Lazarus Group の取引所向けの精密 APT 浸透攻撃はどのように実現されるのか？

著者：Haotian

前回のAMAでは、潜在的なAPT高度な浸透攻撃と@benbybitのボスについて簡単にコミュニケーションを取りましたが、内部に対する浸透攻撃かどうかの明確な結論は出ていません。しかし、調査結果が出た場合、慢雾の最新の報告に基づくと、北朝鮮のハッカー組織Lazarus Groupが取引所に対して行った精密なAPT浸透攻撃はどのように実現されたのでしょうか？以下に、簡単に論理を説明します：

社会工学攻撃：

1）ハッカーはまずプロジェクトの関係者、投資家、第三者のパートナーなどに偽装して会社の開発者に接触します；（このようなソーシャルエンジニアリング手法は非常に一般的です）

2）デバッグコードや開発テストツール、市場分析プログラムなどを推薦する名目で、従業員に悪意のあるプログラムを実行させるよう誘導します；（騙されるか、あるいは裏切られる可能性があります）

3）悪意のあるプログラムの侵入が完了すると、リモートコード実行権限を取得し、さらに従業員を誘導して権限を昇格させ、横方向に浸透します；

内部ネットワーク浸透プロセス：

1）単一の突破口となる内部ネットワークノードを利用して内部システムをスキャンし、重要なサーバーのSSHキーを盗み、ホワイトリストの信頼関係を利用して横移動し、より多くの制御権限を取得し、悪意のあるプログラムのカバー範囲を拡大します；

（疑問点は、取引所が厳重な防護システムを持っている場合、なぜ浸透プロセス全体で異常を警告できなかったのか？慢雾の結論は、企業内部のインフラを利用して大部分のセキュリティデバイスの検出を回避したということです。内部ネットワークシステムは、レッドチームとブルーチームの対抗演習を強化する必要があるようです。）

2）継続的な内部ネットワーク浸透を通じて、最終的にターゲットのウォレットに関連するサーバーを取得し、バックエンドのスマートコントラクトプログラムやマルチシグUIフロントエンドを変更し、すり替えを実現します；

（前後の両方で改ざんが行われましたが、疑問点は、どのようにして全過程のログデータを回避したのか？さらに、ハッカーは最近の大規模な送金を行うためにウォレットを集めることをどのように正確に把握したのか？疑問点が多く、この部分は「内部の協力者」がいるのではないかと疑わせる要因が容易にあります。）

Lazarus APT高度持続的浸透攻撃の原理、わかりやすいバージョン：

取引所の暗号通貨コールドウォレットを、高層ビルの最上階にある特別な金庫だと想像してください。

通常、この金庫には厳重なセキュリティ対策があります：各取引情報を表示するディスプレイがあり、操作のたびに複数の幹部が同時に出席し、ディスプレイ上の情報（例えば「XXアドレスにXXX量のETHを送金中」）を確認する必要があります。すべての幹部が確認した後でなければ、送金は完了しません。

しかし、ハッカーは巧妙に計画された浸透攻撃を通じて、まずソーシャルエンジニアリング手法を利用してビルの「入館カード」（つまり初期のコンピュータに侵入）を取得し、ビルに混入した後、あるコア開発者の「オフィスの鍵」（重要な権限を取得）をコピーすることに成功しました。この「鍵」を手に入れたハッカーは、さらに多くの「オフィス」（システム内部で横方向に浸透し、より多くのサーバーの制御権を取得）に静かに侵入することができます。

最終的に金庫のコアシステムを制御することに成功しました。ハッカーはディスプレイプログラムを変更（マルチシグUIインターフェースを改ざん）し、金庫内部の送金プログラムも変更しました（スマートコントラクトを変更）。その結果、幹部たちがディスプレイ上の情報を見ると、実際には改ざんされた偽の情報が表示され、実際の資金はハッカーが制御するアドレスに移動されていました。

Note：以上はLazarusハッカー組織の一般的なAPT浸透攻撃手法に過ぎません。@Bybit_Officialの事件については、現在最終的な確定的な分析報告は出ていないため、参考としてのみご利用ください。決して当てはめないでください！

最後に、@benbybitのボスに提案があります。SafeのようなDAO組織に適した資産管理方法は、正常に呼び出しを実行するだけで、呼び出しの合法性の検証には関与しません。市場にはFireBlocksやRigSecなど、より優れたローカル内部統制システム管理ソリューションが多数存在し、資産の安全性、権限管理、操作監査などの面でより良いパフォーマンスを発揮します。