它如何運作,以及我們該如何抵禦
採訪:北辰
嘉賓:Steven
封面:Photo by Shubham’s Web3 on Unsplash
這是 Whistle 的第 14 篇文章,關於牛市為何以及如何要防範國家級駭客組織。
昨晚公開的美聯儲 3 月會議聲明及發佈會講話,讓整個金融市場為之振奮。 當然真正的降息還沒有來臨,但今年貨幣政策要逐步放鬆是確定下來了——流動性即將從銀行系統流向風險市場。
此時比特幣減半僅剩 30 天,而且比特幣 ETF 打開了流動性從傳統金融市場湧入加密市場的通道,所以可以預見加密市場的牛市已經啟動,投資者面臨的僅僅是賺多或賺少的問題。
但是「刺耳的 Whistle」在這裡要發出刺耳的哨音——國家級駭客組織正在盯著加密市場的資產,作為創業者和投資者的你一定要守護好自己的錢包!
本期邀請了老朋友 Steven,他作為長期關注安全領域的通信技術專家,為我們揭開加密市場的公敵——東方神秘國家的國家級駭客組織 Lazarus 是如何運作,以及我們該如何抵禦。
1.北辰:什麼是國家級的 APT ?
Steven:APT 即 Advanced persistent threat(高級持續性威脅),網路安全領域一般把有經濟目的非法的駭客組織稱為 APT。 合法的駭客組織是專門發現威脅並報告對方來盈利,這叫白帽子,不會被稱為 APT。
我們在日常生活中往往是通過電信詐騙這種黑灰產而間接地接觸到 APT。 比如那些被泄露的個人資訊,往往就是 APT 用爬蟲整理出來或者直接從別的資料庫裡面偷出來的,但這種只能算是 APT 里的小蝦米。 比較大一點的 APT 如金眼狗,主要是攻擊賭博類網站,還有一些是針對遊戲網站。
最高級別的 APT 是國家級 APT,往往是出於政治目的去攻擊別人。 不過大多數國家政治性的駭客組織一般都稱不上 APT,因為非常鬆散,基本是有人號召一下就展開攻擊了。
2. 北辰:所以只有組織嚴密且出於政治目的的國家級駭客組織才是國家級 APT ?
Steven:只能說絕大多數的國家級 APT 沒有經濟訴求,主要是為了政治、軍事目的來執行間諜任務。 實力比較強的是隸屬於美國國家安全局的方程式(Equation Group)和索倫之眼(Project Sauron),主要針對俄羅斯、中國等國家發動高級攻擊來竊取敏感資訊。 俄羅斯的實力也比較強,比如隸屬於俄羅斯總參謀部軍事情報總局的奇幻熊和俄羅斯對外情報局的舒適熊。
我國遭遇最頻繁的國家級 APT 的攻擊是毒雲藤、蔓靈花(BITTER)、響尾蛇(SideWinder)、海蓮花(Ocean Lotus)和 Lazarus。 毒雲藤是臺灣地區官方背景的 APT,蔓靈花和響尾蛇是印度的,海蓮花是越南的,它們往往有明確的政治目的,所以很容易暴露背後的組織,只有 Lazarus 是出於經濟目的展開攻擊的,它隸屬於東方某神秘國家,並且值得每一個 crypto 行業的人警惕。
3. 北辰:那麼 Lazaru 跟其他國家級 APT 有什麼區別?
Steven:Lazarus 是東方某神秘國家總參偵察總局的網路作戰部隊,而且很多組織成員是在中國接受高等教育或者培訓,所以非常熟悉中國的網路環境。 美國曾指控該組織在中國設有活動中心,其實這不太可能,我們不可能允許一個其他國家的情報組織在境內活躍,何況它的規模大概在 8000 人以上。
4. 北辰:Lazaru 都有過什麼戰績?
Steven: Lazarus 的成名之戰是 2014 年入侵了索尼影業。 當時有一部惡搞他們領導人的電影即將上映,於是就洩露了索尼影業大量未發行影片資料、商業郵件和員工隱私,最終索尼影業宣佈取消了該電影的上映。
Lazarus 後來的攻擊越來越頻繁,比如盜竊孟加拉國中央銀行外匯儲備、入侵印度核電站、多次攻擊加密貨幣交易所等,大家最熟知的應該是用比特幣支付贖金勒索軟體。
5. 北辰:按理說中央銀行的資產只要還在 SWIFT 系統,就會被凍結,Lazarus 是如何取出來這筆錢的?
Steven:這不是 Lazarus 第一次攻擊央行系統,他們此前嘗試竊取過很多其他的國家的央行及商業銀行,但是都沒有成功。 2016 年攻擊孟加拉國中央銀行並盜竊了 1.01 億美元外儲,其中 2000 萬美元流向了斯里蘭卡,8100 萬美元流向了菲律賓的賭場,但最終大部分被美國發現后追回了。
6. 北辰:對 Lazarus 來講,這筆錢幾乎零成本的。
Steven:不是零成本,畢竟是在盜竊一個國家央行的錢,他們規劃了很久,而且動用了假帳戶、金融仲介、賭場和其他協同犯罪的參與方。
7. 北辰:那麼如何來確定這些攻擊來自於 Lazarus?
Steven:高水準的安全公司以及相關的政府情報機構都能判斷得出來是 Lazarus,因為網路活動一般都會有痕跡,何況他們的行為模式比較鮮明:攻擊水準高,組織嚴密,很大部分攻擊以竊取資金為主。
8. 北辰:所以 Lazarus 主要是一個創收單位?
Steven:沒錯。 據美國情報部門估計,每年被 Lazarus 竊取的資產大概是三到五億美元。 更為關鍵的是近五年來,該神秘國家 90% 以上的收入都是來自於幣圈,而且他們更加熟悉中國人。
9. 北辰:可以展開說說他們的案例。
Steven:2018 年日本交易所 Coincheck 被盜取了 5.3 億美元的加密貨幣,這就是 Lazarus 的手筆。
2022 年更是盜取了約 17 億美元的加密貨幣(其中 11 億美元來自於 DeFi 協定),然後用 Tornado Cash 等混幣器來洗錢。 值得一提的是,該神秘國家 2022 年對外出口總額才 1.59 億美元。
自 2023 年下半年以來,Lazarus 在幣圈的攻擊頻率明顯又加快了。 比如 6 月份盜取 Atomic Wallet 1 億美元,7 月 22 日同一天攻擊了兩個不同的機構,共盜取近一億美元。 9 月 4 號盜取在線加密賭場 4100 萬美元。 9 月 12 號盜取交易所 Coin EX 5400 萬美元。
其他小攻擊更加不計其數,因為還有大量的攻擊是針對個人使用者的,很難統計,也很少被關注到。
10. 北辰:Lazarus 頻頻得手,是因為他們更懂 crypto,還是說用傳統的攻擊方式就已經可以了?
Steven:Lazarus 的攻擊手段其實都是比較傳統的駭客攻擊,但是水平比較高。 最常見的是魚叉攻擊,即沒有針對性地發送一些檔(比如郵件),然後把病毒嵌在裡面。 當然,他們對幣圈也確實很瞭解,才能很好地利用了水坑攻擊和社會工程。
水坑攻擊就是在你的必經之路上攻擊,就好比獵食動物會躲在水源附近攻擊前來喝水的動物。 在幣圈搞水坑攻擊就是先去攻擊專案方的網站,在網站上嵌入特定代碼,使用者只要交互就中毒了。
社會工程嚴格來說都不能算技術攻擊,而是利用日常社交行為手段,利用人為疏忽漏洞來獲取私人資訊、訪問許可權。 幣圈的社會工程往往是駭客加入專案的社交社區(比如 Telegram,Discord)進行監控,利用交易交易數據篩查出那些交易活躍且有大宗交易的人,然後有針對性地給這個人私聊,比如發一個空投資訊,對方一旦打開就被攻擊了。
更高階的攻擊方式其實是直接作為代碼貢獻者混入專案方,從而加入攻擊代碼。
幣圈的專案基本都是分散式辦公,一個技術水準高而且薪資要求又低的碼農還是很容易加入團隊,當他作為開發者掌握了一定許可權時竊取加密貨幣是輕而易舉的。
11. 北辰:他們在應聘的時候一般是怎麼偽裝身份的?
Steven:Lazarus 的組織分工明確,有負責進行數據監控的,有專門做社會工程尋找目標的,有鑽研技術攻擊的,還有些人是負責洗錢。 總之這是一個超級大的有實力的團隊專門做這件事,效率就非常高了。
12. 北辰: 那麼身處幣圈的我們該如何避免資產被盜呢?
Steven:舉例幾個 Lazarus 在幣圈常見的攻擊方法。
一種是他們用 KandyKorn 軟體攻擊交易者。 它是針對 Mac 操作系統,用一個 python 程式偽裝成套利機器人,然後把攻擊代碼載入在 Mac 操作系統的記憶體里,攻擊的有效負載卻隱藏在 Google 雲服務硬碟中載入,而且載入動作很隱蔽(病毒源碼採用反射二進位載入作為混淆技術)。 這使得殺毒軟體的兩個主要手段都失效了——代碼特徵檢測無法檢測出攻擊代碼,行為檢測也無法發現異常的行為特徵。
另一種就是在加密網路通信軟體源頭植入 SIGNBT 負載,感染後等於在記憶體中注入全功能的遠端訪問工具,這樣就可以運行其他的惡意軟體、外傳數據甚至終止進程運行等任意命令,相當於電腦完全被對方控制了,哪怕私鑰保護得再好,你只要進行一次簽名就暴露出去了。
還有一種就是把代碼切入到一些普通的應用程式。 比如專門攻擊一些公司和開源專案並把惡意代碼塞進去,從而獲取消費者的整個系統許可權,無論是 Mac 還是 Windows,iOS 還是安卓,Lazarus 都有相應的程式。 大部分的區塊鏈專案很多是採用現成的開原始程式碼,所以 Lazarus 就在最源頭把代碼注入進去,從而很容易獲取專案方的許可權。
還有就是篡改瀏覽器擴展,大部分人是通過 MetaMask 錢包去領空投或者做交互,當專案方網頁本身被他篡改了,等於所有和他互動過的錢包都已經不安全了。
13. 北辰:上述攻擊方式,具體是怎麼展開的?
Steven:就以 2022 年 Axie Infinity 的開發者 Sky Mavis 做的側鏈 Ronin 被盜 6.2 億美元為例。
首先 Lazarus 通過社會工程知道有個 Sky Mavis 的員工在求職,於是虛假設置了一個 Web3 崗位需求,進行魚叉攻擊,把 offer 郵件發送給那個員工,員工打開 PDF 檔,他的電腦就中毒了,繼而尋求感染整個 Sky Mavis 公司內部的其他成員的電腦和伺服器。
Ronin 專案帳戶因為多簽錢包要求 9 個帳戶里至少 5 個簽名才可以轉帳,而公司從安全角度出發只管理了其中 4 個帳戶,但是有一個 DAO 社區帳戶曾經授權公司管理但用完后沒有及時取消授權,被駭客攻破,最後賬上 6.2 億美元全部被竊取,過了一周時間 Sky Mavis 公司才發現這件事。
14. 北辰:前面不是說他們把錢轉出去,在鏈上和互聯網上都會有痕跡嗎?
Steven:首先把盜來的數位貨幣通過 DEX 全部換成 ETH,然後歸集到已經創建好的多個一次性錢包,再跑到混幣器(比如 Tornado,Sinbad),裡面把錢洗到新創建的幾十上百個錢包中再轉移出去。
所以說 Lazarus 的每次攻擊其實工作量非常大,前期要收集大量資訊,然後單獨開發攻擊代碼,準備洗錢的錢包地址,還要用到社會工程的手段。 說不定項目社區里一些特別熱心的碼農出來貢獻代碼,他就是來自於 Lazarus。
15. 北辰:那麼針對幣圈的個人,請你總結一下應該怎麼去避免? 我感覺只要你鏈上交互比較多,就沒辦法避免。
Steven:第一是利用中心化交易所,儘管這不符合加密精神,但大部分人確實很難管理好自己的私鑰,很多人就連自己的銀行帳戶都不一定管得好,何況是去管理一個不可能記住的私鑰,而且現在大家手上的錢包位址往往不止一個。
我覺得電腦操作能力比較差的小白索性相信中心化的交易所吧,畢竟合法的中心化交易所哪怕被盜,大部分資產是可以保全的。 比如 Mt.Gox 的被盜資產就被保全到現在。
北辰:反而賺得更多了。
Steven:對,那時候比特幣才只有兩三千美元,大部分人是不可能守到現在的,也算是因禍得福吧。
第二是注意基本操作,比如新幣空投,如果一定要進行鏈上操作進行交互,那就盡可能用 iOS 系統吧,而且最好專機專用。
第三是收到不明郵件不要去點開不明附件。 對社交平臺上套近乎的人要留點心眼,不要點開陌生人發的連結或者是郵件。
最後,如果資產確實比較多的話,而且又要進行鏈上操作,最好有個硬體錢包,並且冷、熱錢包應該分級、分域,準備多個硬體(PC,手機)互相隔離,最核心的資產放在安全等級高的錢包,需要經常交互的資產多準備一些熱錢包,只放少量資產,哪怕一個被盜,損失也不會傷筋動骨。
16. 北辰:現在硬體錢包也不安全了,比如 Ledger 就被嵌入了惡意代碼。
Steven:是的,但我還是推薦用大品牌的硬體錢包,作惡的門檻會提高很多,而且即使發現漏洞,也會及時彌補漏洞。
17. 北辰: 那麼對於專案方有什麼建議嗎?
Steven:第一就是嚴格安全紀律,要有安全意識,設置多簽錢包,並認真執行所有的安全守則,這樣會提高攻擊成本。
還有就是要引入安全團隊,比如代碼審核,比如引入一個藍隊(即防禦隊),白帽駭客,讓他們來提供一些位址監控和安全預警,做比不做要很好,因為哪怕被盜了也能第一時間去找到轉移位址(畢竟洗錢還是要一定時間),發現及時的話還是有很大可能截住這筆資金。 而不是一星期過去了才發現錢包的錢不見了,那就很難追得到。
18. 北辰: 鏈上的資產怎麼攔截?
Steven:要麼報警,要麼看你在圈內的人脈關係了,這就是為什麼要引入安全團隊,因為安全團隊往往有這樣的關係。 不過要是遇上 Lazarus 這樣的國家級 APT 就很難了。
19. 北辰: 現在行業的安全服務主要還是以代碼審計為主,其他的服務專案方的付費意願並不強。
Steven:代碼審核是很基礎的要求,可以提高單打獨鬥的小駭客的攻擊難度,但像 Lazarus 這種國家級 APT 很難防住。 所以我建議要找專業的藍隊,國內技術厲害的紅隊和藍隊的資源其實還挺豐富的。
20. 北辰: 比如 360?
Steven:說實話,幣圈的專案不可能請國內合法公司去做安全服務的。 可以找慢霧,CertiK 這類圈內的安全公司,其實通過每年的護網行動找到得分高的那些藍隊來做安全團隊就可以了。 在安全領域最強的並不是最大的網安公司,而是一些專業小團隊,這個你從每年的紅藍對抗賽就可以發現。
21. 北辰: 最後再做一個總結吧。
Steven:現在的幣圈還是個西部世界,政府管制很少參與,於是就有大量的搶劫偷盜的團夥和騙子,無論是專案方還是個人,最主要是大家腦子裡應該有這根弦,把這個籬笆扎得高一點,這樣即使遇到 Lazarus 這樣的大兵團,還是能防住他的一些攻擊。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。