CoinsPaid가 북한 해커의 공격을 받은 세부 사항: 가짜 채용, 뇌물 및 직원 조작

원문 제목：《암호화폐 결제 제공업체 해킹 설명: 공격자가 3700만 달러를 어떻게 훔치고 세탁했는지 정확히 알고 있습니다》

저자：CoinsPaid

편집：우설 블록체인

2023년 7월 22일, 암호화폐 결제 제공업체 CoinsPaid가 해커에게 3730만 달러를 도난당했습니다. 보안 회사의 조사에 따르면, 공격자는 Lazarus 해커 그룹으로 확인되었습니다. 본 문서는 CoinsPaid가 작성한 해킹 공격의 세부 사항으로, 다른 암호화폐 종사자들에게 귀중한 경험을 제공하기 위해 작성되었습니다.

다음은 내용 전문입니다:

공격과 관련된 Lazarus 해커 그룹

우리의 내부 조사에 따르면, 최고 해커 조직인 Lazarus가 CoinsPaid를 공격한 배후일 가능성이 있습니다. 해커는 Lazarus가 최근의 Atomic Wallet 공격 사건에서 사용한 것과 동일한 전략과 세탁 계획을 사용했습니다.

Lazarus 조직은 언론에서 "현재 세계 최고의 사이버 위협 조직"으로 홍보되며, 전 세계에서 해킹 활동을 벌이고 있습니다. 구성원의 수와 그들의 이름은 아직 정확히 확인되지 않았지만, 이 사이버 범죄 조직은 북한 정부와 관련이 있습니다.

2009년부터 2013년까지, "트로이 작전"은 Lazarus가 시작한 첫 번째 주요 공격으로, 미국과 한국의 정부 웹사이트를 대상으로 했습니다.

2014년, Lazarus는 소니 픽처스에 대한 해킹 공격으로 세계적으로 인정을 받았습니다: 범죄자는 회사의 기밀 문서를 공개했으며, 여기에는 직원, 그들의 근무 계약, 심지어 가족 구성원에 대한 정보가 포함되어 있었습니다.

2017년, Lazarus는 다시 한번 공격을 감행했습니다: WannaCry 랜섬웨어 공격은 2017년 5월의 전 세계적인 사이버 공격으로, Microsoft Windows 운영 체제를 실행하는 컴퓨터를 목표로 하여 데이터를 암호화하고 비트코인으로 몸값을 요구했습니다. 이 해킹 공격은 4일 동안 지속되었으며, 전 세계적으로 30만 대 이상의 컴퓨터가 감염되었습니다.

암호화 시장이 점점 더 인기를 얻고 자본화가 증가함에 따라, Lazarus 팀은 많은 암호화폐 플랫폼을 대상으로 공격을 시작했습니다. 현재까지 피해 회사의 목록에는 Axie Infinity (6.25억 달러), Horizon Bridge (1억 달러), Atomic Wallet (1억 달러) 등 20개 이상의 회사가 포함되어 있습니다.

Lazarus의 장기 목표와 공격 빈도가 증가하는 이유에 대한 많은 추측이 있습니다. 많은 전문가들은 이 팀의 활동이 북한이 외화를 얻고자 하는 연장선이라고 믿고 있습니다.

해커는 6개월 동안 CoinsPaid를 추적하고 연구했습니다

우리는 이제 Lazarus가 CoinsPaid 시스템에 침투하고 취약점을 찾기 위해 반년 동안 노력했음을 알고 있습니다.

• 2023년 3월 이후, 우리는 사회 공학에서 DDos 및 무차별 대입 공격에 이르기까지 회사에 대한 다양한 유형의 실패한 공격을 지속적으로 기록했습니다.
• 2023년 3월 27일, CoinsPaid의 주요 엔지니어는 자칭 우크라이나 암호 처리 스타트업으로부터 기술 인프라에 대한 일련의 질문이 포함된 요청을 받았으며, 이는 회사의 3명의 주요 개발자에 의해 확인되었습니다.
• 2023년 4월에서 5월 사이, 우리는 CoinsPaid 직원과 고객의 계정 접근 권한을 얻기 위한 4회의 주요 공격을 경험했습니다. 우리 팀 구성원을 대상으로 한 스팸 및 피싱 활동은 지속적이고 매우 공격적이었습니다.
• 2023년 6월에서 7월 사이, 뇌물과 가짜 고용을 통해 주요 회사 직원을 조작하는 악의적인 활동이 있었습니다.
• 2023년 7월 7일, CoinsPaid의 인프라와 애플리케이션에 대해 대규모의 정교하게 계획된 공격이 있었습니다. 20:48부터 21:42까지 우리는 비정상적으로 높은 네트워크 활동을 기록했습니다: 150,000개 이상의 서로 다른 IP 주소가 관련되었습니다.

범죄자의 주요 목표는 핵심 직원이 소프트웨어를 설치하도록 유도하여 원격으로 컴퓨터를 제어하고 CoinsPaid의 내부 시스템에 침투하고 접근하는 것이었습니다. 6개월 간의 실패한 시도 끝에, 해커들은 2023년 7월 22일에 우리의 인프라를 성공적으로 공격했습니다.

사회 공학 --- --- 2023년 "가장 위험한" 보안 위협

직원 컴퓨터에 대한 접근 권한을 얻지 않고는 외부에서 CoinsPaid 시스템에 침입할 수 없기 때문에, 공격자는 매우 정교하고 강력한 사회 공학 기술을 사용했습니다. CS Hub의 연구 결과에 따르면, 75%의 사이버 보안 전문가들은 사회 공학과 피싱 공격이 사이버 보안의 주요 위협이라고 생각합니다.

가짜 LinkedIn 채용, 뇌물 및 직원 조작

암호화폐 회사의 채용 담당자는 LinkedIn 및 다양한 메시징 도구를 통해 CoinsPaid의 직원에게 연락하여 매우 높은 급여를 제안했습니다. 예를 들어, 우리 팀의 일부 구성원은 월급 16,000~24,000달러의 일자리 제안을 받았습니다. 면접 과정에서 범죄자는 후보자가 JumpCloud Agent 또는 특정 프로그램을 설치하여 기술 작업을 완료하도록 유도하려 했습니다.

JumpCloud는 기업이 사용자와 장치를 인증, 권한 부여 및 관리할 수 있도록 하는 디렉토리 플랫폼으로, 2023년 7월에 Lazarus Group 해커에 의해 침해된 것으로 알려져 있으며, 암호화폐 사용자들을 겨냥하고 있습니다.

직원의 컴퓨터에 악성 소프트웨어를 설치하려는 시도가 명백하다고 생각할 수 있지만, 해커는 CoinsPaid의 모든 가능한 세부 사항, 우리 팀 구성원, 우리 회사의 구조 등을 이해하는 데 6개월을 보냈습니다. Lazarus와 같은 최고 해커 팀은 잠재적인 목표를 이용하기 위해 완전히 신뢰할 수 있는 이야기를 만들 수 있습니다.

단계별 공격 절차 추적

현대의 고도로 디지털화된 세계에서, 사람을 속이는 것은 컴퓨터 소프트웨어를 속이는 것보다 훨씬 쉽습니다. CoinsPaid의 한 직원을 조작함으로써 해커는 우리의 인프라를 성공적으로 공격했습니다.

1. 우리 직원 중 한 명이 Crypto.com의 일자리 제안에 응답했습니다.
2. 면접에 참여하는 동안, 그들은 악성 코드가 포함된 애플리케이션을 설치하라는 테스트 과제를 받았습니다.
3. 테스트 과제를 열면, 컴퓨터에서 자료와 키를 훔쳐 회사의 인프라와 연결했습니다.
4. CoinsPaid 인프라에 대한 접근 권한을 얻은 후, 공격자는 클러스터의 취약점을 이용하여 백도어를 열었습니다.
5. 탐색 단계에서, 지식 범죄자가 얻은 정보는 그들이 블록체인과의 상호작용 인터페이스에 대한 합법적인 요청을 복제하고 우리의 운영 저장소에서 회사의 자금을 추출할 수 있게 해주었습니다.

간단히 말해, 해커는 접근 권한을 얻어 CoinsPaid의 핫 월렛에서 자금을 인출할 수 있는 권한 요청을 생성할 수 있었습니다. 이러한 요청은 유효한 것으로 간주되어 블록체인으로 전송되어 추가 처리가 이루어졌습니다. 그러나 범죄자는 우리의 핫 월렛을 뚫고 자금에 접근하기 위한 개인 키를 직접 확보하는 데 실패했습니다.

내부 보안 조치가 경고 시스템을 작동시켜 우리가 악의적인 활동을 신속하게 차단하고 해커를 회사의 범위에서 쫓아낼 수 있게 했습니다.

블록체인 점수가 자금 세탁 방지에 효과적이지 않음

많은 암호화폐 회사가 KYC 조치를 채택하고 블록체인 위험 점수 시스템을 사용하여 의심스러운 활동을 감지하고 있지만, 범죄자는 여전히 성공적으로 자금을 세탁했습니다. 그 이유는 다음과 같습니다:

모든 해킹 사건 후의 표준 절차에 따라, CoinsPaid는 모든 주요 거래소와 사이버 보안 회사에 사건을 통지하고 해커 주소에 대한 정보를 제공했습니다. 그런 다음, 이들은 커뮤니티에서 공유되는 태그에 포함되어 이러한 주소와 관련된 자금의 추가 이동 및 세탁을 방지하기 위해 사용되었습니다.

그러나 자금이 후속 주소로 이동할 때, 태그 배포에는 최대 60분이 소요됩니다. 우리의 조사 결과에 따르면, CoinsPaid의 해커는 태그가 범죄자의 행동을 따라잡기 전에 불과 몇 분 만에 자금을 새 주소로 이동시켰습니다.

이러한 취약점은 블록체인 점수가 2023년 해커 조직의 자금 세탁 계획의 영향을 예방하고 최소화하는 데 사실상 무효임을 보여줍니다.

자금 추적: 도난당한 자금을 추적하고 차단하기

조사를 지원하기 위해, CoinsPaid는 블록체인 분석을 전문으로 하고 법 집행 기관 및 규제 기관과 협력하여 도난당한 암호 자산의 반환 과정을 동행하는 사이버 보안 분야의 선두주자인 Match Systems와 협력했습니다. Match Systems 전문가의 도움으로, 수십 건의 형사 사건에서 7천만 달러 이상이 회수되었습니다.

공격 발생 직후, 도난당한 자금을 추적하고 동결할 가능성을 높이기 위해 일련의 운영 조치가 시행되었습니다.

단계 1: 모든 주요 블록체인 분석기가 해커의 주소를 블랙리스트에 올렸습니다.

단계 2: 모든 주요 암호화폐 거래소와 AML 담당자에게 도난 자산이 포함된 해커 주소에 대한 긴급 통지가 발송되었습니다.

단계 3: 해커의 주소가 Match Systems의 관찰 목록에 올랐습니다.

도난당한 자금을 임시로 차단할 가능성을 높이기 위한 필요한 조치를 취한 후, Match Systems의 전문가들은 블록체인 분석기, 네이티브 브라우저 및 회사 자체 도구를 통해 자금의 흐름을 추적했습니다. 자금이 거래소와 교환 서비스에서 유통되면, 공격자의 주소에 추가 태그가 부여되어 자금이 체인 간에 이동했는지 확인됩니다.

대부분의 자금이 SwftSwap으로 인출됨

위의 단계를 기반으로, 우리는 도난당한 자금을 완전히 추적할 수 있었습니다. 대부분의 자금은 Avalanche - C 블록체인上的 USDT 토큰 형태로 SwftSwap 서비스로 인출되었습니다. 이후 일부 자금은 두 번째 라운드에서 이더리움 블록체인으로 전송되었고, 추가로 Avalanche 및 비트코인 네트워크로 이동되었습니다.

사실, SwftSwap에서 대다수의 자금이 공격자의 대규모 거래 주소로 인출되었습니다. 이 동일한 주소는 Atomic Wallet에서 도난당한 자금을 이동하는 데 사용되었으며, 이는 우리가 Lazarus가 이번 공격의 책임자일 가능성이 더 높다고 믿게 했습니다.

현재까지, CoinsPaid 해커의 자금 세탁 활동은 여전히 진행 중이며, 우리는 Match Systems 전문가와 긴밀히 모니터링하여 이 단서를 계속 추적할 것입니다.

15%의 비용과 가격 변동으로 손실

초기 추정에 따르면, 도난당한 자금의 상당 부분은 해커의 "운영 비용"으로 인해 손실될 가능성이 높습니다.

• 10%는 일회성 대량 토큰의 "시장" 교환에 사용되었습니다: 판매자는 주문서에서 대부분의 거래를 수집하여 큰 가격 슬리피지를 초래했습니다. 가장 큰 손실은 해커가 처음으로 USDT를 TRX로 교환할 때 발생했습니다.
• 5%는 수수료, 의심스러운 이력을 가진 토큰 판매의 할인 및 기타 비용에 사용되었습니다. 여기에는 거래소와 결제 서비스에서 "drops" 등록을 위한 계정을 구매하는 추가 비용과 해커 및 원격 관리 프로그램이 포함됩니다.

Lazarus 해커는 Atomic Wallet 공격에서 유사한 전략을 사용했습니다

Match Systems의 전문가들은 Lazarus가 최근 Atomic Wallet에 대해 1억 달러 공격에서 사용한 유사한 패턴을 발견했습니다.

1. 동일한 스왑 서비스 및 믹서 사용

해커는 SunSwap, SwftSwap 및 SimpleSwap과 같은 스왑 서비스를 이용하고, KYC 및 AML 절차 없이 불법적으로 획득한 자금을 세탁하기 위해 Sinbad 암호화폐 믹서도 사용했습니다.

Sinbad의 거래량 차트는 두 번의 공격 기간 동안 거래량의 뚜렷한 정점을 보여주며, 클러스터의 잔고에도 뚜렷한 변동이 있었습니다.

2. Avalanche Bridge를 통해 도난당한 자금 인출

CoinsPaid와 Atomic Wallet의 해킹 공격에서, 대부분의 도난당한 자금은 USDT 형태로 Avalanche - C의 SwftSwap 암호화폐 서비스로 전송되었습니다. 일부 도난당한 자금은 Yobit 거래소로 전송되었습니다.

Sinbad 믹서와 마찬가지로, SwftSwap 서비스의 거래량 차트는 Atomic Wallet과 CoinsPaid의 공격 기간 동안 거래 수의 뚜렷한 증가를 보여줍니다.

해킹 공격에서 배운 교훈

이번 불행한 사건은 CoinsPaid에게 암호화 시장에서 해킹 공격 사건의 수와 이들이 산업에 미치는 영향의 규모를 줄이는 데 도움이 되는 귀중한 경험과 통찰력을 제공했습니다.

다음은 우리의 보안 전문가가 다른 암호화폐 제공업체를 위해 작성한 실용적인 조언 목록으로, 이러한 조치를 시행하면 해킹 방지 능력을 크게 향상시킬 수 있습니다.

1. 회사의 인프라 침입 시도, 사회 공학, 피싱 등과 같은 사이버 보안 사건을 무시하지 마십시오. 이는 해커가 대규모 공격을 준비하고 있다는 신호일 수 있습니다.

2. 직원에게 범죄자들이 어떻게 가짜 일자리 제안, 뇌물, 심지어 무해한 기술 조언 요청을 통해 회사 인프라에 접근하는지를 설명하십시오.

3. 특권 사용자에게 보안 관행을 시행하십시오.

4. 책임 분리 및 최소 권한 원칙을 시행하십시오.

5. 직원 작업 공간의 보호를 보장하십시오.

6. 인프라 구성 요소를 업데이트하십시오.

7. 네트워크를 분할하고 인프라 구성 요소 간에 인증 및 암호화를 시행하십시오.

8. 모든 관련 사건을 업로드할 독립적인 보안 로그 저장소를 만드십시오.

9. 인프라 및 애플리케이션의 모든 의심스러운 활동에 대해 모니터링 및 경고 시스템을 설정하십시오.

10. 정직한 위반자 모델을 만들고 귀사의 기업이 직면한 위협과 위험에 대해 적절한 조치를 취하십시오.

11. 운영 잔액을 추적하고 비정상적인 이동 및 행동을 모니터링하십시오.

12. 회사의 운영 자금을 필요한 최소한으로 줄이십시오.