北朝鮮のハッカー組織Lazarus Groupの実態：Ronin、KuCoinなどの業界事故の背後にいる黒幕で、ソーシャルエンジニアリング攻撃に長けている。

著者：ビスケット、チェーンキャッチャー

ハッカー攻撃は今や暗号エコシステムにおける常態化した事件となっており、Chainalysisの2022年Q1レポートによれば、ハッカーは2021年に32億ドル相当の暗号資産を盗みましたが、2022年の最初の3ヶ月間で、ハッカーは取引所、DeFiプロトコル、一般ユーザーから約13億ドルの暗号資産を盗み、そのうち97%がDeFiプロトコルからのものでした。

数多くのハッカー組織の中で、最近最も注目を集めているのが北朝鮮のハッカー組織Lazarus Groupです。アメリカ財務省の報告によれば、この組織は6.2億ドルの損失をもたらしたRoninクロスチェーンブリッジの盗難事件の背後にいるとされ、そのイーサリアムアドレスはアメリカの制裁リストに載っています。以前、この組織はBithumbやKuCoinなどの多くの暗号通貨取引所の盗難事件の主導者と見なされており、手法は主にフィッシング攻撃です。

現在、Lazarus Groupは暗号エコシステムで最も破壊的なハッカー組織の一つとなっています。この組織は一体どのように形成されたのでしょうか？彼らは通常どのように犯行を行うのでしょうか？

Lazarus Groupの概要

ウィキペディアの情報によれば、Lazarus Groupは2007年に設立され、北朝鮮人民軍総参謀部情報局第3局の下にある110号研究センターに所属し、ネットワーク戦を専門としています。この組織は国内から最も優秀な学生を選び、6年間の特別教育を受けさせ、様々なタイプのマルウェアをコンピュータやサーバーに展開する能力を育成しています。北朝鮮国内の金日成大学、金策工科大学、モランボン大学が関連教育を提供しています。

この組織は2つの部門に分かれており、一つは約1700名のメンバーを持つBlueNorOff（別名APT38）で、偽造SWIFT注文を通じて不正送金を行い、ネットワークの脆弱性を利用して経済的利益を得たり、システムを制御して金融ネットワーク犯罪を実施することに特化しています。この部門は金融機関や暗号通貨取引所を対象としています。もう一つは約1600名のメンバーを持つAndArielで、韓国を攻撃対象としています。

Lazarus Groupの最初の攻撃活動は2009年に韓国政府に対してDDoS技術を利用した「トロイの行動」であることが知られています。最も有名な攻撃は2014年のソニー・ピクチャーズへの攻撃で、理由はソニーが北朝鮮の指導者金正恩を暗殺するコメディ映画を上映したことです。

この組織の下部機関であるBlueNorOffによる有名な攻撃は2016年のバングラデシュ銀行攻撃事件で、彼らはSWIFTネットワークを利用してバングラデシュ中央銀行に属するニューヨーク連邦準備銀行の口座から不正に近10億ドルを移転しようとしました。いくつかの取引（2000万ドルがスリランカに、8100万ドルがフィリピンに追跡されました）を完了した後、ニューヨーク連邦準備銀行はスペルミスによる疑念を理由に残りの取引を阻止しました。

2017年以降、この組織は暗号業界に対する攻撃を開始し、少なくとも10億ドルの利益を上げています。

Lazarus Groupの暗号攻撃事件

2017年2月、韓国の取引所Bithumbから700万ドルのデジタル資産を盗む。

2017年4月、韓国の取引所Youbitから約4000枚のビットコインを盗み、12月には再びその17%のデジタル資産を盗み、Youbitは破産を申請。

2017年12月、暗号通貨クラウドマイニング市場Nicehashから4500枚以上のビットコインを盗む。

2020年9月、KuCoin取引所から約3億ドル相当のデジタル資産を盗む。

2022年3月、Roninクロスチェーンブリッジを攻撃し、17.36万ETHと2550万USDCが盗まれ、累計で約6.2億ドルの価値。

さらに、多くの暗号プロジェクトの責任者やKOLもLazarus Groupの標的となることがあります。2022年3月22日、Defiance Capitalの創設者ArthurはTwitterでホットウォレットが盗まれ、17枚のazukiと5枚のcloneXを含む60枚のNFTが盗まれ、約170万ドルの損失があったと述べました。Arthurは、背後にいるのは北朝鮮支援のBlueNorOffハッカー組織であり、彼らが暗号業界を大きく傷つけているという証拠があると述べました。

外部からの非難に対して、北朝鮮はLazarus Groupの仕業ではないと発表しましたが、その後メディアの問い合わせには一切応じていません。

攻撃の特徴

虎符智庫の分析によれば、Lazarus Groupはフィッシング、悪意のあるコード、マルウェアなどの手段を用いてデジタルウォレットに保存されている暗号資産を盗み、主に以下の特徴があります：

• 攻撃サイクルは一般的に長く、通常は長期間潜伏し、異なる方法でターゲットを侵入させるよう誘導します。
• 提供される餌ファイルは非常に強い混乱性と誘惑性を持ち、ターゲットが識別できないようにします。
• 攻撃プロセスでは、システムの破壊やランサムウェアアプリケーションの干渉イベントの分析を利用します。
• SMBプロトコルの脆弱性や関連するワームツールを利用して横移動やペイロードの投下を実現します。
• 各攻撃で使用されるツールセットのソースコードは常に変更され、サイバーセキュリティ会社が公開した後も迅速にソースコードが修正されます。

Lazarus Groupが最も得意とする攻撃手法は信頼の悪用であり、ターゲットがビジネスコミュニケーション、同僚との内部チャット、または外部とのやり取りに対する信頼を利用して、悪意のあるファイルを送信し、日常の操作を監視して盗む機会を伺います。攻撃者が見つけたターゲットが暗号大口であることに気づくと、ユーザーの数週間または数ヶ月の活動の軌跡を注意深く観察し、最終的に盗難計画を策定します。

2021年1月、GoogleのセキュリティチームもLazarusがTwitter、LinkedIn、Telegramなどのソーシャルメディアに長期間潜伏していることを発見し、偽の身分を使って活発な業界の脆弱性研究者を装い、業界の信頼を得て他の脆弱性研究者に0day攻撃を仕掛けると述べました。

カスペルスキーの研究によれば、今年BlueNoroff組織は成功した暗号通貨スタートアップを追跡し、研究することを好み、チームの管理層との良好な個人的相互関係を築き、興味を持ちそうなテーマを理解しようとします。場合によっては、応募者を装って会社に潜入し、高品質なソーシャルエンジニアリング攻撃を仕掛けることもあります。

アメリカ政府の報告はさらに、侵入は通常、暗号通貨会社の従業員に送信される大量のフィッシングメッセージから始まることを明らかにしています。これらの従業員は通常、システム管理やソフトウェア開発/IT運営（DevOps）に従事しています。これらのメッセージは通常、求人を模倣し、高給の仕事を提供して受取人を誘導し、悪意のあるソフトウェアを含む暗号通貨アプリケーションをダウンロードさせるものです。

悪意のあるファイルをターゲットのコンピュータに植え付けた後、攻撃者がターゲットがMetamask拡張を使用して暗号ウォレットを管理していることに気づくと、拡張のソースをWeb Storeからローカルストレージに変更し、コア拡張コンポーネント（background.js）を改ざんされたバージョンに置き換えます。以下のスクリーンショットは、ウイルスに感染したMetamaskのbackground.jsコードを示しており、注入されたコード行は黄色で表示されています。この場合、攻撃者は特定の送信者と受信者のアドレス間の取引を監視する設定をし、大きな金額の送金を発見した際に通知をトリガーします。

さらに、攻撃者がターゲットユーザーの暗号通貨がハードウェアウォレットに保存されていることに気づくと、取引プロセスを傍受し、悪意のあるロジックを注入します。ユーザーが資金を別のアカウントに移動すると、取引はハードウェアウォレットで署名されます。しかし、この操作はユーザーが自発的に開始するため、疑念を引き起こすことはありませんが、攻撃者は受取人のアドレスを変更するだけでなく、送金額を最大値に引き上げます。

これは簡単に聞こえますが、Metamask拡張プラグインを徹底的に分析する必要があり、この拡張には6MBを超えるJavaScriptコード（約170,000行のコード）が含まれており、コード注入を実施してユーザーが拡張を使用する際に取引の詳細を必要に応じて再書き込みます。 しかし、攻撃者によるChrome拡張の変更は痕跡を残します。ブラウザは開発者モードに切り替える必要があり、Metamask拡張はオンラインストアではなくローカルディレクトリからインストールされます。プラグインがストアから来ている場合、Chromeはコードに対してデジタル署名の検証を強制し、コードの完全性を保証します。そのため、攻撃者は攻撃プロセスを完了することができません。

どのように対処するか

暗号エコシステムの規模が急速に成長するにつれて、Lazarus Groupが業界に対する脅威も急激に増加しています。アメリカ連邦捜査局（FBI）、アメリカサイバーセキュリティおよびインフラセキュリティ庁（CISA）、アメリカ財務省が最近共同で発表した共同サイバーセキュリティアラート（CSA）によれば、2020年以降、北朝鮮支援の高度持続的脅威（APT）がブロックチェーンや暗号業界の様々な組織をターゲットにし始めており、暗号取引所、DeFiプロトコル、チェーンゲーム、暗号貿易会社、暗号ベンチャーキャピタル、そして大量のトークンやNFTを保有する個人所有者が含まれます。これらの組織は、暗号通貨技術会社、ゲーム会社、取引所の脆弱性を利用して、北朝鮮政権を支えるための資金を生成し、洗浄する可能性があります。

これに対処するために、報告書が提案する緩和策には、深層防御のセキュリティ戦略の適用、資格要件と多要素認証の強制、ソーシャルメディアやフィッシングにおけるユーザーへのソーシャルエンジニアリング教育などが含まれています。

今日、著名な暗号セキュリティ組織SlowMistもこの現象に対して防止策を発表しました：業界の関係者は国内外の主要な脅威プラットフォームのセキュリティ情報を常に注視し、自己点検を行い、警戒を高めることを推奨します；開発者は実行可能なプログラムを実行する前に必要なセキュリティチェックを行うこと；ゼロトラストメカニズムを整備することで、この種の脅威によるリスクを効果的に低減できること；Mac/Windows実機を使用するユーザーは、セキュリティソフトウェアのリアルタイム保護をオンにし、最新のウイルス定義を随時更新することを推奨します。

マネーロンダリングのチャネルに関して、イーサリアムのミキシングプロトコルTornado Cashは最近、同プロジェクトがコンプライアンス会社Chainalysisが開発したツールを使用して、アメリカ外国資産管理局（OFAC）によって承認された特定の暗号ウォレットアドレスがDAppにアクセスするのを阻止しているとツイートしました。これはLazarus Groupに対する追い込みのようです。

しかし、Tornado Cashの共同創設者Roman Semenovはその後、ブロックはユーザー向けの分散型アプリケーション（dapp）にのみ適用され、基盤となるスマートコントラクトには適用されないとツイートしました。つまり、この措置はより象徴的な行動であり、熟練したハッカーがTornado Cashを通じてミキシングを行うことに実質的な影響を与えることは難しいということです。

まとめ

Lazarus Groupは国家の背景を持つトップハッカー集団であり、特定のターゲットに対して長期的な持続的ネットワーク攻撃を行い、資金を盗むことと政治的目的を達成することを出発点としています。これは世界の金融機関にとって最大の脅威の一つです。

同時に、このような組織による暗号エコシステムへの攻撃は、暗号通貨市場が北朝鮮政権の資金補充の便利なチャネルとなることを間接的に引き起こし、暗号業界のさらなる悪名化を招き、そのコンプライアンスと規範化の進行に影響を与えます。

Lazarus Groupなどの一連のハッカー組織の攻撃に対処し、健全な暗号業界エコシステムを維持するために、暗号プロジェクトはこのような攻撃に対するより効果的な予防メカニズムを形成し、コード監査、内部統制、ユーザー教育、応答メカニズムなどの面で適切な措置を講じ、可能な限りユーザー資産の安全を確保する必要があります。

暗号ユーザーとして、誰もがより多くのセキュリティに関する知識を理解する必要があります。特に個人のプライバシーを保護し、フィッシングリンクを識別することに関して、Defiance Capitalの創設者Arthurのような経験豊富なユーザーでさえも盗まれたことを考慮すると、誰もがこのようなリスクを無視することはできません。

参考資料：
1、https://en.wikipedia.org/wiki/Lazarus_Group
2、https://blog.chainalysis.com/reports/2022-defi-hacks/
3、https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/
4、https://cryptobriefing.com/north-korea-is-targeting-entire-crypto-space-top-vc-warns/