WEEX 唯客博客， 原文標題：《The Hack of Cryptocurrency Payment Provider Explained: We Know Exactly How Attackers Stole and Laundered $37M USD》 作者：CoinsPaid  編譯：吳說區塊鏈   2023 年 7 月 22 日，加密支付提供商 CoinsPaid 被黑客盜取了 3730 萬美元。據安全公司調查，攻擊者為 Lazarus 黑客團隊。本文為 CoinsPaid 所撰寫的黑客攻擊細節，以為其他加密從業者提供寶貴經驗。 以下為內容全文： 與攻擊相關的 Lazarus 黑客團隊 根據我們的內部調查，我們有理由懷疑頂級黑客組織 Lazarus 可能是對 CoinsPaid 進行攻擊的幕後黑手。黑客使用了 Lazarus 在最近的 Atomic Wallet 攻擊案件中所用的相同策略和洗錢方案。 Lazarus 組織被媒體宣傳為「當今全球頂級網路威脅組織」，在世界各地開展黑客活動。儘管成員的數量和他們的名字尚未得到確切確定，但這個網路犯罪組織與朝鮮政府有關。 從 2009–2013 年，「特洛伊行動」是 Lazarus 發起的第一次重大攻擊，針對的是美國和韓國的政府網站。 2014 年， Lazarus 因其對索尼影業的黑客攻擊而獲得全球認可：肇事者釋放了公司的機密文件，包括關於員工、他們的工作合同甚至他們的家庭成員的信息。 2017 年， Lazarus 再次出手： WannaCry 勒索軟體攻擊是 2017 年 5 月的全球性網路攻擊，目標是運行 Microsoft Windows 操作系統的計算機，通過加密數據並要求比特幣贖金。該次黑客攻擊持續了 4 天，並導致全球範圍內超過 300,000 台計算機被感染。 隨著加密市場越來越受歡迎並在資本化中增長， Lazarus 團隊開始針對眾多加密貨幣平台。到目前為止，受害公司的名單包括超過 20 家公司，其中包括 Axie Infinity (6.25 億美元 )、 Horizon Bridge (1 億美元 ) 和 Atomic Wallet (1 億美元 )。 關於 Lazarus 的長期目標和攻擊頻率增加的原因有很多猜測。許多專家認為，該團隊的活動是朝鮮希望獲得外匯的延伸。 黑客花了 6 個月的時間跟蹤和研究 CoinsPaid 我們現在知道， Lazarus 花了半年的時間試圖滲透 CoinsPaid 系統並查找漏洞。 自 2023 年 3 月以來，我們不斷記錄到針對公司的各種類型的未成功攻擊，從社會工程到 DDos 和暴力破解。 在 2023 年 3 月 27 日， CoinsPaid 的主要工程師收到了來自一個所謂的烏克蘭加密處理創業公司的請求，該請求包含了關於技術基礎設施的一系列問題，這已經得到了公司的 3 位主要開發人員的確認。 在 2023 年 4–5 月，我們經歷了 4 次針對我們系統的主要攻擊，目的是獲得 CoinsPaid 員工和客戶的賬戶訪問許可權。針對我們團隊成員的垃圾郵件和網路釣魚活動持續不斷且極具攻擊性。 在 2023 年 6–7 月，進行了一場涉及賄賂和假雇傭關鍵公司人員的惡意活動。 在 2023 年 7 月 7 日，針對 CoinsPaid 的基礎設施和應用程序進行了一次大規模、精心計劃和準備的攻擊。從 20:48 到 21:42，我們記錄了異常高的網路活動：涉及了超過 150,000 個不同的 IP 地址。 犯罪者的主要目標是誘騙關鍵員工安裝軟體來遠程控制計算機，從而滲透和訪問 CoinsPaid 的內部系統。經過 6 個月的失敗嘗試，黑客們終於在 2023 年 7 月 22 日成功地攻擊了我們的基礎設施。 社會工程 — — 2023 年「最危險」的安全威脅 由於不可能在未獲得員工計算機訪問許可權的情況下從外部入侵 CoinsPaid 系統，攻擊者使用了高度複雜且有力的社交工程技術。根據 CS Hub 的研究結果，75% 的網路安全專家認為社交工程和網路釣魚攻擊是網路安全方面的頭號威脅。 假冒 LinkedIn 招聘、賄賂和操縱員工 來自加密貨幣公司的招聘人員通過 LinkedIn 和各種消息傳遞工具聯繫了 CoinsPaid 的員工，提供了非常高的薪酬。例如，我們的一些團隊成員收到了月薪為 16,000–24,000 美元的工作邀約。在面試過程中，罪犯試圖誘使候選人安裝 JumpCloud Agent 或一個特殊程序以完成技術任務。 JumpCloud 是一個目錄平台，允許企業驗證、授權和管理用戶和設備，據說在 2023 年 7 月被 Lazarus Group 黑客入侵，目的是針對其加密貨幣用戶。 儘管您可能認為在員工的計算機上嘗試安裝惡意軟體是明顯的，但黑客花了 6 個月的時間了解 CoinsPaid 的所有可能細節、我們的團隊成員、我們公司的結構等等。像 Lazarus 這樣的頂級黑客團隊能夠創建一個完全可信的故事來利用潛在的目標。 逐步追蹤攻擊步驟 在現代高度數字化的世界中，欺騙一個人比欺騙計算機軟體容易得多。通過操縱 CoinsPaid 的一名員工，黑客成功地攻擊了我們的基礎設施。 我們的一名員工回應了來自 Crypto . com 的工作邀請。 在參與面試時，他們收到了一個測試任務，該任務要求安裝帶有惡意代碼的應用程序。 打開測試任務后，從計算機上竊取了資料和密鑰以與公司的基礎設施建立連接。 獲得對 CoinsPaid 基礎設施的訪問許可權后，攻擊者利用集群中的一個漏洞並打開了一個後門。 在探索階段，知識犯罪者獲得的信息使他們能夠複製與區塊鏈的交互介面的合法請求，並從我們的運營存儲庫中提取公司的資金。 簡單來說，黑客獲得了訪問許可權，允許他們創建授權請求，從 CoinsPaid 的熱錢包中提取資金。這些請求被視為有效，並被發送到區塊鏈進行進一步處理。然而，肇事者未能突破我們的熱錢包並直接獲取私鑰以訪問資金。 內部安全措施觸發了警報系統，使我們能夠迅速阻止惡意活動，並將黑客趕出公司的範圍。 區塊鏈評分對抗洗錢效果不佳 儘管許多加密貨幣公司採用 KYC 措施並使用區塊鏈風險評分系統來檢測可疑活動，但肇事者仍成功地洗錢。原因如下： 按照任何黑客事件后的標準程序， CoinsPaid 通知了所有主要的交易所和網路安全公司該事件，提供有關黑客地址的信息。然後，它們被包括在一個標記中，在社區中共享，以防止與這些地址相關的資金的進一步移動和洗錢。 然而，當移動資金到後續地址時，分發標記需要多達 60 分鐘。根據我們的調查結果， CoinsPaid 的黑客在標記跟上肇事者的行動之前，只需幾分鐘就將資金轉移到新地址。 這一漏洞使得區塊鏈評分在預防和最大限度地減少 2023 年黑客組織洗錢計劃的影響方面基本上無效。 資金追蹤：追蹤並阻止被盜資金 為協助調查， CoinsPaid 與 Match System s 建立了合作關係，後者是網路安全領域的領導者，專門從事區塊鏈分析，並與執法機構和監管機構合作，陪同歸還被盜的加密資產的過程。在 Match System 專家的幫助下，已經在數十起刑事案件中追回了超過 7 千萬美元。 攻擊發生后立即進行了一系列操作性措施，以跟蹤並有可能凍結被盜資金。 步驟 1：所有主要的區塊鏈分析器都將黑客的地址列入黑名單。 步驟 2：向所有主要的加密貨幣交易所和 AML 官員發送了緊急通知，告知他們包含被盜資產的黑客地址。 步驟 3：黑客的地址被列入 Match Systems 的觀察名單。 在採取了必要措施增加臨時阻止被盜資金的可能性后， Match Systems 的專家繼續通過區塊鏈分析器、原生瀏覽器和公司自己的工具跟蹤資金流向。一旦資金通過交易所和交換服務流通，就會對攻擊者的地址進行額外標記，以查看資金是否已跨鏈移動。 絕大部分資金被提取到 SwftSwap 基於上述的步驟，我們能夠完全跟蹤到被盜的資金。絕大部分資金以 Avalanche – C 區塊鏈上的 USDT 代幣的形式被提取到 SwftSwap 服務。此後，部分資金在第二輪被發送到以太坊區塊鏈，並進一步轉移到 Avalanche 和比特幣網路。 事實上， SwftSwap 上的大部分資金被提取到攻擊者的大額交易地址。這些相同的地址被用於從 Atomic Wallet 轉移被盜資金，這給了我們更多的理由相信 Lazarus 可能是此次攻擊的責任方。 到目前為止， CoinsPaid 黑客的洗錢活動仍在進行中，我們將繼續與 Match System 專家緊密監測這條線索。 損失了 15% 在費用和價格波動上 初步估計顯示，被盜資金中的相當大部分很可能因黑客的「運營成本」而損失。 10% 用於一次性大量代幣的「市場」交換：賣家從訂單簿中收集了大部分交易，導致了巨大的價格滑點。最大的損失發生在黑客最初用 USDT 兌換 TRX 時。 5% 在傭金、出售有疑問歷史的代幣的折扣和其他費用上。這也包括在交易所和支付服務上購買為「 drops 」註冊的賬戶的額外成本，以及黑客和遠程管理程序。 Lazarus 黑客在 Atomic 錢包攻擊中使用了類似的策略 Match System 的專家發現了 Lazarus 在其最近對 Atomic Wallet 進行的 1 億美元攻擊中之前使用的類似模式。 1. 使用相同的 Swap 服務和混幣器 黑客利用 swap 服務，如 SunSwap 、 SwftSwap 和 SimpleSwap ，以及 Sinbad 加密貨幣混合器，在沒有任何 KYC 和 AML 程序的情況下洗白非法獲得的資金。 Sinbad 的交易量圖顯示在兩次攻擊期間操作量出現了明顯的峰值，並且集群上的餘額出現了明顯的波動。 2. 通過 Avalanche Bridge 提取被盜資金 在 C oinsPaid 和 Atomic 錢包的黑客攻擊中，大部分被盜資金都以 USDT 的形式發送到了 Avalanche – C 上的 SwftSwap 加密貨幣服務。少部分被盜資金被發送到了 Yobit 交易所。 與 Sinbad 混合器一樣， SwftSwap 服務的交易量圖表在 Atomic Wallet 和 CoinsPaid 的攻擊期間顯示了交易數量的明顯增加。 從黑客攻擊中學到的教訓 這次不幸的事件為 CoinsPaid 提供了一些寶貴的經驗和見解，這些經驗和見解可以幫助減少加密市場上的黑客攻擊事件數量，以及它們對行業的影響規模。 以下是我們的安全專家為其他加密貨幣提供商編寫的實用建議清單，實施這些建議可以顯著提高防黑客的能力。 1. 不要忽視網路安全事件，例如試圖入侵公司的基礎設施、社會工程、網路釣魚等。這可能是黑客準備進行大規模攻擊的跡象。 2. 向員工解釋犯罪分子是如何使用虛假的工作邀請、賄賂，甚至請求無害的技術建議來訪問公司基礎設施的。 3. 為特權用戶實施安全實踐。 4. 實施職責分離和最小許可權的原則。 5. 確保員工工作站的保護。 6. 保持基礎設施組件的更新。 7. 劃分網路，並在基礎設施組件之間實施身份驗證和加密。 8. 創建一個獨立的安全日誌存儲來上傳所有相關事件。 9. 為基礎設施和應用程序中的所有可疑活動設置監控和警報系統。 10. 創建一個誠實的違規者模型，並針對您的企業所承受的威脅和風險採取適當的措施。 11. 跟蹤運營餘額，並監測其異常移動和行為。 12. 將公司的運營資金減少到必要的最低限度。 WEEX唯客交易所官網：weex.com