Lazarus Group はどのようにして取引所に対して高度な APT 侵入攻撃を実行したのでしょうか?

前回の AMA では、@benbybit の上司と、これが潜在的な APT 高度侵入攻撃であるかどうかについて簡単に話し合いましたが、内部侵入攻撃であるかどうかについては明確な結論は出ませんでした。しかし、SlowMist の最新レポートによると、調査結果が次のようになっているとすれば、北朝鮮のハッカー組織 Lazarus Group はどのようにして取引所に対して高度な APT 侵入攻撃を実行したのでしょうか。以下にロジックの簡単な説明を示します。

ソーシャルエンジニアリング攻撃:

1) ハッカーはまず、プロジェクトのオーナー、投資家、サードパーティのパートナーなどを装って会社の開発者に連絡します（このタイプのソーシャルエンジニアリング手法は非常に一般的です）

2) コードのデバッグやテストツール、市場分析プログラムの開発を推奨するなどの口実で、従業員に悪質なプログラムを実行するように誘導する（騙されたり、転覆させられたりする可能性あり）

3) 悪意のあるプログラムがハッキングされると、リモートコード実行権限を取得し、さらに従業員に権限昇格と横方向の侵入を誘導する可能性があります。

イントラネット侵入プロセス:

1) 単一の侵入ポイントを持つイントラネットノードを使用してイントラネットシステムをスキャンし、主要サーバーの SSH キーを盗み、ホワイトリストの信頼関係を使用して横方向に移動して、より多くの制御権限を取得し、悪意のあるプログラムの範囲を拡大します。

（問題は、取引所が厳格な保護システムを備えているのに、侵入プロセス全体を通じて異常の警告がなかったのはなぜかということです。SlowMistは、ほとんどのセキュリティ機器の検出を回避するために会社の内部インフラストラクチャが使用されたと結論付けました。イントラネットシステムでは、赤青対決と侵入防止訓練をさらに強化する必要があるようです。）

2) 継続的なイントラネット侵入により、最終的にターゲットウォレット関連サーバーを取得し、バックエンドのスマートコントラクトプログラムとマルチ署名UIフロントエンドを変更して置換を実現します。

（フロントエンドとバックエンドの両方が改ざんされました。問題は、プロセス全体のログデータをバイパスする方法です。さらに、ハッカーは大規模な転送を実行するために最近収集される予定のウォレットをどのようにして正確に見つけましたか？疑問はたくさんあります。この部分は、人々が「内部者」が協力しているのではないかと疑わせるものです。）

Lazarus APT の高度な持続的侵入攻撃原理、一般的なバージョン:

取引所の暗号通貨コールドウォレットを、高級オフィスビルの最上階にある特別な金庫と考えてください。

通常、この金庫には厳格なセキュリティ対策が施されており、各転送の情報を表示するディスプレイ画面があり、各操作には複数の担当者が同時に立ち会い、画面上の情報（「XXX 量の ETH が XX アドレスに転送中」など）を一緒に確認する必要があります。すべての担当者が正しいことを確認して初めて、転送を完了できます。

しかし、ハッカーは綿密に計画された侵入攻撃を通じて、まずソーシャルエンジニアリングの手法を使って建物の「アクセスカード」を入手し（つまり、最初のコンピュータにハッキングし）、建物への侵入に成功した後、コア開発者の「オフィスキー」をコピーすることに成功しました（重要な権限を取得）。この「キー」を使用すると、ハッカーはより多くの「オフィス」に侵入することができます（システム内で横方向の侵入を実行し、より多くのサーバーを制御することができます）。

ついに、金庫を制御するコアシステムに到達しました。ハッカーは、ディスプレイ画面のプログラムを変更した（マルチ署名UIインターフェースを改ざんした）だけでなく、金庫内の送金プログラムも変更しました（スマートコントラクトを変更しました）。幹部がディスプレイ画面の情報を見たとき、実際には改ざんされた偽の情報が見られ、実際の資金はハッカーが管理するアドレスに送金されました。

注: 上記は、Lazarus ハッカー グループが使用する通常の APT 侵入攻撃手法です。@Bybit_Official 事件に関する最終的かつ決定的な分析レポートは存在しないため、あくまで参考用であり、個人的に受け止めないでください。

しかし、最後に@benbybitのボスに提案したいと思います。SafeはDAO組織に適した資産管理方法です。通常の呼び出し実行のみを考慮し、呼び出しの合法性検証は考慮しません。市場にはFireBlocksやRigSecなど、資産セキュリティ、権限制御、操作監査の面でより優れたサポートパフォーマンスを備えた、より優れたローカル内部統制システム管理ソリューションが数多くあります。