Lazarus Group의 거래소를 겨냥한 정밀 APT 침투 공격은 어떻게 이루어졌나요?
거래소의 암호화폐 콜드 월렛을 고급 사무실 건물 꼭대기에 위치한 특별한 금고로 상상해 보세요.저자:Haotian
지난 AMA에서 잠재적인 APT 고급 침투 공격과 @benbybit 사장님에 대한 간단한 소통이 있었으나, 내부 침투 공격인지에 대한 명확한 결론은 없었습니다. 하지만 조사 결과에 따르면, 느린 안개 최신 보고서에 따르면 북한 해커 조직 Lazarus Group이 거래소를 대상으로 한 정교한 APT 침투 공격은 어떻게 이루어졌을까요? 아래에서 간단히 논리를 설명하겠습니다:
사회 공학 공격:
1)해커는 먼저 프로젝트 측, 투자자, 제3자 파트너 등으로 가장하여 회사의 개발자와 연락을 취합니다;(이러한 사회 공학 수법은 매우 흔합니다)
2)디버깅 코드나 개발 테스트 도구, 시장 분석 프로그램 등을 추천하는 이유로 직원이 악성 프로그램을 실행하도록 유도합니다;(속았거나 반란에 가담했을 가능성이 모두 존재합니다)
3)악성 프로그램 침투가 완료되면 원격 코드 실행 권한을 얻고, 직원이 권한 상승 및 수평 침투를 유도합니다;
내부망 침투 프로세스:
1)단일 지점을突破한 내부망 노드를 이용해 내부 시스템 스캔을 수행하고, 핵심 서버의 SSH 키를 탈취하며, 화이트리스트 신뢰 관계를 이용해 수평 이동하여 더 많은 제어 권한을 얻고 악성 프로그램의 범위를 확대합니다;
(의문점은, 거래소가 모두 엄격한 방어 시스템을 갖추고 있다면, 전체 침투 과정에서 왜 이상 징후를 경고하지 못했을까요? 느린 안개 결론은 기업 내부 인프라를 이용해 대부분의 보안 장비 검사를 우회했다고 하니, 내부 시스템은 레드팀-블루팀 대항 방어 침투 훈련을 강화해야 할 필요가 있어 보입니다?)
2)지속적인 내부망 침투를 통해 최종적으로 목표 지갑과 연결된 서버를 확보하고, 백엔드 스마트 계약 프로그램 및 다중 서명 UI 프론트를 변경하여 도둑질을 실행합니다;
(프론트와 백엔드 모두 변조가 이루어졌는데, 의문점은 어떻게 전체 로그 데이터를 우회했는가입니다? 또한 해커는 최근에 지갑을 모아 대규모 이체를 실행할 계획을 어떻게 정확히 파악했을까요? 의문점이 많아 이 부분은 '내부자'의 협력이 의심받기 쉽습니다?)
Lazarus APT 고급 지속성 침투 공격 원리, 일반 버전:
거래소의 암호화폐 콜드 월렛을 고급 사무실 빌딩의 최상층에 위치한 특별한 금고로 상상해 보세요.
정상적인 경우, 이 금고는 엄격한 보안 조치를 갖추고 있습니다: 각 이체 정보를 표시하는 화면이 있으며, 각 작업은 여러 고위 임원이 동시에 참석해야 하고, 화면에 표시된 정보를 함께 확인해야 합니다(예: "XX 주소로 XXX 양의 ETH를 이체 중입니다"), 모든 고위 임원이 확인한 후에만 이체가 완료됩니다.
그러나 해커는 정교하게 계획된 침투 공격을 통해 먼저 사회 공학 수법을 이용해 빌딩의 "출입 카드"(즉, 초기 컴퓨터를 침입함)를 얻고, 성공적으로 빌딩에 침투한 후, 한 핵심 개발자의 "사무실 열쇠"(중요 권한을 획득)를 복사하는 데 성공합니다. 이 "열쇠"를 가진 해커는 더 많은 "사무실"(시스템 내부에서 수평 침투하여 더 많은 서버의 제어권을 얻음)로 몰래 들어갈 수 있습니다.
결국 금고의 핵심 시스템을 제어하게 됩니다. 해커는 화면 프로그램을 변경했을 뿐만 아니라(다중 서명 UI 인터페이스를 변조), 금고 내부의 이체 프로그램도 수정하여 고위 임원들이 화면에서 보는 정보는 사실 변조된 허위 정보이며, 실제 자금은 해커가 제어하는 주소로 이동되었습니다.
Note:위 내용은 Lazarus 해커 조직의 일반적인 APT 침투 공격 방법일 뿐이며, @Bybit_Official 사건에 대한 최종 확실한 분석 보고서는 아직 나오지 않았으므로 참고용으로만 사용하시고, 절대 대입하지 마세요!
하지만 마지막으로 @benbybit 사장님께 제안 하나 드리겠습니다. Safe와 같은 자산 관리 방식은 DAO 조직에 더 적합하며, 정상적으로 호출 실행만 하고 호출의 합법성 검증은 신경 쓰지 않습니다. 시장에는 FireBlocks, RigSec와 같은 더 우수한 로컬 내부 통제 시스템 관리 솔루션이 많이 있으며, 자산 안전, 권한 관리, 운영 감사 등 여러 면에서 더 나은 성과를 보일 것입니다.
