Ethereum $100M 相当が Harmony から消えた:北朝鮮の Lazarus と APT38 の犯行

FBI: North Korean hackers stole $100 million in Harmony crypto hack

2023/01/24 BleepingComputer — FBI の発表によると、2022年6月に Harmony Horizon から $100 million 相当の Ethereum が盗まれたが、その背後には、北朝鮮の国家的なハッキング・グループ Lazarus と APT38 が存在することが確認されたという。Harmony Horizon は Ethereum のクロス・チェーンブリッジであり、2022年6月に侵害を受け、MultiSigWallet の制御をハッカーが奪ったことで、大量のトークンが犯罪者のアドレスに転送された。


この攻撃については、Certik のレポートに、技術的な詳細と数百万ドルを吸い上げた手順が記されている。そして、昨日に FBI は、Lazarus と APT38 という2つの北朝鮮のハッキング・グループが、この攻撃の背後にいることを確認した。

FBI は、「我々の調査を通じて、2022年6月24日に報告された Harmony Horizon ブリッジから、$100 million 相当の Ethereum 盗んだのは、北朝鮮に関連する脅威アクターである Lazarus グループと APT38 であることを確認した」と述べている。

Tweet


Lazarus/APT38 ハッキング・グループは、朝鮮民主主義人民共和国 (DPRK) と関係があり、政府に代わって暗号通貨資産を盗んだ過去を持っている。FBI によると、北朝鮮のハッキング・グループは、暗号通貨の窃取とロンダリングにより、自国の弾道ミサイルおよび大量破壊兵器プログラムを支援しているという。

先週に発生した脅威グループによるロンダリング活動を追跡した FBI は、Lazarus との関連付けに成功した。2023年1月13日にハッカーたちは、3ヶ所の暗号通貨取引所の複数のアドレスに資金を預ける前に、Railgun を通じて41,000ETH ($63.5 million) を移動させようと試みた。

Lazarus laundering diagram
Lazarus laundering diagram (@zachxbt)


これらのアドレスのうち、少なくとも 350個のアドレスが、Lazarus グループのダイレクトな支配下にあることが確認されている。

ハッカーたちは移動した資金の一部を Bitcoin に変換したが、FBI は暗号資産サービス・プロバイダーと緊密に連携することで、それらを押収した。

FBI は、変換された残りの資金について、現時点で以下の Bitcoin アドレスに保管されているとしている。

  • 1BK769SseNefb6fe9QuFEi8W4KGbtP8gi3 
  • 15FcqYRbwh2JsRUyBjvZ4jJ2XAD3pycGch 
  • 1HwSof6jnbMFpfrRRa2jvydYdopkGB4Sn 
  • 15emeZ7buVegqhYh9PekH7cwFEJceVNpS 
  • 3MSbCJCYtx5sj1nkzD4AMEhhvvviXBc8XJ 
  • 17Z79rZpkk8kUiJseg5aELwYKaoLnirMUn 
  • bc1qp2vntdedxw4xwtyd4y3gc2t9ufk6pwz2ga4ge 
  • 3P9WebHkiDxCi8LDXiRQp8atNEagcQeRA3 
  • 37fnBxofDeph2fpBZxZKypNkwdXAt9nT6F 
  • 185NxhFAmKZrdwn9rVga3kqbvDP4FkbTNw 
  • 12283Cq1pJ3f1gXwqi6K3bRf5LZb8Bkm6g 

その時点で Binance と Huobi も、Harmony Horizon から盗まれた 124BTC ($2.5 million) の移動の阻止に成功したと発表している。さらに、ロンダリング行為に使用された、すべての口座が凍結された。

これまでの Lazarus による攻撃

北朝鮮のハッカーたちは、自国政府が必要とする資産を調達するために、暗号通貨企業をターゲットにしてきたという長い歴史を持つ。Lazarus は、トロイの木馬化した暗号通貨ウォレットや取引アプリを広めて、被害者のウォレットを盗み、暗号通貨ユーザーをターゲットにするようになった。

2022年4月に 米国財務省と FBI は、ブロックチェーン・ベースのゲーム Axie Infinity において、$617 million 相当の Ethereum および USDC トークンが盗まれたインシデントと、Lazarus グループを関連付けた。その後に、このハッカーは、ブロックチェーン・エンジニアへの有利なオファーを提示する、悪意の PDFファイルを送ったことで、この攻撃との関連性が判明した。

これまでの、Lazarus が絡むインシデントとしては、以下の記事で紹介されるものがあります。ちなみに、BlueNoroff は Lazarus のサブクラスタであり、日本に強い関心を持っていると、分析されているようです。

2022/12/27:BlueNoroff APT の戦術:日本への強い関心
2022/10/01:Dell ドライバの脆弱性を Lazarus が悪用
2021/06/10:DDoS を仕掛けるとメールで脅す Fancy Lazarus

%d bloggers like this: