专门负责网络战。该组织从国内挑选最聪明的学生接受六年的特殊教育,培养其将各种类型的恶意软件部署到计算机和服务器的能力,朝鲜国内的金日成大学、KimChaek科技大学和Moranbong大学提供相关教育。
?ChatGPT昨日晚间因满负荷运行暂停服务,目前已恢复:2月8日消息,昨日晚间,登录ChatGPT官方网站发现,该网站首页出现了提示称其“已经满负荷了”。ChatGPT在官网表示,许多人在“最近一小时内蜂拥而至我们的网站,但我们的(网络)资源是有限制的。” 截至发稿时,登陆ChatGPT官网,发现已恢复正常。[2023/2/8 11:54:02]
该组织分为2个部门,一个是大约1700名成员的BlueNorOff,负责通过伪造SWIFT订单进行非法转账,专注于利用网络漏洞谋取经济利益或控制系统来实施金融网络犯罪,此部门针对金融机构和加密货币交易所。另一个是大约1600名成员的AndAriel,以韩国为攻击目标。
已知LazarusGroup最早的攻击活动是2009年其利用DDoS技术来攻击韩国政府的「特洛伊行动」。而最著名的一次是2014年对索尼影业的攻击,原因是索尼上映关于暗杀朝鲜领导人金正恩的喜剧。
该组织旗下机构BlueNorOff的一次知名攻击是2016年的孟加拉国银行攻击案,他们试图利用SWIFT网络从属于孟加拉国中央银行的纽约联邦储备银行账户非法转移近10亿美元。在完成了几笔交易后,纽约联邦储备银行以拼写错误引起的怀疑为由阻止了其余交易。
自2017年以来,该组织开始对加密行业进行攻击,并获利至少达10亿美元。
金色晚报 | 11月25日晚间重要动态一览:12:00-21:00关键词:美国财长、以太坊2.0、DeFi协议、哈萨克斯坦、海南省
1. 德意志交易所上市VanEck比特币ETN。
2. 摩根溪创始人:下届美国财长Jenet Yellen可能是比特币盟友。
3. 数据:持有1000-10000 BTC的大户还在积累中。
4. 海南省市场监管局与腾讯联合创建基于区块链的冷链食品溯源平台。
5. ETH-BTC相关性自2018年1月以来首次跌破50%,或预示牛市即将到来。
6. 数据:当前以太坊上DeFi协议总锁仓量约合172.6亿美元。
7. 以太坊2.0质押量达71.5万枚,目前收益率为19.64%。
8. 数据:CME比特币期货交易量和未平仓合约创历史新高。
9. 哈萨克斯坦计划引入央行数字货币,拟于2021年下半年公布相关报告。[2020/11/25 22:07:28]
LazarusGroup加密攻击事件
2017年2月从韩国交易所Bithumb盗取700万美元的数字资产。?
2017年4月从韩国交易所Youbit盗取约4000枚比特币,12月再次盗取其17%数字资产,Youbit申请破产。
2017年12月从加密货币云挖矿市场Nicehash盗取超过4500枚比特币。
金色晚报 | 5月10日晚间重要动态一览:12:00-21:00关键词:区块链产业园区、SEC、USDT增发、减半
1.山东济南市中区将建设省级区块链产业园区。
2.菲律宾SEC发布针对疑似欺诈性加密货币项目的警告。
3.V神:现阶段与其提出新的创新 不如实现现有创意。
4.Tether在波场网络增发8,000万枚USDT。
5.Bitisis交易所BTC溢价达430美金。
6.摩根溪联合创始人:美国需要明确加密法规。
7.分析:数字稳定币构成对现有货币体系的挑战。
8.BIS专家:减半之后比特币可能成为51%攻击受害者。
9.比特币大幅下跌,日内最低跌至8150美元。[2020/5/10]
2020年9月从KuCoin交易所盗取价值约3亿美元的数字资产。
2022年3月攻击Ronin跨链桥,盗取17.36万个ETH和2550万USDC被盗,累计价值约6.2亿美元。
此外,许多加密项目方负责人或者KOL也会成为LazarusGroup的目标。2022年3月22日,DefianceCapital创始人Arthur在推特表示热钱包被盗,包括17枚azuki和5枚cloneX在内的的60枚NFT,损失约170万美元。Arthur称有证据表明幕后黑手是朝鲜支持的BlueNorOff黑客组织,他们正在大力伤害加密行业。
三菱日联:欧洲央行将在本周加息25个基点,在9月加息50个基点:7月19日消息,三菱日联表示仍有信心欧洲央行本周将坚持加息25个基点,然后在9月更大规模地加息50个基点。但该行认为,从逻辑上讲,在本周加息50个基点,然后在9月缩小加息幅度才更合理,但欧洲央行政策制定者近期没有表现出改变其加息指引的迹象。在9月之后,鉴于经济大幅放缓的风险不断加大,该行表示不像欧洲利率市场那样相信欧洲央行会一直加息到2023年第一季度。但至关重要的是,欧洲央行的利率决议要被视为有助于遏制金融分化风险的可信计划。如果欧洲央行在任何方面让人失望,那么欧元的下行风险将在近期进一步加强。(金十)[2022/7/19 2:21:29]
面对外界的指控,朝鲜曾发表公告称不是LazarusGroup所为,但此后从不回应媒体的询问。
攻击特点
根据虎符智库分析,LazarusGroup通过网络钓鱼、恶意代码、恶意软件等手段盗取存储在数字钱包的加密资产,主要有以下特点:
攻击周期普遍较长,通常进行较长时间潜伏,并换不同方法诱使目标被入侵。
投递的诱饵文件具有极强的迷惑性和诱惑性,导致目标无法甄别。
攻击过程会利用系统破坏或勒索应用干扰事件的分析。
利用SMB协议漏洞或相关蠕虫工具实现横向移动和载荷投放。
摇滚乐队KISS主唱:没有出售任何加密资产,对未来充满信心:6月18日消息,摇滚乐队KISS乐队主唱Gene Simmons最近表示,自己是HODLer,对未来充满信心。自加密冬天开始以来,他没有出售持有的任何代币。
据Gene Simmons此前透露,其持有BTC、ETH、LTC、DOGE、XRP、ADA等14种加密货币。(Bitcoinist)[2022/6/18 4:36:40]
每次攻击使用工具集的源代码都会修改,并且网安公司披露后也会及时修改源代码。
LazarusGroup最擅长的攻击手段是滥用信任,利用目标对商业通信、同事内部聊天或者与外部交互的信任,向其发送恶意文件,并监控其日常操作伺机盗窃。在攻击者意识到找到的目标是加密大户后,会仔细观察用户数周或数月的活动轨迹,最后才制定盗窃方案。
2021年1月,谷歌安全团队也曾表示发现Lazarus长期潜伏在Twitter、LinkedIn、Telegram等社交媒体,利用虚假身份伪装成活跃的业内漏洞研究专家,博取业内信任从而对其他漏洞研究人员发动0day攻击。
据卡巴斯基的研究,今年BlueNoroff组织喜欢跟踪和研究成功的加密货币初创公司,目标是与团队管理层建立良好的个人互动关系并了解可能感兴趣的主题,甚至会雇佣或伪装成应聘者潜入公司,以便发起高质量的社会工程攻击。
美国政府的一份报告,则进一步披露,入侵往往始于在各种通信平台上发送给加密货币公司员工的大量鱼叉式网络钓鱼消息,这些员工通常从事系统管理或软件开发/IT运营(DevOps)。这些消息通常模仿招聘工作并提供高薪工作以诱使收件人下载带有恶意软件的加密货币应用程序。
把恶意文件植入目标电脑之后,如果攻击者意识到目标使用Metamask拓展来管理加密钱包之后,会将扩展源从WebStore更改为本地存储,并将核心扩展组件替换为篡改版本。下面截图显示了受病感染的Metamaskbackground.js代码,其中注入的代码行以黄色显示。在这种情况下,攻击者设置了对特定发件人和收件人地址之间交易的监控,可以在发现大额转账时触发通知。
另外,如果攻击者意识到目标用户的加密货币是储存在硬件钱包,会拦截交易过程并注入恶意逻辑。当用户将资金转移到另一个账户时,交易就会在硬件钱包上签名。但是,鉴于该操作是由用户主动发起,不会引起自身的怀疑,然而攻击者不仅修改了收款人地址,还将转账数量拉到最大值。
这听上去很简单,但需要对Metamask扩展插件进行彻底分析,该扩展包含超过6MB的JavaScript代码,并实施代码注入让用户使用扩展时按需重写交易细节。
但是,攻击者对Chrome扩展的修改会留下痕迹。浏览器必须切换到开发者模式,并且Metamask扩展是从本地目录而不是在线商店安装的。如果插件来自商店,Chrome会对代码强制执行数字签名验证并保证代码完整性,攻击者就无法完成攻击过程。
如何应对
随着加密生态规模的快速增长,LazarusGroup对行业的威胁也在急剧增长。根据美国联邦调查局、美国网络安全和基础设施安全局和美国财政部近日共同发布的联合网络安全咨询,自2020年以来,朝鲜支持的高级持续威胁就已开始针对区块链和加密行业的各种组织,包括加密交易所、DeFi协议、链游、加密贸易公司、加密风投以及持有大量代币和NFT的个人所有者。这些组织可能会继续利用加密货币技术公司、游戏公司和交易所的漏洞来产生和以支持朝鲜政权。?
为此,该报告提出的缓解措施包括应用纵深防御安全策略、强制执行凭据要求和多因素身份验证、在社交媒体和鱼叉式钓鱼中对用户进行社交工程教育等。
今日,知名加密安全组织慢雾也针对该现象发布防范建议:建议行业从业人员随时关注国内外各大威胁平台安全情报,做好自我排查,提高警惕;开发人员运行可执行程序之前,做好必要的安全检查;做好零信任机制,可以有效降低这类威胁带来的风险;建议Mac/Windows实机运行的用户保持安全软件实时防护开启,并随时更新最新病库。
在渠道方面,以太坊混币协议TornadoCash近日也发推表示,该项目正在使用合规公司Chainalysis开发的工具来阻止美国外国资产控制办公室(OFAC)批准的特定加密钱包地址访问DApp,这似乎是在对LazarusGroup的围追堵截。
不过TornadoCash联合创始人RomanSemenov此后发推称,封锁仅适用于面向用户的去中心化应用程序,而不适用于底层智能合约。也就是说,此举更多地是象征性行动,很难实质性影响资深黑客通过TornadoCash混币。
总结
LazarusGroup组织是有国家背景支持的顶尖黑客团伙,专注于针对特定目标进行长期的持续性网络攻击,以窃取资金和实现目的为出发点,是全球金融机构的最大威胁之一。
同时,此类组织对加密生态的攻击也会间接导致加密货币市场成为朝鲜政权补充资金的便捷渠道,导致加密行业的进一步恶名化,影响其合规化与规范化进程。
为了应对LazarusGroup等一系列黑客组织的攻击以及维护健康的加密行业生态,加密项目需要在应对此类攻击方面形成更加有效的预防机制,在代码审计、内控、用户教育、响应机制等层面均采取相应措施,尽可能保障用户资产安全。
作为加密用户,每个人也需要了解更多安全方面的知识,尤其是在保护个人隐私、鉴别钓鱼链接等方面,鉴于DefianceCapital创始人Arthur这般资深用户仍然被盗,任何人都不容忽视此类风险。
参考资料:
1、https://en.wikipedia.org/wiki/Lazarus_Group
2、https://blog.chainalysis.com/reports/2022-defi-hacks/
3、https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/
4、https://cryptobriefing.com/north-korea-is-targeting-entire-crypto-space-top-vc-warns/
关键要点 鉴于整体市场降温,数字地块的二级销售下降了54%,但仍比2021年第三季度增长了865%。一级销售量因新地块的发行而增长23%.
4月13日,中国互联网金融协会、中国银行业协会、中国证券业协会发布《关于防范NFT相关金融风险的倡议》,一时间在产业界朋友圈刷屏,引发大范围热议.
1.DeFi需要什么才能成为主流?对于那些传统金融产品无法满足人们获得重大的潜在利益,这就不难理解为什么这么多人愿意接受DeFi世界并承担如此大的风险.
十万条以太坊主网的交易记录,显示了区块链慈善捐赠是如何协调的。加密货币有一个奇怪的矛盾点。它强调个人主权,一些人认为这是一个核心的概念。但也有一种看似相反的力量,将之视为协调和共识的过程.
月光鸟:来看看Moonbirds真的能够成为下一个蓝筹NFT吗?Moonbirds都干了什么?2022年,今年NFT“破圈”与“合规”是NFT的大方向,现阶段NFT内卷严重.
?22日,我省首个数字藏品规范化交易平台——虚猕数藏上线。这是浙江数据要素市场化在《浙江省公共数据条例》施行后迈出的第一步.