로그인/ 가입하기

강세장이 시작되다 국가 해킹 그룹이 지갑을 주시하고 있습니다.

2024/03/22 09:20

따르다

출처: 날카로운 휘슬

어젯밤 연준의 3월 회의 공개 성명 및 컨퍼런스 연설은 전체 금융 시장을 들썩이게 했습니다. 물론 실질적인 금리 인하는 아직 오지 않았지만, 올해 통화정책이 점진적으로 완화될 것이라는 점은 확실하며, 유동성이 은행 시스템에서 위험 시장으로 흘러들어갈 것입니다.

현 시점에서 비트코인의 반감기가 30일 밖에 남지 않았고, 비트코인 ETF는 기존 금융시장에서 암호화폐 시장으로 유동성이 유입될 수 있는 통로를 열어주었기 때문에 암호화폐 강세장은 이미 시작되었다고 봐도 무방하며, 투자자들은 돈을 더 벌거나 덜 벌거나 하는 단순한 문제에 직면해 있다고 볼 수 있습니다.

이번 호에서는 오랜 기간 보안에 주력해온 통신 기술자인 스티븐과 함께 동방의 미지의 나라에 있는 국가 차원의 해킹 조직인 암호화폐 시장의 공공의 적인 라자루스가 어떻게 활동하며, 이를 방어하기 위해 우리가 할 수 있는 일은 무엇인지 알아보겠습니다.

1. North Star: 국가 차원의 APT란 무엇인가요?

7: APT는 지능형 지속 위협으로, 사이버 보안 분야에서는 일반적으로 금전적 목적을 가진 불법 해킹 조직을 APT로 지칭합니다. 합법적인 해킹 조직은 영리를 목적으로 위협을 발견하고 이를 상대방에게 보고하는 것을 전문으로 하는데, 이를 화이트햇이라고 하며 APT라고 부르지 않습니다.

우리는 일상생활에서 통신사기 등 암암리에 발생하는 블랙-그레이를 통해 간접적으로 APT에 노출되는 경우가 많은데, 예를 들어 개인정보가 유출된 경우 크롤러를 이용해 정보를 분류하거나 다른 데이터베이스에서 직접 훔치는 APT가 많은데 이는 APT 속의 작은 새우라고 볼 수 밖에 없죠. 작은 새우 속의 APT. 골든아이와 같은 대형 APT는 주로 도박 사이트를 공격하고 일부는 게임 사이트를 표적으로 삼습니다.

가장 높은 수준의 APT는 정치적 목적으로 사람들을 공격하는 경향이 있는 국가적 APT입니다. 그러나 대부분의 국가 정치 해킹 조직은 매우 느슨한 조직이며 기본적으로 누군가가 공격을 요청하기 때문에 일반적으로 APT라고 부르지 않습니다.

2. Northstar: 그럼 잘 조직화되고 정치적 동기를 가진 국가 해커 그룹만 국가 APT라는 건가요?

Steven: 국가 수준의 APT의 대다수는 경제적 목적이 없으며 주로 정치 및 군사적 목적을 위한 스파이 임무를 수행한다고 가정해 봅시다. 가장 강력한 조직은 미국 국가안보국 소속의 이퀘이션 그룹과 프로젝트 사우론으로, 주로 러시아, 중국 등을 표적으로 삼아 민감한 정보를 탈취하기 위한 지능형 공격을 감행합니다. 러시아도 러시아 총참모부 군사정보국 소속의 판타지 베어(Fantasy Bear), 러시아 대외정보국 소속의 컴포트 베어(Comfort Bear) 등 비교적 강력한 공격 조직을 보유하고 있습니다.

중국에서 가장 빈번하게 발생하는 국가 차원의 APT 공격은 포이즌 아이비, 비터, 사이드와인더, 오션 로터스, 라자루스입니다. 포이즌 아이비는 대만에 기반을 둔 APT로, 비터와 라틀스네이크는 인도, 오션 로터스는 베트남을 배경으로 하며 정치적 목적이 뚜렷한 경향이 있습니다. 오직 라자루스만이 경제적 목적을 위해 공격하고 있으며, 동쪽의 미지의 국가와 연계되어 있어 암호화폐 업계 모두가 경계해야 할 대상입니다.

3. 노스스타: 그렇다면 라자루와 다른 국가 차원의 APT의 차이점은 무엇인가요?

스티븐: 라자루는 동방의 미지의 국가 총참모부 정찰총국의 사이버 전투 부대이며, 조직원 중 상당수가 중국에서 고등 교육이나 훈련을 받았기 때문에 중국의 사이버 환경에 매우 익숙합니다. . 미국은 이 단체가 중국에 활동 거점을 두고 있다고 비난했지만, 이는 사실 가능성이 희박합니다. 다른 나라의 정보 조직이 우리 국경 내에서 활동하는 것을 허용할 수 없을 뿐더러 그 규모가 약 8,000명 이상이라는 것은 말할 것도 없습니다.

4. 노스스타: 라자루는 어떤 전투를 치렀나요?

스티븐: 라자루가 명성을 얻기 시작한 것은 2014년 소니 픽처스에 침입했을 때입니다. 당시 소니 픽처스의 리더를 사칭한 영화가 개봉을 앞두고 있었는데, 미공개 영화 영상과 비즈니스 이메일, 직원 개인정보가 대량으로 유출되었고 결국 소니 픽처스는 영화 개봉을 취소한다고 발표했습니다.

방글라데시 중앙은행의 외환 보유고를 훔치고 인도의 원자력 발전소를 해킹하고 암호화폐 거래소를 반복적으로 공격하는 등 라자루스의 공격 빈도는 점점 더 잦아지고 있으며, 가장 많이 알려진 것은 비트코인을 이용한 몸값 지불 랜섬웨어입니다. .

5. 노스스타: 중앙은행 자산이 SWIFT 시스템에 있는 한 동결된다는 것은 논리적인데, 라자루스는 어떻게 이 돈을 인출했을까요?

Steven: 라자루스가 중앙은행 시스템을 공격한 것은 이번이 처음이 아니며, 이전에 다른 많은 국가의 중앙은행과 상업은행을 공격했지만 성공하지 못했습니다.2016년 방글라데시 중앙은행을 공격하여 외환보유고 1억 1천만 달러를 훔쳤고, 그 중 2천만 달러는 스리랑카로, 2천만 달러는 스리랑카로 갔습니다. 백만 달러는 스리랑카로, 8100만 달러는 필리핀의 카지노로 흘러들어갔지만, 결국 발각되어 대부분 미국에 의해 회수되었습니다.

6. 노스스타: 이 돈은 라자루스에게 거의 제로 비용으로 들어왔습니다.

7: 결국 한 국가의 중앙은행에서 돈을 훔친 것이기 때문에 비용이 전혀 들지 않았고, 오랫동안 계획하고 가짜 계좌, 금융 중개인, 카지노 및 기타 협력 범죄 참여자들을 사용했습니다.

7. Northstar: 그렇다면 이러한 공격이 라자루스의 소행이라고 어떻게 판단할 수 있나요?

Steven: 네트워크 활동에는 일반적으로 흔적이 있기 때문에 관련 정부 정보 기관은 물론 고위급 보안 회사도 라자루스라는 것을 알 수 있습니다. 활동은 일반적으로 흔적이 있을 뿐만 아니라 행동 패턴이 매우 뚜렷합니다. 높은 수준의 공격, 잘 조직화된 공격, 공격의 상당 부분이 돈을 훔치는 데 기반을 두고 있습니다.

8. 노스스타: 그럼 라자루스는 주로 수익을 창출하는 유닛인가요?

스티븐: 네, 맞습니다. 미국 정보당국은 라자루스가 훔친 자산이 연간 약 3억~5억 달러에 달하는 것으로 추정하고 있습니다. 더욱 심각한 것은 지난 5년간 이 미지의 국가가 벌어들인 수익의 90% 이상이 암호화폐 커뮤니티에서 발생했으며, 중국인들에게 더 친숙하다는 점입니다.

9. 노스스타: 그들의 사례를 확장할 수 있습니다.

7: 2018년 일본 거래소 코인체크에서 5억 3천만 달러의 암호화폐가 도난당했는데, 이는 라자루스의 소행이었습니다.

2022년에는 약 17억 달러의 암호화폐가 더 도난당했으며(이 중 11억 달러는 탈중앙 금융 프로토콜에서 발생), 이 암호화폐는 토네이도 캐시와 같은 코인 믹서를 통해 세탁되었습니다. 이 미스테리한 국가의 2022년 해외 수출액이 총 1억 5,900만 달러에 불과하다는 사실에 주목할 필요가 있습니다.

2023년 하반기부터 암호화폐 세계에서 라자루스 공격의 빈도가 다시 증가하고 있는 것으로 보입니다. 예를 들어, 6월에는 아토믹 월렛에서 1억 달러를 훔쳤고, 7월 22일에는 같은 날 두 개의 다른 조직을 공격하여 총 1억 달러에 가까운 금액을 훔쳤으며, 9월 4일에는 온라인 암호화폐 카지노에서 4,100만 달러를, 9월 12일에는 거래소 코인 EX에서 5,400만 달러를 훔쳤습니다.
개별 사용자를 대상으로 한 공격은 셀 수 없을 정도로 많지만 거의 알아채지 못하기 때문에 소규모 공격은 훨씬 더 무수히 많습니다.
10. 노스스타: 라자루스가 암호화폐에 대해 더 많이 알고 있기 때문에 그렇게 자주 공격을 받는 건가요, 아니면 기존 공격으로도 충분히 가능한 일인가요?
스티븐: 라자루스의 공격은 사실 전통적인 해킹에 가깝지만 그 수준은 더 높습니다. <가장 일반적인 공격은 이메일과 같은 파일을 표적으로 삼지 않고 그 안에 바이러스를 삽입하는 하푼 공격입니다. 물론 이들은 퍼들 공격과 소셜 엔지니어링을 잘 활용할 만큼 암호화폐 세계를 잘 알고 있습니다.
퍼들 공격은 포식 동물이 수원지 근처에 숨어 있다가 물을 마시러 오는 동물을 공격하는 것과 유사한 방식으로 공격자가 필요로 하는 경로를 공격하는 것입니다. 암호화폐 세계에서 퍼들 공격에 가담하는 것은 프로젝트의 웹사이트를 공격하는 것으로, 웹사이트에 특정 코드를 삽입하여 사용자가 해당 코드와 상호작용하는 것만으로도 중독되는 것입니다.
사회 공학은 기술적으로는 기술적 공격이라고 할 수 없으며, 인간의 부주의로 인한 허점을 이용하여 개인 정보, 접근 권한을 얻기 위해 일상적인 사회적 행동 수단을 사용하는 것입니다. <암호화폐 세계에서 소셜 엔지니어링은 해커가 프로젝트의 소셜 커뮤니티(예: 텔레그램, 디스코드)에 가입하여 모니터링하고, 거래 데이터를 사용하여 거래가 활발하고 거래량이 많은 사람을 선별한 다음, 상대방이 열 수 있는 에어드랍 메시지를 보내는 등 의도적으로 비공개 채팅을 하는 방식으로 이루어집니다. 상대방이 이를 열면 공격을 받게 됩니다.
더 발전된 형태의 공격은 실제로 프로젝트에 직접 코드 기여자로 참여하여 공격 코드를 추가하는 것입니다.
암호화폐 프로젝트는 기본적으로 분산된 사무실로 운영되기 때문에 연봉이 낮은 고도로 숙련된 코더가 팀에 합류하기 쉽고, 개발자로서의 특정 권한을 갖게 되면 암호화폐를 훔치는 것도 쉽습니다.
11. 노스스타: 입사 지원 시 보통 어떻게 신분을 위장하나요?
스티븐: 라자루스의 조직은 명확한 분업 체계를 갖추고 있으며, 일부는 데이터 감시를 담당하고, 일부는 표적을 찾는 사회공학을 전문으로 하며, 일부는 기술 공격을 조사하고, 일부는 자금 세탁을 담당하고 있습니다. 대체로 이 일을 전담하는 매우 크고 강력한 팀으로 구성되어 있으며 매우 효율적입니다.
12. 노스스타: 그렇다면 암호화폐 세계에서 자산 도난을 어떻게 피할 수 있을까요?
스티븐: 암호화폐 세계에서 흔히 발생하는 라자루스 공격의 몇 가지 예가 있습니다.
한 가지는 캔디콘 소프트웨어로 트레이더를 공격하는 것입니다. 차익거래 봇으로 위장한 파이썬 프로그램으로 Mac OS를 표적으로 삼은 다음 공격 코드를 Mac OS의 메모리에 로드하고, 공격의 페이로드는 구글 클라우드 서비스의 하드 드라이브에 숨겨서 로드하는 방식으로 로드 작업은 매우 은밀합니다(바이러스 소스 코드가 난독화 기법으로 반사 바이너리 로드를 사용함). 이로 인해 바이러스 백신 소프트웨어의 두 가지 주요 도구가 모두 비효율적이었습니다. 코드 서명 탐지는 공격 코드를 탐지하지 못했고 행동 탐지는 비정상적인 행동 시그니처를 찾지 못했습니다.
다른 하나는 암호화된 네트워크 통신 소프트웨어의 소스에 SIGNBT 로드를 심는 것으로, 감염 후 모든 기능을 갖춘 원격 액세스 도구를 메모리에 주입하는 것과 같아서 다른 멀웨어를 실행하거나 데이터를 내보내거나 실행 중인 프로세스 및 기타 임의의 명령을 종료할 수 있어 개인 키가 잘 보호되어 있어도 상대방이 컴퓨터를 완전히 제어하는 것과 마찬가지입니다. 한 번만 서명하면 노출됩니다.
코드를 일반적인 애플리케이션으로 잘라내는 또 다른 방법이 있습니다. 예를 들어, 특정 회사나 오픈소스 프로젝트를 공격하여 악성 코드를 삽입하여 사용자의 전체 시스템에 접근하는 것, Mac이든 Windows든, iOS든 Android든, 라자루스는 이를 위한 프로그램을 가지고 있습니다. 대부분의 블록체인 프로젝트는 기성품 오픈 소스 코드를 사용하므로 Lazarus는 소스에서 바로 코드를 삽입하여 프로젝트의 권한에 쉽게 액세스할 수 있습니다.
그리고 브라우저 확장 프로그램 변조의 경우, 대부분의 사람들이 에어드랍을 받거나 상호작용을 하기 위해 메타마스크 지갑을 거치는데, 프로젝트 측 웹페이지 자체가 변조되면 상호작용한 모든 지갑이 안전하지 않게 된 것과 마찬가지입니다.
13. 노스스타: 위의 공격은 어떻게 전개되었나요?
스티븐: 2022년 Axie의 개발사인 스카이 마비스가 만든 사이드체인인 로닌에서 6억 2천만 달러를 도난당한 사건을 예로 들어 보겠습니다.
먼저 라자루스는 소셜 엔지니어링을 통해 한 Sky Mavis 직원이 구직을 하고 있다는 사실을 알고, Web3 구인 요청을 허위로 설정하고 스피어 공격을 수행하여 해당 직원에게 구인 이메일을 보냈고, 해당 직원이 PDF 파일을 열자 그의 컴퓨터가 중독된 후, Sky Mavis 회사 전체의 다른 구성원의 컴퓨터와 서버를 감염시키려고 시도했습니다. 서버를 감염시켰습니다.
다중서명 지갑은 9개 계정에 최소 5개의 서명이 있어야 송금할 수 있기 때문에 로닌 프로젝트 계정은 보안 관점에서 회사는 4개 계정만 관리했지만, DAO 커뮤니티 계정은 회사가 관리하도록 승인했지만 계정 사용 종료 후 제때 승인을 취소하지 않아 결국 6억 2천만 달러의 계정이 모두 도난당했고, 스카이 마비스는 일주일이 걸렸습니다. 스카이마비스가 이 사실을 알아내는 데는 일주일이 걸렸습니다.
14. 노스스타: 아까 돈을 이체했고 그 흔적이 체인이나 인터넷에 남아있을 것이라고 말하지 않았나요?
Steven: 우선 탈취한 디지털 화폐는 항상 DEX를 통해 이더리움으로 교환한 다음 이미 생성된 여러 개의 일회용 지갑에 모은 다음 코인 믹서(예: 토네이도, 신바드)로 이동하여 새로 만든 수십, 수백 개의 지갑으로 돈을 세탁한 후 이체하는 과정을 거칩니다. .
따라서 라자루스 공격은 초기 단계에서 많은 양의 정보를 수집한 후 별도의 공격 코드를 개발하고, 자금 세탁을 위해 지갑 주소를 준비하며, 사회 공학 전술을 사용하는 등 실제로 매우 많은 양의 작업이 필요합니다. 프로젝트 커뮤니티에서 특별히 열성적인 코더가 나와서 코드를 기여하고 있는데, 그가 바로 라자루스 출신입니다.
15. 노스스타: 암호화폐 커뮤니티의 개인이 피해야 할 것들을 정리해 주시겠어요? 체인에서 더 많은 상호작용을 하는 한 피할 수 있는 방법은 없는 것 같습니다.
일곱 번째는 중앙화된 거래소를 이용하는 것인데, 암호화폐의 정신에 부합하지 않더라도 대부분의 사람들이 자신의 개인 키를 관리하기가 정말 어렵고, 많은 사람들이 자신의 은행 계좌도 관리하지 않을 뿐 아니라 개인 키를 관리할 수도 없는 경우가 많습니다. 개인키를 기억하기도 어렵고, 요즘은 지갑 주소를 두 개 이상 가지고 있는 경우가 많습니다.
컴퓨터 기술이 부족한 사람들은 중앙화된 거래소를 믿어야 한다고 생각합니다. 결국 합법적인 중앙화된 거래소의 자산은 도난을 당하더라도 대부분 보존할 수 있습니다. 예를 들어 마운트곡스의 도난 자산은 지금까지 보존되어 있습니다.
노스 스타: 대신 더 많은 돈을 벌었습니다.
스티븐: 네, 당시 비트코인은 2,000달러나 3,000달러에 불과했고, 대부분의 사람들이 지금까지 보유할 수 없었을 테니 일종의 위장된 축복인 셈이죠.
두 번째는 새로운 코인 에어드랍과 같은 기본 조작에 주의를 기울이고, 체인 조작과 상호 작용해야 한다면 가능한 한 iOS 시스템으로, 전용 머신을 전문으로 하는 것이 가장 좋습니다.
세 번째는 알 수 없는 이메일을 받았을 때 알 수 없는 첨부파일을 클릭하지 마세요. 소셜 미디어 플랫폼에서 친하게 지내는 사람들을 주시하고 낯선 사람이 보낸 링크나 이메일은 클릭하지 마세요.
마지막으로 많은 자산을 보유하고 있고 체인에서 운영하고자 한다면 하드웨어 지갑을 보유하는 것이 가장 좋으며, 콜드월렛과 핫월렛을 등급화하여 도메인으로 구분하고 가장 핵심적인 하드웨어 (PC, 휴대폰)를 서로 격리된 여러 개의 을 준비해야 합니다. 자산은 보안 수준이 높은 지갑에 배치하고, 잦은 상호 작용이 필요한 자산은 더 많은 핫 지갑을 준비하며, 소량의 자산 만 배치하여 도난 당하더라도 손실이 발생하지 않습니다.
16. 노스스타: 이제 하드웨어 지갑도 안전하지 않으며, 예를 들어 Ledger에는 악성 코드가 내장되어 있습니다.
Steven: 예, 하지만 여전히 대형 브랜드의 하드웨어 지갑을 추천하며, 악의의 임계값이 훨씬 높으며 취약점이 발견 되더라도 제때에 허점을 수정할 것입니다.
17.노스스타: 프로젝트 소유주에게 조언이 있으신가요?
Steven: 첫 번째는 보안 규율을 엄격하게 지키고, 보안 의식을 갖고, 다중 서명 지갑을 설정하고, 모든 보안 코드를 신중하게 적용하는 것입니다 공격 비용을 증가시킬 수 있습니다.
또한 블루 팀 (즉, 방어 팀), 화이트 햇 해커의 도입과 같은 코드 검토와 같은 보안 팀의 도입이 있으므로 일부 주소 모니터링 및 보안 경고를 제공하고, 도난 당하더라도 이체 주소를 찾기 위해 가장 먼저 갈 수 있으므로 (결국 자금 세탁은 여전히 일정 시간), 자금을 가로 챌 가능성이 여전히 높은 경우 적시에 발견 할 수있는 것보다 더 좋은 일을하지 않는 것보다 더 많은 것을 할 수 있도록합니다. 일주일이 지나서야 지갑 돈이 없어진 것을 발견하면 추적하기가 어려울 것입니다.
18. 노스 스타: 체인에서 자산을 가로채는 방법은 무엇인가요?
스티븐: 경찰에 신고하거나 서클 내 인맥에 따라 달라지므로 보안팀이 투입되는 이유는 보안팀이 그런 인맥을 가지고 있기 때문입니다. 하지만 라자루스처럼 전국적인 APT를 만나면 어렵습니다.
19. 노스스타: 현재 업계의 보안 서비스는 여전히 코드 감사가 주를 이루고 있으며, 프로젝트 측에서는 다른 서비스에 대한 지불 의지가 강하지 않습니다.
Steven: 코드 감사는 매우 기본적인 요구사항이기 때문에 혼자 활동하는 소규모 해커를 공격하기는 어렵지만 라자루스 같은 국가 단위의 APT를 방어하기는 어렵습니다. 그렇기 때문에 전문 블루팀을 찾는 것이 좋으며, 실제로 기술적으로 뛰어난 레드팀과 블루팀의 국내 리소스는 상당히 풍부합니다.
20.노스스타:
스티븐: 솔직히 암호화폐 프로젝트가 보안 서비스를 위해 합법적인 국내 기업을 고용하는 것은 불가능합니다. 슬로우포그, 써트아이케이 등 보안업체들이 매년 보안업체를 선정할 때 가장 높은 점수를 받은 업체를 찾아서 보안팀을 맡기는 것이 현실입니다. 보안 분야의 최강자는 가장 큰 인터넷 보안 회사가 아니라 일부 소규모 전문 팀이며, 이는 연례 레드와 블루 매치에서 찾을 수 있습니다.
21. 노스스타: 요약으로 마무리하겠습니다.
스티븐: 암호화폐 세계는 현재 여전히 서구의 세계이며 정부의 통제가 거의 없기 때문에 프로젝트 측과 개인 모두 강탈하고 훔치는 갱단과 사기꾼이 많이 있으며, 중요한 것은 우리 모두가이 끈을 머릿속에 가지고 있어야하며이 울타리를 조금 더 높게 유지하여 하더라도. 라자루스와 같은 대규모 그룹을 만나더라도 그의 공격으로부터 자신을 방어할 수 있습니다.