エストニアの企業が北朝鮮ハッカーが3,700万ドルを盗んだと告発
エストニアに本社を置く仮想通貨決済会社のコインペイド(CoinsPaid)は、北朝鮮ハッカー集団のラザルス(Lazarus Group)が、従業員をターゲットにした詐欺的な採用担当者を利用してシステム侵入に成功したのではないかとの疑惑を提起している事が分かった。
We Know Exactly How Attackers Stole and Laundered $37M USD
CoinsPaid invited a partnership with @MatchSystems, in cooperation with law enforcement agencies and regulators, accompanies the process of returning stolen #crypto assets.
Read more: https://t.co/jLF3ICo603 pic.twitter.com/0gDy9CJcS7
— CoinsPaid (@coinspaid) August 7, 2023
私たちは、攻撃者がどのようにして3,700万ドルを盗み、洗浄したのかを正確に知っています
CoinsPaidは、法執行機関や規制当局と協力して、盗難された#crypto資産を返還するプロセスを伴うMatchSystemsとのパートナーシップを招待しました。
同社公式ブログによると、7月22日(土曜日)、3,700 万ドル(約53億円)以上の盗難を引き起こしたこの侵害は、模擬就職面接を装って従業員を誘惑し、ソフトウェアをダウンロードさせるという策略によって画策されたことを明らかにした。同社は、この従業員がハッカーによって宣伝された求人の被害に遭い、その後悪意のあるコードをダウンロードし、最終的に悪意のある攻撃者が機密データを窃取し、仮想通貨会社のインフラストラクチャー(ITサービスおよびIT環境の運用や管理に必要な構成要素)に不正に侵入することを容易にしたことを明らかにした。
北朝鮮の違法核開発計画に資金提供
この分野の専門家の分析に基づくと、仮想通貨の盗難は北朝鮮の非正統的な核兵器構想に資金的な裏付けを提供している疑いがある。
この疑惑はさまざまな報道機関によってたびたび取り上げられている問題であり、中でもサイバー攻撃への関与で知られるラザルスは、仮想通貨取引所、ブロックチェーン、ミキサーをターゲットとする類似のハッキング手法を頻繁に使用し、同一の仮想通貨ウォレットアドレスも利用するという大胆な手口で広く知られている。
この作戦パターンにより同社は、北朝鮮政府と提携している悪名高いハッキング集団が前述のハッキングの責任を負う可能性があるとの推論を導き出し、次のように語っている。
コインペイドのインフラストラクチャーへのアクセスを取得した攻撃者は、クラスターの脆弱性を利用し、バックドアを開いた。調査段階で加害者が得た知識により、ブロックチェーンを使い、対話インターフェースに対する正当なリクエストを再現し、当社の運用保管庫から会社の資金を引き出すことが可能になった。
ラザルスのコインペイドを巡る6カ月の追跡
ラザルスは、6カ月にわたり、コインペイドの複雑なシステムを注意深く観察し、研究する複雑なプロセスに取り組んでいたとみられている。
彼らの取り組みは、操作的なソーシャルエンジニアリング戦術から、分散型サービス拒否攻撃や容赦ないブルートフォース攻撃などの技術主導のアプローチに至るまで、さまざまな攻撃手法を網羅。最終的に正しいパスワードを見つけ出すことを期待して多数のパスワードを繰り返し送信している。この事件は、ハッカーが同社への攻撃を開始した2023年3月に始まっているという。同社は、この期間中にチームメンバーに向けてスパムやフィッシングキャンペーンが絶え間なく行われ、著しく攻撃的だったと詳細を明らかにしている。
これに応じて、コインペイドはブロックチェーンセキュリティ会社であるマッチシステム(Match Systems) と協力し、盗まれた資金経路を追跡する措置を講じている。これら不正に得た利益の大部分は、スイフトスワップ(SwftSwap)に流れ込んでいたことが分かっている。
コインペイドによると、ハッカーの取引の多くの側面は、前月の 6 月に発生したAtomic Walletへの 3,500 万ドルの侵害に似た、ラザルスによる手口と酷似していたという。同社は、これら盗まれた資金に関連するあらゆる動きを注意深く監視すると約束している。
