ผู้เขียนต้นฉบับ: Elliptic

เรียบเรียงข้อความโดย: Babywhale, Foresight News

กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus ดูเหมือนจะยกระดับการดำเนินงานเมื่อเร็ว ๆ นี้ ได้ยืนยันการโจมตีบริษัทสกุลเงินดิจิทัลสี่ครั้งตั้งแต่วันที่ 3 มิถุนายน และการโจมตีล่าสุดในการแลกเปลี่ยนสกุลเงินดิจิทัล CoinEx มีแนวโน้มที่จะดำเนินการโดย Lazarus เพื่อเป็นการตอบสนอง CoinEx จึงออกหลายรายการทวีตซึ่งบ่งชี้ว่ายังคงมีการระบุที่อยู่กระเป๋าเงินที่น่าสงสัย ดังนั้นมูลค่ารวมของเงินที่ถูกขโมยจึงไม่ชัดเจน แต่อาจสูงถึง 54 ล้านดอลลาร์

ในช่วง 100 วันที่ผ่านมา Lazarus ได้รับการยืนยันแล้วว่าขโมยมูลค่าเกือบ 240 ล้านดอลลาร์จาก Atomic Wallet (100 ล้านดอลลาร์), CoinsPaid (37.3 ล้านดอลลาร์), Alphapo (60 ล้านดอลลาร์) และ Stake.com (41 ล้านดอลลาร์) Cryptoassets

ดังที่แสดงไว้ข้างต้น Elliptic วิเคราะห์ว่าเงินบางส่วนที่ถูกขโมยจาก CoinEx ถูกส่งไปยังที่อยู่ที่ใช้โดยองค์กร Lazarus เพื่อจัดเก็บเงินที่ถูกขโมยจาก Stake.com แม้ว่าจะอยู่ในบล็อกเชนอื่นก็ตาม จากนั้นเงินทุนจะถูกเชื่อมโยงข้ามสายไปยัง Ethereum ผ่านสะพานข้ามสายโซ่ที่ Lazarus เคยใช้ และส่งกลับไปยังที่อยู่ที่รู้ว่าถูกควบคุมโดยแฮกเกอร์ CoinEx Elliptic ได้สังเกตเห็นการผสมเงินทุนประเภทนี้จากแฮกเกอร์หลายรายในเหตุการณ์ Lazarus ล่าสุดเมื่อเงินที่ถูกขโมยจาก Stake.com ถูกผสมกับเงินที่ถูกขโมยจากกระเป๋าเงิน Atomic ตัวอย่างเงินทุนจากแฮกเกอร์ต่างๆ ที่รวมกันจะแสดงเป็นสีส้มในภาพด้านล่าง

การโจมตีห้าครั้งในกว่า 100 วัน

ในปี 2022 มีการแฮ็กชื่อดังหลายรายการมาจาก Lazarus ซึ่งรวมถึงสะพาน Horizon ของ Harmony กำลังถูกโจมตีและสะพาน Ronin ของ Axie Infinity กำลังถูกโจมตีโดยทั้งสองเหตุการณ์เกิดขึ้นในช่วงครึ่งแรกของปีที่แล้ว ตั้งแต่นั้นเป็นต้นมาจนถึงเดือนมิถุนายนของปีนี้ ไม่มีการโจรกรรมสกุลเงินดิจิตอลที่สำคัญใดๆ ที่เป็นของ Lazarus อย่างเปิดเผย ดังนั้นการโจมตีด้วยการแฮ็กหลายครั้งในช่วง 100 วันที่ผ่านมาบ่งชี้ว่ากลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือกลับมามีบทบาทอีกครั้ง

เมื่อวันที่ 3 มิถุนายน 2023 ผู้ใช้กระเป๋าเงินดิจิทัลแบบกระจายอำนาจแบบไม่มีการควบคุม Atomic Wallet สูญเสียเงินไปกว่า 100 ล้านดอลลาร์ Elliptic กำหนดให้แฮ็กอย่างเป็นทางการเมื่อวันที่ 6 มิถุนายน 2023 หลังจากพิจารณาปัจจัยหลายประการที่ชี้ไปที่กลุ่มแฮ็กชาวเกาหลีเหนือที่รับผิดชอบโยนความผิดให้ลาซารัสซะและต่อมาได้รับเอฟบีไอยืนยัน。

เมื่อวันที่ 22 กรกฎาคม 2023 Lazarus สามารถเข้าถึงกระเป๋าเงินร้อนที่เป็นของแพลตฟอร์มการชำระเงินแบบเข้ารหัส CoinsPaid ผ่านการโจมตีทางวิศวกรรมสังคม การเข้าถึงนี้ทำให้ผู้โจมตีสามารถสร้างคำขออนุญาตเพื่อถอนสินทรัพย์ crypto ประมาณ 37.3 ล้านดอลลาร์จากกระเป๋าเงินร้อนของแพลตฟอร์ม เมื่อวันที่ 26 กรกฎาคม CoinsPaid เปิดตัวรายงานกล่าวว่าลาซารัสเป็นผู้รับผิดชอบต่อการโจมตีและได้รับเอฟบีไอยืนยัน。

ในวันเดียวกันนั้นคือวันที่ 22 กรกฎาคม Lazarus ได้ทำการโจมตีอีกครั้ง โดยคราวนี้มุ่งเป้าไปที่ Alphapo ผู้ให้บริการการชำระเงินแบบ crypto แบบรวมศูนย์ โดยขโมยสินทรัพย์ crypto มูลค่า 60 ล้านดอลลาร์ ผู้โจมตีอาจได้รับการเข้าถึงผ่านรหัสส่วนตัวที่รั่วไหลออกมาก่อนหน้านี้ FBI อีกแล้วยืนยันลาซารัสเป็นผู้โจมตีในเหตุการณ์นี้

เมื่อวันที่ 4 กันยายน 2023 แพลตฟอร์มการพนันสกุลเงินดิจิทัลออนไลน์ Stake.com ถูกโจมตีและสกุลเงินดิจิทัลมูลค่าประมาณ 41 ล้านดอลลาร์ถูกขโมยไป ซึ่งอาจเกิดจากการขโมยคีย์ส่วนตัว โพสโดย FBI เมื่อวันที่ 6 กันยายนประกาศยืนยันว่าองค์กรลาซารัสอยู่เบื้องหลังการโจมตี

ในที่สุด เมื่อวันที่ 12 กันยายน 2023 ตลาดแลกเปลี่ยนสกุลเงินดิจิทัลแบบรวมศูนย์ CoinEx ตกเป็นเหยื่อของการโจมตีของแฮ็กเกอร์ และเงินจำนวน 54 ล้านดอลลาร์ถูกขโมยไป ตามที่กล่าวไว้ข้างต้น มีหลักฐานหลายชิ้นที่ชี้ว่าลาซารัสเป็นผู้รับผิดชอบต่อการโจมตีครั้งนี้

ลาซารัสเปลี่ยน ยุทธวิธี ของเขาเหรอ?

การวิเคราะห์กิจกรรมล่าสุดของ Lazarus แสดงให้เห็นว่าตั้งแต่ปีที่แล้วพวกเขาได้เปลี่ยนโฟกัสจากบริการแบบกระจายอำนาจไปเป็นบริการแบบรวมศูนย์ สี่ในห้าของการแฮ็กล่าสุดที่มีการกล่าวถึงผู้ให้บริการสินทรัพย์ crypto แบบรวมศูนย์ที่กำหนดเป้าหมายไว้ก่อนหน้านี้ ก่อนปี 2020 ก่อนที่ระบบนิเวศ DeFi จะเติบโตอย่างรวดเร็ว การแลกเปลี่ยนแบบรวมศูนย์ถือเป็นเป้าหมายหลักของ Lazarus

มีคำอธิบายที่เป็นไปได้หลายประการว่าทำไม Lazarus จึงหันมาสนใจบริการแบบรวมศูนย์อีกครั้ง

ให้ความสำคัญกับความปลอดภัยมากขึ้น: การตอบสนองก่อนหน้านี้ของ Elliptic ต่อการแฮ็ก DeFi ในปี 2022วิจัยพบว่าการโจมตีเกิดขึ้นโดยเฉลี่ยทุกๆ สี่วันในปี 2565 โดยมีการขโมยเงินโดยเฉลี่ย 32.6 ล้านเหรียญสหรัฐต่อการโจมตีหนึ่งครั้ง สะพานข้ามสายโซ่ได้กลายเป็นหนึ่งในประเภทโปรโตคอล DeFi ที่ถูกแฮ็กบ่อยที่สุดในปี 2022 แนวโน้มเหล่านี้อาจกระตุ้นให้มีการปรับปรุงมาตรฐานการตรวจสอบและพัฒนาสัญญาอัจฉริยะ ซึ่งทำให้แฮกเกอร์สามารถระบุและใช้ประโยชน์จากช่องโหว่ให้แคบลง

ความอ่อนไหวต่อวิศวกรรมสังคม: ในการโจมตีด้วยการแฮ็กหลายครั้ง วิธีการโจมตีของ Lazarus Group ที่เลือกคือวิศวกรรมสังคม ตัวอย่างเช่น การแฮ็ก Ronin Bridge มูลค่า 540 ล้านเหรียญสหรัฐ“ช่องว่าง” ที่ระบุผ่านโอกาสในการทำงานปลอมบน LinkedIn. อย่างไรก็ตาม บริการแบบกระจายอำนาจมีแนวโน้มที่จะมีพนักงานไม่มากนัก และมีการกระจายอำนาจตามระดับที่แตกต่างกันตามชื่อ ดังนั้นการเข้าถึงนักพัฒนาที่เป็นอันตรายอาจไม่เท่ากับการเข้าถึงสัญญาอัจฉริยะระดับผู้ดูแลระบบ

ในเวลาเดียวกัน การแลกเปลี่ยนแบบรวมศูนย์มีแนวโน้มที่จะจ้างพนักงานที่ค่อนข้างใหญ่ ซึ่งจะเป็นการขยายขอบเขตของเป้าหมายที่เป็นไปได้ นอกจากนี้ยังอาจทำงานโดยใช้ระบบเทคโนโลยีสารสนเทศภายในแบบรวมศูนย์ ทำให้มัลแวร์ Lazarus มีโอกาสแทรกซึมเข้าไปในธุรกิจได้มากขึ้น