ใน AMA ครั้งล่าสุด ฉันได้พูดคุยสั้นๆ กับหัวหน้าของ @benbybit เกี่ยวกับว่าการโจมตีนี้อาจเป็นการโจมตีเจาะขั้นสูงแบบ APT หรือไม่ แต่ไม่ได้สรุปอย่างชัดเจนว่าเป็นการโจมตีเจาะภายในหรือไม่ แต่หากผลการสอบสวนออกมาดังต่อไปนี้ ตามรายงานล่าสุดของ SlowMist องค์กรแฮกเกอร์จากเกาหลีเหนือ Lazarus Group ได้ทำการโจมตีเจาะระบบ APT ที่ซับซ้อนต่อระบบแลกเปลี่ยนได้อย่างไร? ด้านล่างนี้เป็นคำอธิบายง่ายๆ ของตรรกะ:
การโจมตีทางวิศวกรรมสังคม:
1) แฮกเกอร์จะติดต่อกับนักพัฒนาของบริษัทก่อนโดยแอบอ้างว่าเป็นเจ้าของโครงการ นักลงทุน พันธมิตรบุคคลที่สาม ฯลฯ (วิธีการทางวิศวกรรมสังคมประเภทนี้พบเห็นได้ทั่วไป)
2) ชักจูงพนักงานให้รันโปรแกรมที่เป็นอันตรายโดยใช้ข้ออ้างในการดีบักโค้ดหรือแนะนำการพัฒนาเครื่องมือทดสอบ โปรแกรมวิเคราะห์ตลาด ฯลฯ (เป็นไปได้ว่าถูกหลอกลวงหรือบิดเบือน)
3) หลังจากโปรแกรมที่เป็นอันตรายถูกแฮ็กแล้ว โปรแกรมดังกล่าวสามารถรับสิทธิ์ในการรันโค้ดจากระยะไกลได้ และชักจูงพนักงานเพื่อให้ได้รับสิทธิ์ที่เพิ่มขึ้นและการเจาะระบบจากทางด้านข้าง
กระบวนการเจาะระบบอินทราเน็ต:
1) ใช้โหนดอินทราเน็ตที่มีจุดบุกรุกเพียงจุดเดียวเพื่อสแกนระบบอินทราเน็ต ขโมยคีย์ SSH ของเซิร์ฟเวอร์คีย์ และใช้ความสัมพันธ์ความน่าเชื่อถือของรายการที่ขาวเพื่อเคลื่อนที่ในแนวนอน รับสิทธิ์การควบคุมเพิ่มเติม และขยายการครอบคลุมของโปรแกรมที่เป็นอันตราย
(คำถามคือ หากระบบแลกเปลี่ยนมีระบบป้องกันที่เข้มงวด ทำไมจึงไม่มีการเตือนถึงความผิดปกติตลอดกระบวนการเจาะระบบ SlowMist สรุปว่าได้ใช้โครงสร้างพื้นฐานภายในของบริษัทเพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์รักษาความปลอดภัยส่วนใหญ่ ดูเหมือนว่าระบบอินทราเน็ตยังคงต้องเสริมการเผชิญหน้าและป้องกันการเจาะระบบเพิ่มเติมอีกหรือไม่)
2) ผ่านการแทรกซึมของอินทราเน็ตอย่างต่อเนื่อง ในที่สุดก็ได้มาซึ่งเซิร์ฟเวอร์ที่เชื่อมโยงกับกระเป๋าสตางค์เป้าหมาย และโปรแกรมสัญญาอัจฉริยะด้านแบ็กเอนด์และส่วนหน้า UI ลายเซ็นหลายตัวจะถูกเปลี่ยนแปลงเพื่อให้เกิดการทดแทน
(ทั้ง front-end และ back-end ถูกแทรกแซง คำถามคือจะข้ามข้อมูลบันทึกของกระบวนการทั้งหมดได้อย่างไร นอกจากนี้ แฮกเกอร์ค้นหากระเป๋าเงินที่จะถูกเก็บรวบรวมเมื่อเร็ว ๆ นี้เพื่อดำเนินการโอนขนาดใหญ่ได้อย่างไรอย่างแม่นยำ มีข้อสงสัยมากมาย ส่วนนี้ทำให้ผู้คนสงสัยได้อย่างง่ายดายว่ามี "บุคคลภายใน" ที่ให้ความร่วมมือหรือไม่)
หลักการโจมตีแบบเจาะทะลวงอย่างต่อเนื่องขั้นสูงของ Lazarus APT เวอร์ชันยอดนิยม:
ลองนึกภาพกระเป๋าเงินเย็นสำหรับสกุลเงินดิจิทัลของศูนย์แลกเปลี่ยนเป็นห้องนิรภัยพิเศษที่ตั้งอยู่บนชั้นบนสุดของอาคารสำนักงานระดับพรีเมียม
ภายใต้สถานการณ์ปกติ ห้องนิรภัยนี้จะมีมาตรการรักษาความปลอดภัยที่เข้มงวด โดยมีหน้าจอแสดงผลเพื่อแสดงข้อมูลการโอนแต่ละครั้ง และในแต่ละการดำเนินการจะต้องมีผู้บริหารหลายคนอยู่พร้อมกัน และผู้บริหารต้องยืนยันข้อมูลบนหน้าจอร่วมกัน (เช่น "กำลังโอน ETH จำนวน XXX ไปยังที่อยู่ XX") การโอนจึงจะเสร็จสมบูรณ์ได้ก็ต่อเมื่อผู้บริหารทั้งหมดยืนยันว่าถูกต้องเท่านั้น
อย่างไรก็ตาม จากการโจมตีแบบแทรกซึมที่วางแผนอย่างรอบคอบ แฮกเกอร์ใช้กลวิธีทางวิศวกรรมสังคมเพื่อขโมย "บัตรเข้าอาคาร" (กล่าวคือ แฮ็คเข้าไปในคอมพิวเตอร์เครื่องแรก) ก่อน หลังจากเข้าไปในอาคารได้สำเร็จ เขาก็สามารถคัดลอก "กุญแจสำนักงาน" ของนักพัฒนาหลักได้ (เพื่อรับสิทธิ์ที่สำคัญ) ด้วย "กุญแจ" นี้ แฮกเกอร์สามารถแอบเข้าไปใน "สำนักงาน" ต่างๆ ได้มากขึ้น (เจาะระบบจากด้านข้างและควบคุมเซิร์ฟเวอร์ได้มากขึ้น)
ในที่สุดเราก็มาถึงระบบหลักที่ควบคุมตู้เซฟ แฮกเกอร์ไม่เพียงแต่เปลี่ยนโปรแกรมหน้าจอแสดงผล (แทรกแซงอินเทอร์เฟซ UI หลายลายเซ็น) แต่ยังแก้ไขโปรแกรมโอนภายในห้องนิรภัย (แทรกแซงสัญญาอัจฉริยะ) เมื่อผู้บริหารเห็นข้อมูลบนจอแสดงผล พวกเขาจะเห็นว่ามีข้อมูลปลอมที่ถูกแทรกแซง และเงินจริงถูกโอนไปยังที่อยู่ที่แฮกเกอร์ควบคุม
หมายเหตุ: ข้างต้นเป็นเพียงวิธีโจมตีแบบเจาะระบบ APT ทั่วไปที่กลุ่มแฮกเกอร์ Lazarus ใช้ ไม่มีรายงานการวิเคราะห์ขั้นสุดท้ายเกี่ยวกับเหตุการณ์ของ @Bybit_Official ดังนั้นรายงานนี้จึงเป็นเพียงข้อมูลอ้างอิงเท่านั้น และอย่าคิดมาก!
อย่างไรก็ตาม ฉันอยากจะเสนอแนะต่อหัวหน้า @benbybit ในท้ายที่สุด Safe เป็นวิธีการจัดการสินทรัพย์ที่เหมาะกับองค์กร DAO มากกว่า โดยจะสนใจเฉพาะการดำเนินการเรียกตามปกติเท่านั้น และไม่สนใจการตรวจสอบความถูกต้องตามกฎหมายของการโทร มีโซลูชันการจัดการระบบควบคุมภายในในพื้นที่ที่ดีกว่ามากมาย เช่น FireBlocks และ RigSec ในตลาด ซึ่งจะมีประสิทธิภาพสนับสนุนที่ดีกว่าในแง่ของการรักษาความปลอดภัยสินทรัพย์ การควบคุมการอนุญาต และการตรวจสอบการดำเนินงาน
ความคิดเห็นทั้งหมด