แฮช ( SHA1 ) ของบทความนี้: 9 d 28 ef 4 e 6 e 45 c 21121 d 4 e 6 fc 0 ef 7 c 011 f 4826 3d 8
เลขที่: PandaLY ความรู้ด้านความปลอดภัยหมายเลข 025
ในฐานะแรงผลักดันหลักของเศรษฐกิจดิจิทัล เทคโนโลยีบล็อกเชนกำลังขับเคลื่อนการปฏิวัติด้านการเงินและความปลอดภัยของข้อมูลทั่วโลก อย่างไรก็ตาม ลักษณะของการกระจายอำนาจและการไม่เปิดเผยตัวตนยังดึงดูดความสนใจของอาชญากรไซเบอร์ ทำให้เกิดการโจมตีสินทรัพย์ crypto หลายครั้ง แฮกเกอร์ไม่เคยหลับใหล และแหล่งเงินทุนมักจะตกเป็นเป้าของแฮกเกอร์เสมอ ตามข้อมูลที่จัดทำโดยบริษัทวิเคราะห์และรักษาความปลอดภัยบล็อคเชน ความสูญเสียที่เกิดจากการโจมตีด้วยการแฮ็กที่เกี่ยวข้องกับ Web3 มีมูลค่าเกิน 3 พันล้านดอลลาร์ตั้งแต่ปี 2020 ถึง 2024 ทีมรักษาความปลอดภัย Chainsource ของเราจะทำการวิเคราะห์เชิงลึกของกลุ่มแฮ็กเกอร์บล็อคเชนที่มีชื่อเสียงหลายกลุ่มและคดีที่ทราบกันดีของพวกเขา เปิดเผยวิธีการก่ออาชญากรรม และจัดเตรียมกลยุทธ์เชิงปฏิบัติสำหรับบุคคลเพื่อป้องกันการโจมตีของแฮ็กเกอร์
วิธีการและคดีโจรกรรมของกลุ่มแฮกเกอร์ชื่อดัง
กลุ่มแฮกเกอร์ชาวเกาหลีเหนือ ลาซารัส
พื้นหลัง:
ตามข้อมูลของ Wikipedia Lazarus Group ก่อตั้งขึ้นในปี 2550 และอยู่ในเครือของศูนย์วิจัยหมายเลข 110 ภายใต้สำนักงานลาดตระเวนทั่วไปของเจ้าหน้าที่ทั่วไปของกองทัพประชาชนเกาหลีเหนือ ซึ่งเชี่ยวชาญด้านสงครามไซเบอร์ องค์กรแบ่งออกเป็นสองแผนก: แผนกแรกเรียกว่า BlueNorOff (หรือที่เรียกว่า APT 38) ซึ่งมีสมาชิกประมาณ 1,700 คน โดยส่วนใหญ่จะดำเนินการถ่ายโอนที่ผิดกฎหมายผ่านคำสั่ง SWIFT ปลอม และมุ่งเน้นไปที่การใช้ประโยชน์จากช่องโหว่ของเครือข่ายเพื่อรับผลประโยชน์ทางการเงินหรือระบบควบคุม อาชญากรรมไซเบอร์ทางการเงินมุ่งเป้าไปที่สถาบันการเงินและการแลกเปลี่ยนสกุลเงินดิจิทัลเป็นหลัก แผนกที่สองคือ AndAriel ซึ่งมีสมาชิกประมาณ 1,600 คน และมีเป้าหมายหลักที่เกาหลีใต้
วิธีการดำเนินการ:
ในช่วงแรกๆ ลาซารัสทำการโจมตี DDoS ผ่านบอตเน็ตเป็นหลัก แต่ตอนนี้วิธีการโจมตีของพวกเขาได้เปลี่ยนไปเป็นการโจมตีแบบฉมวก การโจมตีแบบ Watering Hole การโจมตีห่วงโซ่อุปทาน ฯลฯ และพวกเขาใช้การโจมตีทางวิศวกรรมสังคมแบบกำหนดเป้าหมายกับเป้าหมายที่แตกต่างกัน ลาซารัสใช้การโจมตีแบบฉมวกในอีเมลและการโจมตีแบบรูน้ำของเว็บไซต์เพื่อให้เกิดการบุกรุก และอาจใช้ความเสียหายของระบบหรือแอปพลิเคชันแรนซัมแวร์เพื่อแทรกแซงการวิเคราะห์เหตุการณ์ นอกจากนี้ มันยังจะใช้ช่องโหว่ของโปรโตคอล SMB หรือเครื่องมือเวิร์มที่เกี่ยวข้องสำหรับการเคลื่อนไหวด้านข้างและเพย์โหลด จัดส่งและแม้แต่ทำการโจมตีระบบ SWIFT ของธนาคารเพื่อขโมยเงิน คุณสมบัติทางเทคนิคประกอบด้วยการใช้อัลกอริธึมการเข้ารหัสหลายตัว (เช่น RC 4, AES, Spritz) และอัลกอริธึมการแปลงอักขระแบบกำหนดเอง การปลอมแปลงโปรโตคอล TLS เพื่อข้าม IDS ผ่านชื่อโดเมนสีขาวในบันทึก SNI และยังใช้ IRC และ HTTP โปรโตคอล
นอกจากนี้ Lazarus ยังสร้างความเสียหายให้กับระบบโดยทำให้ MBR, ตารางพาร์ติชันเสียหาย หรือเขียนข้อมูลขยะลงในเซกเตอร์ และใช้สคริปต์การลบตัวเองเพื่อซ่อนร่องรอยของการโจมตี วิธีการโจมตีประกอบด้วยการใช้โทรจันเป็นไฟล์แนบในอีเมลสำหรับการโจมตีด้วยฉมวก และการบุกรุกผ่านเอกสารและมาโครที่เป็นอันตราย ในการโจมตีแบบ Watering Hole ลาซารัสจะวิเคราะห์กิจกรรมทางอินเทอร์เน็ตของเป้าหมาย โจมตีเว็บไซต์ที่พวกเขาเยี่ยมชมบ่อยครั้ง และฝังโค้ดที่เป็นอันตรายในวงกว้าง ในการโจมตีทางวิศวกรรมสังคมโดยแสร้งทำเป็นว่าเป็นผู้สรรหาสกุลเงินดิจิตอลหรือความปลอดภัยทางไซเบอร์เพื่อรับข้อมูลรับรองในการโจมตี คลังแสงของ Lazarus มีเครื่องมือที่ปรับแต่งได้จำนวนมาก ซึ่งบ่งชี้ว่ามีทีมพัฒนาขนาดใหญ่อยู่เบื้องหลัง และเครื่องมือต่างๆ ในการโจมตี ได้แก่ บอตเน็ต DDoS, คีย์ล็อกเกอร์, RAT, มัลแวร์ไวเปอร์ และโค้ดที่เป็นอันตราย เช่น Destover, Duuzer และ Hangman .
รายการกรณี:
การปล้นธนาคารบังกลาเทศ 2560
กลุ่มแฮ็ก Lazarus ขโมยเงินจำนวน 81 ล้านดอลลาร์จากการโจมตีระบบ SWIFT แม้ว่าเหตุการณ์นี้เกี่ยวข้องกับระบบธนาคารแบบดั้งเดิมเป็นหลัก แต่ผลกระทบของมันก็แพร่กระจายไปยังสาขาบล็อกเชนด้วย เนื่องจากเงินที่แฮกเกอร์ได้รับในลักษณะนี้มักจะถูกใช้เพื่อซื้อสกุลเงินดิจิทัลเพื่อการฟอกเงิน
เหตุการณ์การแฮ็ก KuCoin ปี 2020
ในเดือนกันยายน 2020 การแลกเปลี่ยน KuCoin ประสบกับการโจมตีของแฮ็กเกอร์จำนวนมาก ส่งผลให้เกิดการสูญเสียมากถึง 200 ล้านดอลลาร์สหรัฐ แม้ว่าความรับผิดชอบโดยตรงยังไม่ได้รับการยืนยันอย่างครบถ้วน แต่นักวิเคราะห์เชื่อว่าเกี่ยวข้องกับลาซารัส แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ของสัญญาและจุดอ่อนของระบบเพื่อขโมยสกุลเงินดิจิทัลจำนวนมาก และพยายามโอนและฟอกเงินผ่านหลายช่องทาง
โรนินไซเบอร์โจมตี 2021
Ronin เครือข่ายบล็อกเชนสำหรับเกม Axie Infinity ถูกโจมตีในเดือนมีนาคม 2021 ส่งผลให้สูญเสียเงินกว่า 600 ล้านดอลลาร์ แฮกเกอร์ทำการโจมตีโดยโจมตีโหนดของผู้พัฒนาและช่องโหว่ของระบบ แม้ว่าความรับผิดชอบโดยตรงจะไม่ได้รับการยืนยัน แต่นักวิเคราะห์จำนวนมากได้เชื่อมโยงกับ Lazarus หรือกลุ่มแฮ็กเกอร์อื่นๆ ที่รัฐสนับสนุน
ฮาร์โมนี่ไซเบอร์โจมตี 2022
สะพานข้ามสายโซ่ของบล็อกเชน Harmony ถูกโจมตีในเดือนมิถุนายน 2565 ส่งผลให้สูญเสียเงินประมาณ 100 ล้านดอลลาร์สหรัฐ การโจมตีดังกล่าวแสดงให้เห็นถึงข้อบกพร่องด้านความปลอดภัยใน Cross-Chain Bridge ของบล็อคเชน แม้ว่าผู้เชี่ยวชาญบางคนจะเชื่อมโยงกับกลยุทธ์ของกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือและเชื่อว่าพวกเขาอาจทำการโจมตีผ่านเทคนิคที่คล้ายคลึงกัน
แก๊งอาชญากรเดรนเนอร์
“ตัวระบาย” ในบล็อกเชนโดยทั่วไปหมายถึงสัญญาอัจฉริยะหรือสคริปต์ที่เป็นอันตรายซึ่งมีจุดประสงค์เพื่อขโมยเงินจากกระเป๋าเงินดิจิทัลหรือบัญชี crypto ของผู้ใช้โดยฉ้อโกง การโจมตีประเภทนี้มักเกิดขึ้นเมื่อผู้ใช้โต้ตอบกับแอปพลิเคชันหรือเว็บไซต์กระจายอำนาจปลอมหรือที่ถูกบุกรุก ผู้ใช้อาจอนุญาตสัญญาที่เป็นอันตรายเพื่อควบคุมเงินทุนของตนโดยไม่รู้ตัว
พื้นหลัง:
Inferno Drainer หนึ่งในเครื่องมือหลอกลวง crypto wallet ที่ได้รับความนิยมมากที่สุดคือแพลตฟอร์ม Phishing-as-a-Service (PaaS) ที่ให้เครื่องมือฟิชชิ่งที่พร้อมใช้งานแก่นักหลอกลวง โดยผ่านแพลตฟอร์มเหล่านี้ ผู้โจมตีสามารถสร้างได้อย่างง่ายดาย เว็บไซต์ฟิชชิ่งที่ปลอมตัวเป็นแอปพลิเคชันกระจายอำนาจที่ถูกต้องตามกฎหมาย (dApps) เพื่อขโมยสินทรัพย์ crypto ของผู้ใช้ ตามข้อมูลจากบริษัทรักษาความปลอดภัย Web3 Blockaid ณ เดือนกรกฎาคม 2024 จำนวน DApps ที่ใช้ Inferno Drainer เพิ่มขึ้นเป็น 40,000 จำนวน DApps ที่เป็นอันตรายใหม่ที่ใช้เครื่องมือนี้เพิ่มขึ้นสามเท่า โดยมีการใช้งานเพิ่มขึ้น 300%
วิธีการดำเนินการ:
แก๊งนี้ส่งเสริมบริการผ่านช่องทาง Telegram และดำเนินการในรูปแบบ การฉ้อโกงตามบริการ ซึ่งนักพัฒนาซอฟต์แวร์จัดทำเว็บไซต์ฟิชชิ่งแก่ผู้ฉ้อโกงเพื่อช่วยพวกเขาดำเนินกิจกรรมฉ้อโกง เมื่อเหยื่อสแกนโค้ด QR บนเว็บไซต์ฟิชชิ่งและเชื่อมต่อกระเป๋าเงินของพวกเขา Inferno Drainer จะตรวจสอบและค้นหาทรัพย์สินที่มีค่าที่สุดและสามารถโอนได้ง่ายที่สุดในกระเป๋าเงินโดยอัตโนมัติ และเริ่มธุรกรรมที่เป็นอันตราย เมื่อเหยื่อยืนยันการทำธุรกรรม ทรัพย์สินจะถูกโอนไปยังบัญชีของอาชญากร ทรัพย์สินที่ถูกขโมยไปนั้น 20% จะถูกแจกจ่ายให้กับผู้พัฒนา Inferno Drainer ในขณะที่อีก 80% ที่เหลือจะเป็นของผู้ฉ้อโกง
พวกเขากำหนดเป้าหมายผู้ใช้และแพลตฟอร์มที่เกี่ยวข้องกับสกุลเงินดิจิทัลเป็นหลัก เช่น แอปพลิเคชันทางการเงินแบบกระจายอำนาจ (DeFi), ตลาด NFT, กระเป๋าเงินดิจิทัล เป็นต้น เทคนิควิศวกรรมสังคม เช่น ประกาศปลอมอย่างเป็นทางการหรือแคมเปญส่งทางอากาศ ใช้เพื่อชักจูงผู้ใช้ให้อนุญาตการเข้าถึงกระเป๋าเงินของตนโดยแกล้งทำเป็นแอปพลิเคชันหรือบริการที่ถูกต้องตามกฎหมาย ซึ่งจะเป็นขโมยเงิน การเกิดขึ้นของเครื่องมือนี้ได้ลดเกณฑ์ในการดำเนินการฉ้อโกงทางออนไลน์ลงอย่างมาก ส่งผลให้มีกิจกรรมการฉ้อโกงที่เกี่ยวข้องเพิ่มขึ้น
รายการกรณี:
การโจมตีแบบฟิชชิ่ง OpenSea
แฮกเกอร์ใช้แพลตฟอร์ม Inferno Drainer เพื่อทำการโจมตีแบบฟิชชิ่งต่อผู้ใช้ OpenSea OpenSea เป็นตลาด NFT ที่ได้รับความนิยม โดยมีผู้ใช้จำนวนมากที่มีกระเป๋าเงินดิจิทัลเชื่อมโยงกับบัญชีของตน ผู้โจมตีสร้างหน้าฟิชชิ่งปลอมตัวเป็นเว็บไซต์ OpenSea และดึงดูดผู้ใช้ผ่านอีเมลและโฆษณาโซเชียลมีเดีย เมื่อผู้ใช้เชื่อมต่อกระเป๋าเงินในหน้านี้และอนุญาตการทำธุรกรรม Inferno Drainer จะเริ่มธุรกรรมที่เป็นอันตรายโดยอัตโนมัติและถ่ายโอน NFT และสกุลเงินดิจิทัลในกระเป๋าเงินของผู้ใช้ไปยังที่อยู่ที่ควบคุมโดยแฮ็กเกอร์ การโจมตีดังกล่าวส่งผลให้ผู้ใช้หลายสิบรายสูญเสีย NFT อันมีค่าและ Ethereum จำนวนมาก โดยสูญเสียรวมมูลค่าหลายล้านดอลลาร์
การโจมตีแบบฟิชชิ่ง Uniswap
Uniswap เป็นหนึ่งในการแลกเปลี่ยนแบบกระจายอำนาจที่ได้รับความนิยมมากที่สุดในพื้นที่การเงินแบบกระจายอำนาจ (DeFi) Inferno Drainer ใช้ในการโจมตีแบบฟิชชิ่งที่ปลอมตัวเป็น Uniswap ผู้โจมตีสร้างเว็บไซต์ Uniswap ปลอมและแนะนำให้ผู้ใช้เยี่ยมชมเว็บไซต์ผ่านโฆษณา Google ลิงก์โซเชียลมีเดีย ฯลฯ หลังจากที่เหยื่ออนุญาตสัญญาที่เป็นอันตรายบนเว็บไซต์ Inferno Drainer จะสแกนบัญชีของพวกเขาอย่างรวดเร็วและเริ่มธุรกรรมเพื่อโอนโทเค็น เพื่อขโมยทรัพย์สินของผู้ใช้ ผู้ใช้หลายคนสูญเสียโทเค็นและเหรียญ stablecoin จำนวนมากในการโจมตีครั้งนี้ โดยมีมูลค่ารวมตั้งแต่หลายแสนถึงล้านดอลลาร์
วิธีการโจมตีที่กลุ่มแฮ็กเกอร์ใช้กันทั่วไปนั้นคล้ายคลึงกัน
ฟิชชิ่ง
แฮกเกอร์แสร้งทำเป็นสถาบันหรือบุคคลที่น่าเชื่อถือ และหลอกให้เหยื่อคลิกลิงก์ที่เป็นอันตรายหรือปล่อยคีย์ส่วนตัวเพื่อรับสินทรัพย์เข้ารหัสลับของพวกเขา ตัวอย่างเช่น Lazarus Group ประสบความสำเร็จในการขโมยเงินจำนวนมหาศาลจากการแลกเปลี่ยนสกุลเงินดิจิทัลโดยการปลอมแปลงข้อมูลประจำตัวของเจ้าหน้าที่ของรัฐและการโจมตีแบบฟิชชิ่งที่แม่นยำ
มัลแวร์
แฮกเกอร์ใช้มัลแวร์เพื่อแพร่เชื้อไปยังอุปกรณ์ของเหยื่อเพื่อขโมยรหัสผ่านหรือควบคุมอุปกรณ์จากระยะไกล FIN 6 มักใช้มัลแวร์ที่กำหนดเองเพื่อกำหนดเป้าหมายสถาบันการเงินและการแลกเปลี่ยนสกุลเงินดิจิทัลโดยเฉพาะ
การใช้ประโยชน์จากช่องโหว่ของสัญญาอัจฉริยะ
แฮกเกอร์ถ่ายโอนหรือขโมยเงินอย่างผิดกฎหมายโดยการระบุและใช้ประโยชน์จากช่องโหว่ในสัญญาอัจฉริยะ เนื่องจากรหัสของสัญญาอัจฉริยะไม่สามารถเปลี่ยนแปลงได้เมื่อมีการปรับใช้บนบล็อกเชน อันตรายจากช่องโหว่จึงอาจร้ายแรงอย่างยิ่ง
โจมตี 51%
ด้วยการควบคุมพลังการประมวลผลมากกว่า 50% ในเครือข่ายบล็อคเชน แฮกเกอร์สามารถทำการโจมตีแบบใช้จ่ายสองครั้งหรือยุ่งเกี่ยวกับบันทึกธุรกรรม การโจมตีดังกล่าวมุ่งเป้าไปที่เครือข่ายบล็อคเชนขนาดเล็กหรือเครือข่ายที่เกิดขึ้นใหม่ ซึ่งมีแนวโน้มที่จะถูกจัดการที่เป็นอันตรายเนื่องจากพลังการประมวลผลค่อนข้างเข้มข้น
มาตรการป้องกันสำหรับลูกค้าบุคคล
เสริมสร้างความตระหนักด้านความปลอดภัย
ระมัดระวังเสมอและอย่าคลิกลิงก์ที่ไม่คุ้นเคยหรือดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่รู้จัก โดยเฉพาะอย่างยิ่งเมื่อต้องรับมือกับสกุลเงินดิจิทัล จำเป็นต้องมีความระมัดระวังเพื่อหลีกเลี่ยงการตกหลุมพราง
เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย
เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA) ในบัญชีสกุลเงินดิจิตอลทั้งหมดเพื่อเพิ่มระดับความปลอดภัยเพิ่มเติมให้กับบัญชีของคุณและป้องกันการเข้าสู่ระบบโดยไม่ได้รับอนุญาต
ใช้กระเป๋าสตางค์ฮาร์ดแวร์
จัดเก็บ cryptocurrencies ส่วนใหญ่ของคุณไว้ในกระเป๋าสตางค์ของฮาร์ดแวร์ แทนที่จะเก็บในกระเป๋าสตางค์หรือการแลกเปลี่ยนออนไลน์ วิธีการจัดเก็บข้อมูลแบบออฟไลน์นี้สามารถลดความเสี่ยงของการโจมตีระยะไกลโดยแฮกเกอร์ได้อย่างมีประสิทธิภาพ
ตรวจสอบสัญญาอัจฉริยะ
ก่อนที่จะโต้ตอบกับสัญญาอัจฉริยะ พยายามทำความเข้าใจรหัสสัญญาหรือเลือกสัญญาที่ได้รับการตรวจสอบอย่างมืออาชีพเพื่อหลีกเลี่ยงการโต้ตอบกับสัญญาอัจฉริยะที่ไม่ผ่านการตรวจสอบ และลดความเสี่ยงที่จะถูกขโมยกองทุน
อัพเดตอุปกรณ์และซอฟต์แวร์อย่างสม่ำเสมอ
ตรวจสอบให้แน่ใจว่าอุปกรณ์และซอฟต์แวร์ที่เกี่ยวข้องทั้งหมดที่ใช้นั้นทันสมัยด้วยการอัปเดตความปลอดภัยเป็นประจำ เพื่อป้องกันการโจมตีเนื่องจากช่องโหว่เก่า
บทสรุป
ในด้านบล็อกเชน การรักษาความปลอดภัยถือเป็นประเด็นสำคัญมาโดยตลอด การทำความเข้าใจและระบุกลุ่มแฮ็ก เครื่องมือ และวิธีการที่รู้จักกันดี รวมกับข้อควรระวังส่วนบุคคลที่มีประสิทธิผล สามารถลดความเสี่ยงในการตกเป็นเป้าหมายได้อย่างมาก ด้วยการพัฒนาเทคโนโลยีอย่างต่อเนื่อง วิธีการแฮ็กก็กำลังอัปเกรดเช่นกัน ทีมรักษาความปลอดภัยของ Chainsource แนะนำว่าผู้ใช้จำเป็นต้องปรับปรุงการรับรู้ด้านความปลอดภัยอย่างต่อเนื่องและระมัดระวังตลอดเวลาเพื่อที่จะคงอยู่ยงคงกระพันในยุคดิจิทัลที่เปลี่ยนแปลงอย่างรวดเร็วนี้
Chainyuan Technology เป็นบริษัทที่มุ่งเน้นด้านความปลอดภัยบล็อกเชน งานหลักของเราประกอบด้วยการวิจัยด้านความปลอดภัยบล็อคเชน การวิเคราะห์ข้อมูลออนไลน์ และการช่วยเหลือช่องโหว่ด้านสินทรัพย์และสัญญา และเรายังกู้คืนสินทรัพย์ดิจิทัลที่ถูกขโมยจำนวนมากสำหรับบุคคลและสถาบันได้สำเร็จ ในเวลาเดียวกัน เรามุ่งมั่นที่จะจัดทำรายงานการวิเคราะห์ความปลอดภัยของโครงการ การตรวจสอบย้อนกลับแบบออนไลน์ และบริการให้คำปรึกษา/สนับสนุนทางเทคนิคแก่องค์กรอุตสาหกรรม
ขอบคุณสำหรับการอ่าน เราจะมุ่งเน้นและแบ่งปันเนื้อหาความปลอดภัยของบล็อคเชนต่อไป
