ブロックチェーン・インテリジェンス企業TRM Labsによる新たなフォレンジック分析によれば、ロシアのサイバー犯罪者が、壊滅的だった2022年のLastPass侵害に関連する盗難暗号資産3,500万ドル超を資金洗浄したという。
2022年の攻撃では、世界中のおよそ3,000万人の顧客に属する暗号化されたパスワード保管庫(ボルト)が流出した。
保管庫は当初暗号化で保護されていたものの、これをダウンロードした攻撃者は、弱いマスターパスワードであればオフラインで解読でき、資産を盗むための複数年にわたる猶予期間が生まれた。
2024年から2025年にかけての新たな窃取の波では、侵害された認証情報が武器化され、特に暗号資産を保有するユーザーが標的となった。
TRMのanalysisでは、取引の痕跡を見えにくくする目的で設計された暗号資産ミキサー「Wasabi Wallet」を通じて、盗難ビットコイン約2,800万ドルを追跡し、同様の資金洗浄経路を通って移動する別の700万ドルも特定した。
盗難資金は最終的に、リスクの高いロシアの2つの取引所に集約された。Cryptex(2024年にOFACが制裁)とAudi6で、いずれも歴史的にサイバー犯罪活動との関連が指摘されている。
「攻撃者は一貫したオペレーション上の特徴を用いていた」とTRMの研究者は説明した。盗まれたビットコインの鍵は同一のウォレットソフトにインポートされ、識別可能な取引パターンが生じた。
ビットコイン以外の資産は、スワップサービスを介して迅速にビットコインへ変換された後、ミキシングサービスに入金された。これは理論上、犯罪者の身元を隠すはずの手法である。
しかしTRM独自の「デミキシング」技術により、ミキサーでは隠しきれないものが明らかになった。すなわち、ミキシング前後の活動を同一の実行者に結び付ける行動上の指紋である。
CoinJoinによる難読化にもかかわらず、研究者はクラスタリングのパターン、出金タイミング、ウォレット間の相互作用を特定し、協調したロシアのサイバー犯罪インフラを示す手掛かりを得た。
この調査結果は、2つの重要な示唆を強調している。第一に、脅威アクターが時間をかけて一貫したインフラを維持することで、ミキシングサービスの信頼性は低下しつつある。
第二に、ロシアの取引所は、国際的な取り締まり圧力にもかかわらず、違法資金の移転を数百万ドル規模で助長し続け、世界的なサイバー犯罪の体系的なイネーブラーとして機能している。
Wasabiでの初期の出金はウォレットからの流出後数日以内に発生しており、攻撃者が盗難鍵を他の犯罪者に転売したのではなく、自ら資金洗浄を主導したことを示唆している。
このオペレーションの継続性は、2022年の当初侵入の帰属をロシア拠点のアクターに求める見立てへの確信を強める。しかし、2022年の当初侵入の決定的な帰属は依然として確認されていない。
LastPassの事例は、単一の認証情報侵害が年単位で連鎖し、サイバー犯罪エコシステムが地理的な金融インフラを悪用して、盗まれたデータを大規模に収益化する様子を示している。
影響を受けた2,500万人のユーザーにとって脅威は依然として継続しており、侵害された認証情報が持続的で長期にわたるリスクであることを痛感させる。
翻訳元: https://gbhackers.com/hackers-steal-35m-in-cryptocurrency-following-lastpass-breach/
