QRコードをスキャンしてダウンロードしてください。
ホームページ
記事
速報
プロジェクトランキング
専題
専門コラム
ETF
ナレッジベース
カレンダー
イベント
ツールナビゲーション
DeInsight 2024

CoinsPaidが北朝鮮のハッカーに攻撃された詳細:偽の求人、賄賂、従業員の操作

吴はブロックチェーンについて話す
2024-06-18 09:24:06
コレクション
CoinsPaidはハッキング攻撃の詳細を公開し、他の暗号業界の関係者に貴重な経験を提供します。

原文标题:《暗号通貨決済プロバイダーのハッキングの詳細:攻撃者が3700万ドルを盗み、マネーロンダリングした方法を正確に知っています

著者:CoinsPaid

翻訳:吴说区块链

2023年7月22日、暗号通貨決済プロバイダーCoinsPaidがハッカーにより3730万ドルを盗まれました。セキュリティ会社の調査によると、攻撃者はLazarusハッカーグループである可能性があります。本記事はCoinsPaidが執筆したハッキングの詳細であり、他の暗号業者に貴重な経験を提供することを目的としています。

以下は内容全文です:

攻撃に関連するLazarusハッカーグループ

内部調査によると、トップハッカー組織LazarusがCoinsPaidを攻撃した背後にいる可能性があると考えています。ハッカーは、最近のAtomic Wallet攻撃事件でLazarusが使用したのと同じ戦略とマネーロンダリングの手法を用いました。

Lazarus組織はメディアによって「現在の世界のトップネットワーク脅威組織」として宣伝され、世界中でハッキング活動を展開しています。メンバーの数や名前はまだ正確には特定されていませんが、このサイバー犯罪組織は北朝鮮政府と関連しています。

2009年から2013年にかけて、「テロ作戦」はLazarusが発起した初の大規模攻撃で、アメリカと韓国の政府サイトを標的にしました。

2014年、Lazarusはソニー・ピクチャーズへのハッキング攻撃で世界的に認知されました:加害者は会社の機密文書を公開し、従業員、彼らの雇用契約、さらには家族に関する情報を含んでいました。

2017年、Lazarusは再び動き出しました:WannaCryランサムウェア攻撃は2017年5月に発生した世界的なサイバー攻撃で、Microsoft Windowsオペレーティングシステムを実行しているコンピュータを標的にし、データを暗号化してビットコインの身代金を要求しました。このハッキング攻撃は4日間続き、世界中で30万台以上のコンピュータが感染しました。

暗号市場がますます人気を集め、資本化が進む中、Lazarusチームは多くの暗号通貨プラットフォームを標的にし始めました。これまでに被害を受けた企業のリストには、Axie Infinity(6.25億ドル)、Horizon Bridge(1億ドル)、Atomic Wallet(1億ドル)を含む20社以上が含まれています。

Lazarusの長期的な目標や攻撃頻度の増加の理由については多くの推測があります。多くの専門家は、このチームの活動が北朝鮮が外貨を獲得したいという願望の延長であると考えています。

ハッカーは6ヶ月間CoinsPaidを追跡し研究した

現在、LazarusはCoinsPaidのシステムに侵入し、脆弱性を探すために半年間の時間を費やしたことがわかっています。

  • 2023年3月以降、私たちは社会工学からDDoS、ブルートフォース攻撃まで、会社に対するさまざまな未遂の攻撃を記録し続けています。
  • 2023年3月27日、CoinsPaidの主要エンジニアは、いわゆるウクライナの暗号処理スタートアップからのリクエストを受け取り、技術インフラに関する一連の質問が含まれており、これは会社の3人の主要開発者によって確認されました。
  • 2023年4月から5月にかけて、私たちはCoinsPaidの従業員と顧客のアカウントアクセスを取得することを目的とした4回の主要な攻撃を経験しました。私たちのチームメンバーに対するスパムやフィッシング活動は継続的かつ非常に攻撃的でした。
  • 2023年6月から7月にかけて、賄賂や偽の雇用を通じて重要な企業の人員を操作する悪意のある活動が行われました。
  • 2023年7月7日、CoinsPaidのインフラストラクチャとアプリケーションに対して大規模で計画的な攻撃が行われました。20:48から21:42の間に、150,000以上の異なるIPアドレスに関連する異常に高いネットワーク活動を記録しました。

犯罪者の主な目標は、重要な従業員を騙してソフトウェアをインストールさせ、コンピュータをリモートで制御し、CoinsPaidの内部システムに侵入しアクセスすることでした。6ヶ月間の失敗した試みの後、ハッカーたちは2023年7月22日に私たちのインフラストラクチャを成功裏に攻撃しました。

社会工学 --- --- 2023年「最も危険な」セキュリティ脅威

従業員のコンピュータへのアクセス権を取得せずにCoinsPaidのシステムに外部から侵入することが不可能であるため、攻撃者は高度に複雑で強力な社会工学技術を使用しました。CS Hubの研究によると、75%のサイバーセキュリティ専門家は、社会工学とフィッシング攻撃がサイバーセキュリティの最大の脅威であると考えています。

偽のLinkedIn求人、賄賂、従業員の操作

暗号通貨会社のリクルーターは、LinkedInやさまざまなメッセージングツールを通じてCoinsPaidの従業員に接触し、非常に高い報酬を提供しました。例えば、私たちのチームメンバーの中には、月給16,000〜24,000ドルの仕事のオファーを受け取った者もいます。面接中、犯罪者は候補者にJumpCloud Agentまたは特別なプログラムをインストールさせて技術的なタスクを完了させようとしました。

JumpCloudは、企業がユーザーとデバイスを検証、認証、管理できるディレクトリプラットフォームであり、2023年7月にLazarus Groupハッカーによって侵害されたとされています。これは、暗号通貨ユーザーを標的にするためのものでした。

従業員のコンピュータに悪意のあるソフトウェアをインストールしようとすることが明白であると思われるかもしれませんが、ハッカーは6ヶ月間CoinsPaidのすべての可能な詳細、私たちのチームメンバー、会社の構造などを理解するために時間をかけました。Lazarusのようなトップハッカーグループは、潜在的なターゲットを利用するための完全に信頼できるストーリーを作成することができます。

攻撃のステップを段階的に追跡

現代の高度にデジタル化された世界では、人を騙すことはコンピュータソフトウェアを騙すことよりもはるかに簡単です。CoinsPaidの従業員の一人を操作することで、ハッカーは私たちのインフラストラクチャを攻撃することに成功しました。

  1. 私たちの従業員の一人がCrypto.comからの仕事の招待に応じました。
  2. 面接に参加する際、彼らは悪意のあるコードを含むアプリケーションをインストールするよう求められるテストタスクを受け取りました。
  3. テストタスクを開くと、コンピュータから資料やキーが盗まれ、会社のインフラストラクチャに接続されました。
  4. CoinsPaidのインフラストラクチャへのアクセス権を取得した後、攻撃者はクラスター内の脆弱性を利用してバックドアを開きました。
  5. 探索段階で、知識のある犯罪者が得た情報により、ブロックチェーンとのインタラクションインターフェースに対する合法的なリクエストを複製し、私たちの運用リポジトリから会社の資金を引き出すことができました。

簡単に言えば、ハッカーはアクセス権を取得し、CoinsPaidのホットウォレットから資金を引き出すための承認リクエストを作成することを可能にしました。これらのリクエストは有効と見なされ、ブロックチェーンに送信されてさらなる処理が行われました。しかし、加害者は私たちのホットウォレットを突破し、資金にアクセスするための秘密鍵を直接取得することには失敗しました。

内部のセキュリティ対策が警報システムを作動させ、私たちは迅速に悪意のある活動を阻止し、ハッカーを会社の範囲から追い出すことができました。

ブロックチェーンスコアリングはマネーロンダリングに効果が薄い

多くの暗号通貨会社がKYC対策を採用し、ブロックチェーンリスクスコアリングシステムを使用して疑わしい活動を検出しているにもかかわらず、加害者は依然としてマネーロンダリングに成功しました。その理由は以下の通りです:

すべてのハッカー事件後の標準手順に従い、CoinsPaidはすべての主要な取引所とネットワークセキュリティ会社にこの事件を通知し、ハッカーのアドレスに関する情報を提供しました。その後、これらはマークに含まれ、コミュニティで共有され、これらのアドレスに関連する資金のさらなる移動とマネーロンダリングを防ぐために使用されました。

しかし、資金が次のアドレスに移動する際、マークの配布には最大60分かかります。私たちの調査によると、CoinsPaidのハッカーは、マークが加害者の行動に追いつく前に、数分で資金を新しいアドレスに移動させました。

この脆弱性により、ブロックチェーンスコアリングは2023年のハッカー組織のマネーロンダリング計画の影響を防ぎ、最小限に抑える上で基本的に無効となりました。

資金追跡:盗まれた資金を追跡し、阻止する

調査を支援するために、CoinsPaidはMatch Systemsと提携しました。Match Systemsは、ブロックチェーン分析を専門とし、法執行機関や規制当局と協力して盗まれた暗号資産を返還するプロセスを支援するネットワークセキュリティのリーダーです。Match Systemsの専門家の助けを借りて、数十件の刑事事件で7000万ドル以上が回収されました。

攻撃発生後、盗まれた資金を追跡し、凍結する可能性のある一連の操作が直ちに行われました。

ステップ1:すべての主要なブロックチェーン分析者がハッカーのアドレスをブラックリストに登録しました。

ステップ2:すべての主要な暗号通貨取引所とAML担当者に、盗まれた資産を含むハッカーのアドレスに関する緊急通知が送信されました。

ステップ3:ハッカーのアドレスがMatch Systemsの監視リストに登録されました。

盗まれた資金を一時的に阻止する可能性を高めるために必要な措置を講じた後、Match Systemsの専門家はブロックチェーン分析者、ネイティブブラウザ、および会社独自のツールを使用して資金の流れを追跡し続けました。資金が取引所や交換サービスを通じて流通する際、攻撃者のアドレスに追加のマークが付けられ、資金がクロスチェーンで移動したかどうかが確認されます。

大部分の資金がSwftSwapに引き出された

上記のステップに基づき、盗まれた資金を完全に追跡することができました。大部分の資金はAvalanche-Cブロックチェーン上のUSDTトークンの形でSwftSwapサービスに引き出されました。その後、一部の資金は第二ラウンドでイーサリアムブロックチェーンに送信され、さらにAvalancheとビットコインネットワークに移転されました。

実際、SwftSwap上の大部分の資金は攻撃者の大口取引アドレスに引き出されました。これらの同じアドレスはAtomic Walletから盗まれた資金を移転するために使用され、Lazarusが今回の攻撃の責任者である可能性が高いことを示すさらなる理由を私たちに与えました。

これまでのところ、CoinsPaidのハッカーのマネーロンダリング活動はまだ進行中であり、私たちはMatch Systemsの専門家と密接にこの手がかりを監視し続けます。

15%が手数料と価格変動で失われた

初期の推定によると、盗まれた資金のかなりの部分はハッカーの「運営コスト」により失われた可能性があります。

  • 10%は一度に大量のトークンを「市場」で交換するために使用されました:売り手は注文書から大部分の取引を集め、巨大な価格スリップを引き起こしました。最大の損失は、ハッカーが最初にUSDTをTRXに交換した際に発生しました。
  • 5%は手数料、疑わしい履歴のトークンの販売に関する割引、その他の費用にかかりました。これには、取引所や決済サービスで「drops」に登録されたアカウントを購入するための追加コスト、ハッカーとリモート管理プログラムが含まれます。

LazarusハッカーはAtomic Wallet攻撃で類似の戦略を使用した

Match Systemsの専門家は、Lazarusが最近のAtomic Walletに対する1億ドルの攻撃で以前に使用した類似のパターンを発見しました。

  1. 同じSwapサービスとミキサーを使用

ハッカーは、SunSwap、SwftSwap、SimpleSwapなどのスワップサービスやSinbad暗号通貨ミキサーを利用し、KYCおよびAMLプログラムなしで不正に取得した資金を洗浄しました。

Sinbadの取引量グラフは、2回の攻撃期間中に操作量が明らかにピークに達し、クラスター上の残高に顕著な変動が見られました。

  1. Avalanche Bridgeを通じて盗まれた資金を引き出す

CoinsPaidとAtomic Walletのハッキング攻撃では、大部分の盗まれた資金がUSDTの形でAvalanche-C上のSwftSwap暗号通貨サービスに送信されました。少数の盗まれた資金はYobit取引所に送信されました。

Sinbadミキサーと同様に、SwftSwapサービスの取引量グラフは、Atomic WalletとCoinsPaidの攻撃期間中に取引数の顕著な増加を示しています。

ハッキング攻撃から得た教訓

この不幸な事件は、CoinsPaidにとって貴重な経験と洞察を提供し、暗号市場におけるハッキング攻撃の発生数とそれらが業界に与える影響の規模を減少させるのに役立ちます。

以下は、私たちのセキュリティ専門家が他の暗号通貨プロバイダーのために作成した実用的なアドバイスのリストであり、これらのアドバイスを実施することでハッキング防止能力を大幅に向上させることができます。

  1. 会社のインフラストラクチャへの侵入、社会工学、フィッシングなどのネットワークセキュリティ事件を無視しないでください。これは、ハッカーが大規模攻撃を準備している兆候かもしれません。

  2. 従業員に、犯罪者がどのように虚偽の仕事の招待、賄賂、さらには無害な技術的アドバイスの要求を使用して会社のインフラストラクチャにアクセスするかを説明してください。

  3. 特権ユーザーに対してセキュリティプラクティスを実施してください。

  4. 職務分離と最小権限の原則を実施してください。

  5. 従業員のワークステーションの保護を確保してください。

  6. インフラストラクチャコンポーネントを最新の状態に保ってください。

  7. ネットワークを分割し、インフラストラクチャコンポーネント間で認証と暗号化を実施してください。

  8. すべての関連イベントをアップロードするための独立したセキュリティログストレージを作成してください。

  9. インフラストラクチャとアプリケーション内のすべての疑わしい活動に対して監視と警報システムを設定してください。

  10. 正直な違反者モデルを作成し、あなたの企業が受ける脅威とリスクに対して適切な対策を講じてください。

  11. 運用残高を追跡し、その異常な移動と行動を監視してください。

  12. 会社の運用資金を必要最低限に減らしてください。

Web3 攻撃事件およびセキュリティ事故

Web3 攻撃事件およびセキュリティ事故

本特集では、Web3分野で発生した攻撃事件とセキュリティ事故を取り上げます。
トピック
関連タグ
CoinsPaid Lazarusハッカーグループ JumpCloud SwftSwap 北朝鮮ハッカー
ChainCatcherは、広大な読者の皆様に対し、ブロックチェーンを理性的に見るよう呼びかけ、リスク意識を向上させ、各種仮想トークンの発行や投機に注意することを提唱します。当サイト内の全てのコンテンツは市場情報や関係者の見解であり、何らかの投資助言として扱われるものではありません。万が一不適切な内容が含まれていた場合は「通報」することができます。私たちは迅速に対処いたします。
吴はブロックチェーンについて話す
吴はブロックチェーンについて話す
トランプ時代の到来、アメリカの三大重要暗号通貨法案を展望する
トランプ時代の到来、アメリカの三大重要暗号通貨法案を展望する
FDVが100億を突破したHyperliquidについての考察、成功の秘訣は何か?
FDVが100億を突破したHyperliquidについての考察、成功の秘訣は何か?
関連タグ
CoinsPaid Lazarusハッカーグループ JumpCloud SwftSwap 北朝鮮ハッカー
関連読み物
暗号業界で働く匿名のプログラマーは、北朝鮮のハッカーである可能性がある。
暗号業界で働く匿名のプログラマーは、北朝鮮のハッカーである可能性がある。
フォーブス:DCGは北朝鮮のハッカーによるマネーロンダリング活動から利益を得ているのか?
フォーブス:DCGは北朝鮮のハッカーによるマネーロンダリング活動から利益を得ているのか?
Munchablesが盗まれ、6000万ドル以上の損失を被り、今年に入ってからの暗号セキュリティの損失は7億ドルを超えました。
Munchablesが盗まれ、6000万ドル以上の損失を被り、今年に入ってからの暗号セキュリティの損失は7億ドルを超えました。
開発者を装った北朝鮮のハッカーをどのように識別するか?
開発者を装った北朝鮮のハッカーをどのように識別するか?
著作権 © 2023年
私たちについて
メディアリソース
コラムの申請
免責声明
RSSリンク
募集
琼ICP备2021009392号
琼ICP备2021009392号
チェーンキャッチャー イノベーターとともにWeb3の世界を構築する
アプリを開く