北朝鮮ハッカー、メッセージングアプリを使って仮想通貨を狙う:カスペルスキー

サイバーセキュリティ企業のカスペルスキーは仮想通貨ユーザーに対して、北朝鮮ハッカーからの攻撃が増えると警告した。ハッカーは人気のメッセージアプリ、テレグラム(Telegram)を使い、マルウェアを送り込む「能力を高めて」いる。


ラザルスの手法を分析

モスクワを拠点とするカスペルスキー・ラボ(Kaspersky Labs)は、北朝鮮とつながりのあるサイバー犯罪集団ラザルス・グループ(Lazarus Group)のテクニックを分析、2018年に複数の仮想通貨取引所を攻撃したアップルジーザス(AppleJesus)以降、そのテクニックをいかに高めてきたのかを検証した。

1月8日(現地時間)に公表されたレポートでカスペルスキーは「同グループの攻撃手法には極めて大きな変化」があったと述べた。

あるケースは、偽の仮想通貨ウォレットのソフトウエアアップデータを装っていた。ダウンロードが完了すると、ユーザーデータをハッカーに送信し始めた。

別の例では、Mac用ソフトウエアにバックドアを作り、攻撃にさらされていることにまったく気付かれずにセキュリティメカニズムを通り抜けていた。

そして、どうやら新しい攻撃手法では、メッセージングアプリのテレグラムを使ってマルウェアを送り込むようだ。研究者は、複数の被害者のコンピューターは、被害者に気付かれずにハッカーに重要な情報を送信するマルウェアが組み込まれたソフトウエアをダウンロードしていたことを突き止めた。

こうした攻撃手法の多くは偽の仮想通貨企業から送られている。偽の仮想通貨企業はおそらく、ハッカーが設定したものだろう。最近検知された偽のウェブサイトは「スマート仮想通貨裁定取引プラットフォーム」だった。カスペルスキーの研究者は、こうしたウェブサイトは多くの場合、不完全で、リンク切れが数多く掲載されていることを明らかにした。ただし、訪問者をテレグラムに誘導するもの以外は。

カスペルスキーのレポート

仮想通貨企業を偽装

カスペルスキーは、ポーランド、ロシア、中国、イギリスの「複数の被害者」を特定することができたと述べた。そのほとんどは仮想通貨ビジネスに関わっていた。

しかしラザルス自体は謎のままだ。ハードディスクではなくコンピューターメモリにマルウェアを送り込むことで、ラザルスは多くの場合、検知されることを免れている。ラザルスは北朝鮮との関係を広く疑われているが、北朝鮮政権は繰り返し、関連を否定している。

仮想通貨企業のグループIB(Group-IB)は、ラザルスは2017年と2018年、6億ドル(約650億円)近くを盗み出したと推計している。ラザルスの攻撃は非常に巧みで、カスペルスキーの研究者はラザルスは今後も仮想通貨を盗み続けるだろうと確信している。

「仮想通貨企業に対するこの種の攻撃は今後も継続し、より洗練されたものになるだろう」と報告書は記した。

米財務省は2019年、ラザルス・グループをアメリカの制裁リストに加えた。これはラザルスと取引したすべての金融機関が制裁を受けることを意味する。

イーサリアム開発者のバージル・グリフィス(Virgil Griffith)氏は、北朝鮮で開催されたカンファレンスでスピーチを行ったことで起訴された。有罪なら、最高で20年の懲役となる。

翻訳:山口晶子
編集:増田隆幸
写真:Shuttershock
原文:North Korean Hackers Now Using Telegram to Steal Crypto: Kaspersky