Driftの暗号資産プラットフォームは、今週、北朝鮮のハッカーによる数か月にわたる大規模な作戦の詳細な事後分析を公表しました。この作戦は280百万ドルを超える盗難で終わりました。
Driftの関係者は述べたように、この作戦は6か月前に暗号資産カンファレンスで量的取引に焦点を当てることを標榜する企業のメンバーによってアプローチされたときに始まりました。この企業は事後分析では名前が明かされていませんが、AppleJeusまたはCitrine Sleetとしても追跡されている北朝鮮の国家関連グループであるUNC4736に関連しています。
Driftのワーカーにアプローチした人物たちは技術的に精通していて、Driftについての深い知識を持ち、「検証可能な職務経歴」を持っていました。Driftは調査により、北朝鮮の関係者が「その後の6か月間にわたって複数の国の複数の主要業界カンファレンスで」Driftの貢献者を探していたことが明らかになったと述べました。
Driftによると、対面で会った個人たちは北朝鮮人ではありませんでした。その国の政府は対面での関係構築を行うために仲介者を使用したと言われています。
「調査はこれまでのところ、この第三者ターゲット作戦で使用されたプロフィールが、雇用履歴、公開されている認証情報、および職業ネットワークを含む完全に構築されたアイデンティティを持っていたことを示しています」とDriftは述べました。
「Driftの貢献者が対面で会った人物たちは、ビジネスまたはカウンターパーティの関係中に精査に耐えることができる、個人的および職業的なプロフィールを構築するのに何ヶ月も費やしたようです。」
Driftの関係者は、疑惑の量的取引企業との最初の会議の後にTelegramグループを作成し、取引戦略と潜在的なボルト統合に関する数か月の会話を行いました。彼らは、これが取引企業がDriftとどのように相互作用し、オンボーディングするかの典型的な方法であると述べました。
Driftは2025年12月と2026年1月に公式にその企業をオンボーディングし、複数の疑惑の貢献者に関与し、彼らの戦略の詳細を説明する複数のフォームに記入することを強制しました。その企業はDriftに自らの資本100万ドルを預けました。
「統合に関する会話は2026年2月と3月を通じて続きました。様々なDriftの貢献者は、複数の主要業界カンファレンスで、再び対面でこのグループの個人たちに会いました」とDriftは説明しました。
「この時点で、関係はほぼ半年経過していました。これらは見知らぬ人ではなく、Driftの貢献者が働いて対面で会った人物たちでした。」
両者は構築していると主張するプロジェクトおよび他のアプリに関する情報を共有し続けました。4月1日に280百万ドルの盗難が実行されるまでのことです。すべての影響を受けたデバイスのDriftの初期レビューは、この取引グループとの相互作用に戻りました。
重要な証拠の1つは、エクスプロイトが実行された後、取引企業がDriftとの全体のTelegramチャットをスクラブしたことです。
調査は、複数の潜在的な攻撃ベクトルを明らかにしました。貢献者は、取引企業によって共有されたコードリポジトリをコピーした後に侵害された可能性があります。別の貢献者は、取引企業によって悪意がある可能性があるTestFlightアプリケーションをダウンロードするよう促されました。Driftは潜在的な侵入ベクトルの長いテクニカルブレークダウンを共有しました。
Driftは、調査について法執行機関とサイバーセキュリティ企業Mandiantと協力していると述べました。
Driftのすべての機能がフリーズされ、攻撃者のウォレットは複数の交換所とブリッジオペレーターでフラグが立てられました。
「スパイ小説のようだ」
調査官は、盗まれた資金が送金された場所と操作中に使用されたペルソナの重複に基づいて、Drift攻撃をクリプト企業Radiant Capitalから2024年10月に盗まれた500万ドルに関連付けました。
北朝鮮のサイバー作戦の専門家であるMichael Barnhartは、Recorded Future Newsに対して、Drift事件は収益を生み出すための他の複数のピョンヤン主導の計画と絡み合っていると述べました。
Mandiantの調査チームで何年も働き、現在DTEXで国家脅威インテリジェンスを主導しているBarnhartは、Drift調査に関与していた何人かの人物がいると述べました。
「この状況では、3人の個人が騙されましたが、その1人はやや悪意があるようです。彼らはカットアウトと3人のフロントガイを持っていましたが、これをそんなに興味深くしているのは、通常、彼らはフロントマン(仲介者、ノートパソコンの農民、分析を行う人)など、仲介者が行う典型的なことを持っているということです」とBarnhartは述べました。
「Drift調査に近い私たちの接触に基づいて、彼らは、3人のうち2人が何に巻き込まれているのか気づきませんでした。3人のうち1人は、その後Telegramアカウントをワイプしたという事実のため、故意に[Drift]に悪意のあるコードを感染させた可能性があります。これは彼が何をしているのか知っていたことを示していますが、他の2人は無自覚な参加者のようでした。」
Barnhartは事件が「すべての人にとってショッキング」であると述べましたが、スタンドインとカットアウトの使用は、以前のいくつかの北朝鮮の操作に沿っています。
Barnhartは、Drift操作を北朝鮮の指導者金正恩の兄である金正男の2017年の暗殺と比較しました。2人の女性は悪戯ショーに参加していると思い込まされ、正男の顔に液体を噴霧することに同意しました。液体はVX神経剤であり、約30分後に彼を殺しました。
「私たちはカットアウトを見てきましたが、北朝鮮は歴史的に彼らのプロキシに彼ら自身の脂っこい仕事をさせていたので、この程度のカットアウトは見たことがありません」と彼は述べました。
Barnhartは、北朝鮮がそのような計画に更に精通するようになり、しばしばアメリカ人および他の同盟国を長期にわたるITワーカー計画に参加させるようにだまし込んでいると指摘しました。
帰属の観点から、Barnhartは、AppleJeusは北朝鮮のAPT38から生まれ、バングラデシュの中央銀行からの見出しを特徴とする盗難後に2つの独立した派閥に分かれたと述べました。
米国関係者、Microsoft、およびGoogleは、AppleJeusによって実行された攻撃の長期間にわたる警告があり、いくつかの事件をその操作に帰属させてきました。2023年のエンタープライズ電話会社3CXへのサプライチェーン攻撃もまた、同じグループに帰属させられました。
司法省とFBIは2021年に北朝鮮は少なくとも2018年から正当な暗号資産取引プラットフォームをホストしているように見えるウェブサイトを使用して被害者をAppleJeusマルウェアで感染させたと述べました。
GoogleのThreat Analysis Groupは、2022年にOperation AppleJeusに関する報告書を公表しました。これは、暗号資産およびフィンテック業界の85人以上のユーザーをターゲットにするために同じエクスプロイトキットが使用されたことを含みました。
2024年、Microsoftは、AppleJeusの彼らの名前であるCitrine Sleetが、Chromiumブラウザに影響を与えるゼロデイで暗号資産業界をターゲットにしているのを見たと述べました。
FBIは、北朝鮮が暗号資産業界をターゲットにすることを通じて数十億ドルを稼いでいると繰り返し述べており、場合によっては盗まれたお金を弾道兵器プログラムに資金を供給するために使用しています。北朝鮮のグループは昨年暗号資産企業から20億ドルを超える金額を盗み、2017年から2023年の間の攻撃から30億ドルを獲得しました。国連の調査官によると。
しかし、他の操作とは異なり、Barnhartはそれがそのような長い詐欺であったため、Drift操作を「すべての状況の最も洗練されたもの」と呼びました。
「Drift事件が私たちが見ている規模の事実は本当に興味深いです」とBarnhartは述べました。「なぜなら、つまり、それはスパイ小説のように読まれているからです。」
翻訳元: https://therecord.media/drift-crypto-theft-post-mortem-north-korea
