它如何运作,以及我们该如何抵御
采访:北辰
嘉宾:Steven
封面:Photo by Shubham's Web3 on Unsplash
这是 Whistle 的第 14 篇文章,关于牛市为何以及如何要防范国家级黑客组织。
昨晚公开的美联储 3 月会议声明及发布会讲话,让整个金融市场为之振奋。当然真正的降息还没有来临,但今年货币政策要逐步放松是确定下来了——流动性即将从银行系统流向风险市场。
此时比特币减半仅剩 30 天,而且比特币 ETF 打开了流动性从传统金融市场涌入加密市场的通道,所以可以预见加密市场的牛市已经启动,投资者面临的仅仅是赚多或赚少的问题。
但是「刺耳的 Whistle」在这里要发出刺耳的哨音——国家级黑客组织正在盯着加密市场的资产,作为创业者和投资者的你一定要守护好自己的钱包!
本期邀请了老朋友 Steven,他作为长期关注安全领域的通信技术专家,为我们揭开加密市场的公敌——东方神秘国家的国家级黑客组织 Lazarus 是如何运作,以及我们该如何抵御。
1.北辰:什么是国家级的 APT ?
Steven:APT 即 Advanced persistent threat(高级持续性威胁),网络安全领域一般把有经济目的非法的黑客组织称为 APT。合法的黑客组织是专门发现威胁并报告对方来盈利,这叫白帽子,不会被称为 APT。
我们在日常生活中往往是通过电信诈骗这种黑灰产而间接地接触到 APT。比如那些被泄露的个人信息,往往就是 APT 用爬虫整理出来或者直接从别的数据库里面偷出来的,但这种只能算是 APT 里的小虾米。比较大一点的 APT 如金眼狗,主要是攻击赌博类网站,还有一些是针对游戏网站。
最高级别的 APT 是国家级 APT,往往是出于政治目的去攻击别人。不过大多数国家政治性的黑客组织一般都称不上 APT,因为非常松散,基本是有人号召一下就展开攻击了。
2. 北辰:所以只有组织严密且出于政治目的的国家级黑客组织才是国家级 APT ?
Steven:只能说绝大多数的国家级 APT 没有经济诉求,主要是为了政治、军事目的来执行间谍任务。实力比较强的是隶属于美国国家安全局的方程式(Equation Group)和索伦之眼(Project Sauron),主要针对俄罗斯、中国等国家发动高级攻击来窃取敏感信息。俄罗斯的实力也比较强,比如隶属于俄罗斯总参谋部军事情报总局的奇幻熊和俄罗斯对外情报局的舒适熊。
我国遭遇最频繁的国家级 APT 的攻击是毒云藤、蔓灵花(BITTER)、响尾蛇(SideWinder)、海莲花(Ocean Lotus)和 Lazarus。毒云藤是台湾地区官方背景的 APT,蔓灵花和响尾蛇是印度的,海莲花是越南的,它们往往有明确的政治目的,所以很容易暴露背后的组织,只有 Lazarus 是出于经济目的展开攻击的,它隶属于东方某神秘国家,并且值得每一个 crypto 行业的人警惕。
3. 北辰:那么 Lazaru 跟其他国家级 APT 有什么区别?
Steven:Lazarus 是东方某神秘国家总参侦察总局的网络作战部队,而且很多组织成员是在中国接受高等教育或者培训,所以非常熟悉中国的网络环境。美国曾指控该组织在中国设有活动中心,其实这不太可能,我们不可能允许一个其他国家的情报组织在境内活跃,何况它的规模大概在 8000 人以上。
4. 北辰:Lazaru 都有过什么战绩?
Steven: Lazarus 的成名之战是 2014 年入侵了索尼影业。当时有一部恶搞他们领导人的电影即将上映,于是就泄露了索尼影业大量未发行影片资料、商业邮件和员工隐私,最终索尼影业宣布取消了该电影的上映。
Lazarus 后来的攻击越来越频繁,比如盗窃孟加拉国中央银行外汇储备、入侵印度核电站、多次攻击加密货币交易所等,大家最熟知的应该是用比特币支付赎金勒索软件。
5. 北辰:按理说中央银行的资产只要还在 SWIFT 系统,就会被冻结,Lazarus 是如何取出来这笔钱的?
Steven:这不是 Lazarus 第一次攻击央行系统,他们此前尝试窃取过很多其他的国家的央行及商业银行,但是都没有成功。2016 年攻击孟加拉国中央银行并盗窃了 1.01 亿美元外储,其中 2000 万美元流向了斯里兰卡,8100 万美元流向了菲律宾的赌场,但最终大部分被美国发现后追回了。
6. 北辰:对 Lazarus 来讲,这笔钱几乎零成本的。
Steven:不是零成本,毕竟是在盗窃一个国家央行的钱,他们规划了很久,而且动用了假账户、金融中介、赌场和其他协同犯罪的参与方。
7. 北辰:那么如何来确定这些攻击来自于 Lazarus?
Steven:高水平的安全公司以及相关的政府情报机构都能判断得出来是 Lazarus,因为网络活动一般都会有痕迹,何况他们的行为模式比较鲜明:攻击水平高,组织严密,很大部分攻击以窃取资金为主。
8. 北辰:所以 Lazarus 主要是一个创收单位?
Steven:没错。据美国情报部门估计,每年被 Lazarus 窃取的资产大概是三到五亿美元。更为关键的是近五年来,该神秘国家 90% 以上的收入都是来自于币圈,而且他们更加熟悉中国人。
9. 北辰:可以展开说说他们的案例。
Steven:2018 年日本交易所 Coincheck 被盗取了 5.3 亿美元的加密货币,这就是 Lazarus 的手笔。
2022 年更是盗取了约 17 亿美元的加密货币(其中 11 亿美元来自于 DeFi 协议),然后用 Tornado Cash 等混币器来洗钱。值得一提的是,该神秘国家 2022 年对外出口总额才 1.59 亿美元。
自 2023 年下半年以来,Lazarus 在币圈的攻击频率明显又加快了。比如 6 月份盗取 Atomic Wallet 1 亿美元,7 月 22 日同一天攻击了两个不同的机构,共盗取近一亿美元。9 月 4 号盗取在线加密赌场 4100 万美元。9 月 12 号盗取交易所 Coin EX 5400 万美元。
其他小攻击更加不计其数,因为还有大量的攻击是针对个人用户的,很难统计,也很少被关注到。
10. 北辰:Lazarus 频频得手,是因为他们更懂 crypto,还是说用传统的攻击方式就已经可以了?
Steven:Lazarus 的攻击手段其实都是比较传统的黑客攻击,但是水平比较高。最常见的是鱼叉攻击,即没有针对性地发送一些文件(比如邮件),然后把病毒嵌在里面。当然,他们对币圈也确实很了解,才能很好地利用了水坑攻击和社会工程。
水坑攻击就是在你的必经之路上攻击,就好比猎食动物会躲在水源附近攻击前来喝水的动物。在币圈搞水坑攻击就是先去攻击项目方的网站,在网站上嵌入特定代码,用户只要交互就中毒了。
社会工程严格来说都不能算技术攻击,而是利用日常社交行为手段,利用人为疏忽漏洞来获取私人信息、访问权限。币圈的社会工程往往是黑客加入项目的社交社区(比如 Telegram,Discord)进行监控,利用交易交易数据筛查出那些交易活跃且有大宗交易的人,然后有针对性地给这个人私聊,比如发一个空投信息,对方一旦打开就被攻击了。
更高阶的攻击方式其实是直接作为代码贡献者混入项目方,从而加入攻击代码。
币圈的项目基本都是分布式办公,一个技术水平高而且薪资要求又低的码农还是很容易加入团队,当他作为开发者掌握了一定权限时窃取加密货币是轻而易举的。
11. 北辰:他们在应聘的时候一般是怎么伪装身份的?
Steven:Lazarus 的组织分工明确,有负责进行数据监控的,有专门做社会工程寻找目标的,有钻研技术攻击的,还有些人是负责洗钱。总之这是一个超级大的有实力的团队专门做这件事,效率就非常高了。
12. 北辰: 那么身处币圈的我们该如何避免资产被盗呢?
Steven:举例几个 Lazarus 在币圈常见的攻击方法。
一种是他们用 KandyKorn 软件攻击交易者。它是针对 Mac 操作系统,用一个 python 程序伪装成套利机器人,然后把攻击代码加载在 Mac 操作系统的内存里,攻击的有效负载却隐藏在 Google 云服务硬盘中加载,而且加载动作很隐蔽(病毒源码采用反射二进制加载作为混淆技术)。这使得杀毒软件的两个主要手段都失效了——代码特征检测无法检测出攻击代码,行为检测也无法发现异常的行为特征。
另一种就是在加密网络通信软件源头植入 SIGNBT 负载,感染后等于在内存中注入全功能的远程访问工具,这样就可以运行其他的恶意软件、外传数据甚至终止进程运行等任意命令,相当于电脑完全被对方控制了,哪怕私钥保护得再好,你只要进行一次签名就暴露出去了。
还有一种就是把代码切入到一些普通的应用程序。比如专门攻击一些公司和开源项目并把恶意代码塞进去,从而获取使用者的整个系统权限,无论是 Mac 还是 Windows,iOS 还是安卓,Lazarus 都有相应的程序。大部分的区块链项目很多是采用现成的开源代码,所以 Lazarus 就在最源头把代码注入进去,从而很容易获取项目方的权限。
还有就是篡改浏览器扩展,大部分人是通过 MetaMask 钱包去领空投或者做交互,当项目方网页本身被他篡改了,等于所有和他交互过的钱包都已经不安全了。
13. 北辰:上述攻击方式,具体是怎么展开的?
Steven:就以 2022 年 Axie Infinity 的开发者 Sky Mavis 做的侧链 Ronin 被盗 6.2 亿美元为例。
首先 Lazarus 通过社会工程知道有个 Sky Mavis 的员工在求职,于是虚假设置了一个 Web3 岗位需求,进行鱼叉攻击,把 offer 邮件发送给那个员工,员工打开 PDF 文件,他的电脑就中毒了,继而寻求感染整个 Sky Mavis 公司内部的其他成员的电脑和服务器。
Ronin 项目账户因为多签钱包要求 9 个账户里至少 5 个签名才可以转账,而公司从安全角度出发只管理了其中 4 个账户,但是有一个 DAO 社区账户曾经授权公司管理但用完后没有及时取消授权,被黑客攻破,最后账上 6.2 亿美元全部被窃取,过了一周时间 Sky Mavis 公司才发现这件事。
14. 北辰:前面不是说他们把钱转出去,在链上和互联网上都会有痕迹么?
Steven:首先把盗来的数字货币通过 DEX 全部换成 ETH,然后归集到已经创建好的多个一次性钱包,再跑到混币器(比如 Tornado,Sinbad),里面把钱洗到新创建的几十上百个钱包中再转移出去。
所以说 Lazarus 的每次攻击其实工作量非常大,前期要收集大量信息,然后单独开发攻击代码,准备洗钱的钱包地址,还要用到社会工程的手段。说不定项目社区里一些特别热心的码农出来贡献代码,他就是来自于 Lazarus。
15. 北辰:那么针对币圈的个人,请你总结一下应该怎么去避免?我感觉只要你链上交互比较多,就没办法避免。
Steven:第一是利用中心化交易所,尽管这不符合加密精神,但大部分人确实很难管理好自己的私钥,很多人就连自己的银行账户都不一定管得好,何况是去管理一个不可能记住的私钥,而且现在大家手上的钱包地址往往不止一个。
我觉得电脑操作能力比较差的小白索性相信中心化的交易所吧,毕竟合法的中心化交易所哪怕被盗,大部分资产是可以保全的。比如 Mt.Gox 的被盗资产就被保全到现在。
北辰:反而赚得更多了。
Steven:对,那时候比特币才只有两三千美元,大部分人是不可能守到现在的,也算是因祸得福吧。
第二是注意基本操作,比如新币空投,如果一定要进行链上操作进行交互,那就尽可能用 iOS 系统吧,而且最好专机专用。
第三是收到不明邮件不要去点开不明附件。对社交平台上套近乎的人要留点心眼,不要点开陌生人发的链接或者是邮件。
最后,如果资产确实比较多的话,而且又要进行链上操作,最好有个硬件钱包,并且冷、热钱包应该分级、分域,准备多个硬件(PC,手机)互相隔离,最核心的资产放在安全等级高的钱包,需要经常交互的资产多准备一些热钱包,只放少量资产,哪怕一个被盗,损失也不会伤筋动骨。
16. 北辰:现在硬件钱包也不安全了,比如 Ledger 就被嵌入了恶意代码。
Steven:是的,但我还是推荐用大品牌的硬件钱包,作恶的门槛会提高很多,而且即使发现漏洞,也会及时弥补漏洞。
17. 北辰: 那么对于项目方有什么建议吗?
Steven:第一就是严格安全纪律,要有安全意识,设置多签钱包,并认真执行所有的安全守则,这样会提高攻击成本。
还有就是要引入安全团队,比如代码审核,比如引入一个蓝队(即防御队),白帽黑客,让他们来提供一些地址监控和安全预警,做比不做要很好,因为哪怕被盗了也能第一时间去找到转移地址(毕竟洗钱还是要一定时间),发现及时的话还是有很大可能截住这笔资金。而不是一星期过去了才发现钱包的钱不见了,那就很难追得到。
18. 北辰: 链上的资产怎么拦截?
Steven:要么报警,要么看你在圈内的人脉关系了,这就是为什么要引入安全团队,因为安全团队往往有这样的关系。不过要是遇上 Lazarus 这样的国家级 APT 就很难了。
19. 北辰: 现在行业的安全服务主要还是以代码审计为主,其他的服务项目方的付费意愿并不强。
Steven:代码审核是很基础的要求,可以提高单打独斗的小黑客的攻击难度,但像 Lazarus 这种国家级 APT 很难防住。所以我建议要找专业的蓝队,国内技术厉害的红队和蓝队的资源其实还挺丰富的。
20. 北辰: 比如 360?
Steven:说实话,币圈的项目不可能请国内合法公司去做安全服务的。可以找慢雾,CertiK 这类圈内的安全公司,其实通过每年的护网行动找到得分高的那些蓝队来做安全团队就可以了。在安全领域最强的并不是最大的网安公司,而是一些专业小团队,这个你从每年的红蓝对抗赛就可以发现。
21. 北辰: 最后再做一个总结吧。
Steven:现在的币圈还是个西部世界,政府管制很少参与,于是就有大量的抢劫偷盗的团伙和骗子,无论是项目方还是个人,最主要是大家脑子里应该有这根弦,把这个篱笆扎得高一点,这样即使遇到 Lazarus 这样的大兵团,还是能防住他的一些攻击。
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。
