2023年7月22日,全球最大的加密支付提供商之一 - Coinspaid 遭遇了黑客攻击,损失了3730万美元。Coinspaid 与网络安全公司 Match Systems 合作,在2023年8月发布了他们的调查报告。最近因为"吴说"的转载,让这份报告再次流行起来。
简而言之,调查结果显示攻击有很大可能源于 DPRK 背景的 Lazarus 组织。Lazarus 花费了大约半年去寻找合适的 "立足点"。令人大跌眼镜的是,攻击团队利用的手段,并没有 bling bling 的 zero day,而是更为传统的社交工程。
Lazarus 在攻击初期尝试了 BruteForce,并没有奏效。立足点的建立的关键步骤来源于对资深关键研发人员的虚假招聘,或许很难有人能够经受住竞对公司提供的数倍于当前薪酬方案的 offer。之后,理所当然,攻击者在面试过程中以完成面试任务的方式诱导候选人安装携带木马的(看似合法的)软件实现进入 Coinspaid 的内网。甚至,他们为此提前攻击了软件供应链上游的一家云服务厂商 JumpCloud。突破网络边界后就没有什么额外的对抗了,Lazarus 简单调研后利用了一些集群管理系统的漏洞扩展了对基础设施的控制范围,最终实现从热钱包自动化提取资金,直到提取的资金达到触发告警...
小黑屋的 note:
1 或许是因为潜在的高额回报, 令人觉得 crypto 行业组织的攻防对抗强度似乎比传统IT行业的组织强度高不少。更具体的证明是,传统互联网公司,近几年公开的安全事件,比如 2021年的 Twitter celebrity bitcoin scam 和 2022 年的 Uber hack ,其主犯主要是十几岁的青少年,较少有来自高度组织化的团队。不过或许这里也有一些幸存者偏差,毕竟类似 Operation Aurora 的事件,可能因为更加隐蔽和更难追踪以及其他基于市值管理因素的考量而没有机会暴露给公众媒体。
2 另一方面,这个报告再次证明,人还是组织中最脆弱的因素,即使进行了充分的安全意识培训,组织整体的安全意识水位也会随着人员流动而逐渐劣化。作为防御方,或许合理的安全假设应该是网络边界一定会被突破,重要的是对边界突破事件的感知能力和对横向移动(lateral movement)关键操作的阻断速度,而不能寄希望于有一个团队能够通过若干次渗透测试和扫描穷尽组织各个网络服务的所有漏洞。
参考资料
https://www.wublock123.com/index.php?m=content&c=index&a=show&catid=47&id=28347
https://www.theverge.com/2022/9/16/23356213/uber-hack-teen-slack-google-cloud-credentials-powershell
