黑客組織Lazarus Group加強對加密貨幣實體的攻擊行動並改變策略
boomppp
朝鮮黑客組織Lazarus 最近似乎加大了行動力度,自6 月3 日以來已確認對加密貨幣實體發動了四次攻擊。現在,他們被懷疑實施了第五次攻擊,這次是在9 月12 日針對CoinEx 實施的。對此,CoinEx 發布了幾條推文,表示可疑的錢包地址仍在確認中,因此被盜資金的總價值尚不清楚,但目前相信約為5400 萬美元。
在過去的104 天裡,Lazarus 已被確認從Atomic Wallet(1 億美元)、CoinsPaid(3730 萬美元)、Alphapo(6000 萬美元)和Stake.com(4100 萬美元)竊取了近2.4 億美元的加密資產。
最近的拉扎羅斯攻擊
如上圖所示,安全機構依利浦(
Elliptic)分析證實,從CoinEx 盜取的部分資金被發送到一個地址,該地址被Lazarus 集團用來清洗從Stake.com 盜取的資金,儘管是在不同的區塊鏈上。之後,這些資金被橋接到以太坊上,使用的是Lazarus 以前使用過的橋接器,然後又被發送回一個已知由CoinEx 黑客控制的地址。依利浦曾觀察到Lazarus 將來自不同黑客的資金混合在一起的情況,最近一次是從Stake.com 盜取的資金與從Atomic Wallet 盜取的資金重疊。這些來自不同黑客的資金被合併的情況在下圖中以橙色表示。鑑於這種區塊鏈活動,並且沒有信息表明CoinEx 黑客攻擊是由任何其他威脅組織進行的,依利浦同意Lazarus 集團應被懷疑盜竊了CoinEx 的資金。
104 天內的五次Lazarus 攻擊
2022 年,幾起備受矚目的黑客攻擊事件被認為是Lazarus 所為,其中包括Harmony 的Horizon 橋接器和Axie Infinity 的Ronin 橋接器,這兩起事件都發生在去年上半年。從那時起到今年6 月,沒有任何重大的加密劫案被公開歸咎於Lazarus。因此,過去104 天內發生的各種黑客事件表明,朝鮮威脅組織的活動有所加強。
2023 年6 月3 日,非託管去中心化加密貨幣錢包Atomic Wallet 的用戶損失超過1 億美元。2023 年6 月6 日,依利浦在確定了表明朝鮮威脅組織應對此負責的多種因素後,將此次黑客攻擊歸咎於Lazarus。這一歸因後來得到了聯邦調查局的證實。
2023 年7 月22 日,Lazarus 通過一次成功的社交工程攻擊,獲得了屬於加密貨幣支付平台CoinsPaid 的熱錢包的訪問權限。這次訪問允許攻擊者創建授權請求,從該平台的熱錢包中提取約3730 萬美元的加密資產。7 月26 日,CoinsPaid 發布了一份報告,聲稱Lazarus 應對此次攻擊負責。聯邦調查局隨後證實了這一歸因。
同一天,即7 月22 日,Lazarus 發起了另一次備受矚目的攻擊,這次是針對集中式加密支付提供商Alphapo,竊取了6000 萬美元的加密資產。攻擊者可能是通過之前洩露的私鑰獲得了訪問權限。如上所述,聯邦調查局後來將這次攻擊歸咎於Lazarus。
2023 年9 月4 日,在線加密貨幣賭場Stake.com 遭到攻擊,約4100 萬美元的虛擬貨幣被盜,這可能是私鑰被盜的結果。聯邦調查局於9 月6 日發布新聞稿,證實拉扎羅斯組織是這次攻擊的幕後黑手。
最後,2023 年9 月12 日,中心化加密貨幣交易所CoinEx 遭黑客攻擊,5400 萬美元被盜。如上文詳述,許多因素表明,Lazarus 應對此次攻擊負責。
改變策略?
對Lazarus 最新活動的分析表明,自去年以來,他們已將重點從去中心化服務轉向中心化服務。在之前討論過的最近五次黑客攻擊中,有四次是針對集中式虛擬資產服務提供商的。在去中心化金融(DeFi)生態系統迅速崛起之前,中心化交易所曾是Lazarus 在2020 年之前的首選目標。
Lazarus 的注意力再次轉移到中心化服務上可能有多種原因。
更加註重安全性: 依利浦之前對2022 年DeFi 黑客事件的研究發現,每四天就會發生一起漏洞利用事件,每次平均竊取3260 萬美元。跨鏈橋接器在2022 年初還是一種相對較新的服務形式,但現在已成為DeFi 協議中最常被黑的幾種類型。這些趨勢很可能促使智能合約審計和開發標準得到改進,從而縮小了黑客識別和利用漏洞的範圍。
易受社交工程影響: 在許多黑客攻擊中,Lazarus 集團選擇的攻擊方法是社會工程學。例如,Ronin Bridge 價值5.4 億美元的黑客攻擊事件就是由於LinkedIn 上的虛假招聘信息造成的。儘管如此,去中心化服務通常擁有較小的員工隊伍,而且顧名思義,在不同程度上是去中心化的。因此,獲得開發人員的惡意訪問權限並不一定等同於獲得智能合約的管理訪問權限。
與此同時,集中式交易所的員工人數可能會更多,從而擴大了可能的目標範圍。它們還可能使用集中的內部信息技術系統進行操作,從而使Lazarus 惡意軟件有更大的機會滲透到其業務的預期功能中。
分享到Line