- 10月に発生したラジアント・キャピタルのハッキング事件は、おそらく北朝鮮が背後にいるものと思われる。
- ハッカーたちは、元請負業者になりすましてマルウェアを送り込み、アクセス権限を盗んだ。
- 同じグループは、暗号資産に焦点を当てた他の攻撃にも関与しているとされている。
DeFiプロトコルのラジアント・キャピタル(Radiant Capital)は、10月に受けた5000万ドル(約75億円、1ドル=150円換算)の被害を北朝鮮のハッカーによるものだと主張している。
12月6日に発表された報告書によると、攻撃者は9月中旬に攻撃に向けた準備を開始し、10月16日に信頼されている元請負業者を装った人物からのテレグラムメッセージがラジアントの開発者に送信された。
そのメッセージには、その元請負業者がスマートコントラクト監査に関連する新たなキャリアの機会を追求しており、フィードバックを求めていると書かれていた。また、zip形式で圧縮されたPDFファイルへのリンクが含まれており、開発者はそのファイルを開き、他の同僚と共有した。
報告書によると、このメッセージは、元請負業者を装った「北朝鮮と連携した脅威をもたらす者」から送られたと見られる。ファイルには、「NLETDRIFT」と呼ばれるマルウェアが含まれており、ユーザーに正当なPDFファイルを表示しながら、macOSに永続的なバックドアを設置した。
ラジアントは、従来のチェックとシミュレーションでは明らかな不整合は見つからなかったと述べ、通常のレビューでは、この脅威は事実上発見できないと指摘した。
ハッカーは、コンピューターへのアクセスを通じて、複数の秘密鍵を制御下に置くことができた。
北朝鮮との関連性は、調査がまだ完了していないものの、サイバーセキュリティ企業マンディアント(Mandiant)によって特定された。マンディアントは、この攻撃は北朝鮮の偵察総局(RGB)とつながりのあるグループであるUNC4736によって計画されたと見ていると述べた。このグループは、AppleJeusまたはCitrine Sleetとも呼ばれている。
このグループは、暗号資産(仮想通貨)関連企業を標的とした他の複数の攻撃にも関与していることがわかっている。以前にも、偽の暗号資産取引ウェブサイトを使用して、求人情報や偽のウォレットへのリンクを通じて悪意のあるソフトウェアをダウンロードさせる手口で攻撃を行っていた。
この事件は、1月にラジアント・キャピタルに対する別のハッキング事件に続くものだ。ラジアントはこのとき、450万ドル(約6億7500万円)の損失を被った。
|翻訳:CoinDesk JAPAN
|編集:井上俊彦
|画像:Shutterstock
|原文:Radiant Capital Says North Korean Hackers Behind $50 Million Attack in October
