北朝鮮が支援するハッカー集団ラザルスグループは昨年、複数の仮想通貨取引所を標的にしていた。ブロックチェーン分析企業チェイナリシスが報告している。
チェイナリシスによれば、2019年3月にラザルスは、シンガポール拠点のドラゴンEX取引所からさまざまな種類の仮想通貨を700万ドル(約7億7000万円)相当盗んでいた。
ハッカーらは、フィッシング攻撃を利用し、偽の取引ボットを生成していた。WFCプルーフと名付けた偽の会社のウェブサイトとソーシャルメディアを作成し、このボットを提供していた。
偽ウェブサイトの画面キャプチャ 参照: Chainalysis
このソフトウェアは本物の取引ボットと酷似しているが、感染したコンピュータを乗っ取ることができるマルウェアが含まれていた。
チェイナリシスによれば、ラザルスのハッカーはドラゴンEXの従業員に対してこのソフトウェアの無料トライアルを提案。最終的に、ドラゴンEXのホットウォレットの秘密鍵を含むコンピュータにインストールされるように仕向けた。そこからハッカーらは資金を盗むことができる仕組みだ。
マネーロンダリング戦略の変化
ラザルスは、以前は盗んだ資金を現金化するまでに最大で1年半など長期間保管する傾向にあったが、2019年ではなるべく早急に現金化することに方向転換したとみられる。盗んだ資金の現金化までの期間は、大半が約60日間だった。2018年は約1年間だった。
現金化にあたっては、送金者の匿名性を向上させるコインジョインが使用可能なウォレットを使用し始めているという。
米政府が経済制裁対象に
米財務省は昨年9月、ラザルス(米政府は「ヒドゥン・コブラ」と命名)や、その下部組織「ブルーノロフ(BlueNoroff)」、「アンダリエル(Andariel)」の3グループに対する制裁を発表している。発表によれば、ラザルスなどは仮想通貨取引所の攻撃にも関与したという。
またサイバーセキュリティ企業大手カスペルスキーの今年1月のレポートによれば、ラザルスが仮想通貨を盗むために新たな手法を採用しているという。
これまでラザルスは「オペレーション アップルジュース(Operation AppleJeus)」と呼ばれるキャンペーンでmac利用者を標的にしてきた。操作されたアプリを入れた偽のコンピューターを用意するという手法だったが、カスペルスキーによると、最近は手法が変わってきている。mac利用者を攻撃するために、自家製のmacOSマルウェアを開発。また、Windows利用者向けには、複数の段階に及ぶ感染手法を採用している。
翻訳・編集 コインテレグラフジャパン
【関連記事:北朝鮮ハッカー集団、仮想通貨窃盗で新手法=カスペルスキー】
【関連記事:仮想通貨取引所の従業員が標的、北朝鮮のサイバー犯罪集団ラザルスがmacOS用マルウェアを作成】
【関連記事:仮想通貨取引所への攻撃や不正マイニングで知られる北朝鮮ハッカー集団、米財務省が制裁対象に】
【関連記事:北朝鮮の仮想通貨カンファレンス「出席すれば制裁違反に」、国連が警告=ロイター】
【関連記事:北朝鮮に仮想通貨・ブロックチェーン教えたイーサリアム研究者、正式に起訴される】
【関連記事:「デジタル人民元で北朝鮮が新型ミサイルを開発」その時、米国は…?ハーバード大が”仮想通貨戦争”をシミュレーション】