北朝鮮のハッカー、2021年に約400億円相当の暗号通貨を盗んでいたことが判明

北朝鮮政府のハッカーは、2021年の間ハッキングした7社から約4億ドル相当の暗号通貨を盗んだとみられ、前年の4社から盗んだ3億ドルから増加していることがわかりました。

https://blog.chainalysis.com/reports/north-korean-hackers-have-prolific-year-as-their-total-unlaundered-cryptocurrency-holdings-reach-all-time-high/

北朝鮮のサイバー犯罪者は2021年、暗号通貨プラットフォームに対して少なくとも7回の攻撃を行い、昨年は約4億ドル相当のデジタル資産を引き出し、大成功の年となりました。これらの攻撃は主に投資会社や中央集権的な取引所を標的とし、フィッシングの誘い文句、コードの悪用、マルウェア、高度なソーシャルエンジニアリングを駆使して、これらの組織のインターネットに接続された「ホット」ウォレットから北朝鮮が管理するアドレスに資金を吸い上げました。北朝鮮が資金を預かると、それを隠蔽し現金化するために慎重なロンダリングプロセスを開始しました。

違法なブロックチェーン取引を追跡するChainalysis社のレポートで、盗まれた資金の58%がイーサ(ETH)であり、ビットコイン(BTC)は20%しか占めていないと述べています。

研究者によると、北朝鮮のハッカーは暗号通貨ミキサーとアジアに拠点を置く暗号対フィアット取引所を使って、資金のほとんどを洗浄、現金化していたとのことです。

しかし、ハッカーは盗んだ資金をすべて現金化したわけではなく、Chainalysisによるとハッカーが2017年から2021年の間に49の暗号取引所から盗んだ1億7000万ドル以上の暗号通貨が「保有口座」と思われる場所にあり、グループが最初の盗難に続いてまだ移動または洗浄しなかった資金が見つかりました。

理由が何であれ、DPRKがこれらの資金を保持することを望んでいる時間の長さは、それが必死で性急なものではなく、慎重な計画を示唆しています

Chainalysisは、これらの攻撃をすべてLazarus Groupに起因するものとしており、Lazarus Groupは複数の北朝鮮の脅威グループを表すためによく使われる総称です。

しかし、現実には北朝鮮のハッカーは政治に焦点を当てたサイバーエスピオネージ、反体制派の追跡、経済スパイ、金融窃盗など、特定の分野にまたがって活動しているのが現状です。

銀行や暗号通貨のハッキングに最もよく関連するLazarusの部門は、BlueNoroffとして追跡されているグループで米財務省は、2019年にこのグループを北朝鮮の核兵器と弾道ミサイルプログラムのための資金製造機と表現しています。

ロシアのセキュリティ企業Kasperskyが発表した別のレポートで、数年にわたる調査の結果、ついにBlueNoroffをロシア、ポーランド、スロベニア、ウクライナ、チェコ、中国、インド、米国、香港、シンガポール、UAE、ベトナムの暗号通貨企業で、世界中の多数のハッキングと結びつけることに成功したと発表しています。

カスペルスキーが2017年からSnatchCryptoとして社内で追跡していたこの攻撃では、暗号通貨企業に勤務する個人にメールやLinkedInメッセージで送られる悪意のある文書が使用されていました。

被害者がこれらのファイルを閲覧してやり取りすると、バックドアに感染し、ハッカーがコンピュータ内を検索し、個人が何をしているかを監視することができるようになるのです。

また、LNK(Windowsショートカット)ファイルを使用した、より巧妙でない攻撃もありましたが、最終的にはBlueNoroff一味が被害者のデバイスにアクセスできるようになるという点では同じでした。

攻撃者が有力な標的を見つけたと判断した場合、数週間から数カ月にわたってユーザーを注意深く監視するケースがあります。彼らはキーストロークを収集し、ユーザーの日常的な操作を監視しながら、金銭的な窃盗のための戦略を練っていました。

資金を盗むために被害者のChrome拡張機能を置き換え

カスペルスキーによると、BlueNoroffのハッカーは、その技術の高さを証明するように、公式のMetamask Chrome拡張機能の悪意のあるバージョンを開発し、後に被害者のデバイスにローカルにインストールして、Chrome Web Storeからインストールしたオリジナルのものと入れ替えているとのことです。

https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/

この拡張機能は、被害者が取引を開始したときに取引を検知し、取引パラメータをハイジャックして、被害者の資金のほとんどをBlueNoroffのアカウントに送るように変更されています。

すべて簡単な作業と思えますが、実際には6MB以上のJavaScriptコード(約17万行)であるMetamask Chrome拡張の徹底的な分析が必要です

このインジェクションは、Metamaskのコードベースによほど精通していない限り、手動で見つけるのは非常に困難です。

攻撃が実行された場合、Chrome拡張機能セクションの開発者モードオプションをオンにする必要があり、Metamask拡張機能のソースもPlayストアからローカルアドレスに変更されていただろうことを指摘しています。

コメントを残す

メールアドレスが公開されることはありません。