- 10月に起こったラジアント・キャピタルのハッキング事件は、おそらく北朝鮮によって仕組まれたものと考えられています。
- ハッカーたちは、自分たちを元請負業者と偽ってマルウェアを送り込み、アクセス権を盗み取った。
- 「その同じグループは、暗号通貨に関連した他の攻撃にも関与していると疑われている。」
DeFiプロトコルのラジアント・キャピタルは、10月に被った5000万ドル(約75億円、1ドル=150円換算)の損失が北朝鮮のハッカーによるものであると主張している。
12月6日に公表されたレポートによると、攻撃者は9月中旬から攻撃の準備を始め、10月16日に信頼されている元請業者をかたる人物からのテレグラムメッセージが、ラジアントの開発者に送信されたとされています。
そのメッセージには、元請業者がスマートコントラクト監査に関する新しいキャリアの機会を模索しており、フィードバックを求めていると記されていました。また、zip形式で圧縮されたPDFファイルへのリンクが含まれており、開発者はそのファイルを開いて他の同僚と共有しました。
「報告書によると、このメッセージは、北朝鮮と結託した脅威をもたらす者になりすましている元請負業者によって送信された可能性があるとされています。ファイルには、「NLETDRIFT」という名前のマルウェアが含まれており、ユーザーに正規のPDFファイルを表示させつつ、macOSに恒久的なバックドアを設置していたということです。」
ラジアントは、従来のチェックやシミュレーションによっては明らかな矛盾が見つからなかったと述べ、通常のレビューではこの脅威をほぼ発見できないと指摘しました。
ハッカーは、コンピューターへのアクセスを通じて、複数の暗号鍵を管理下に置くことができた。
「北朝鮮との関わりについては、まだ調査中ですが、サイバーセキュリティ企業マンディアント(Mandiant)によって特定されたとされています。マンディアントによれば、この攻撃は北朝鮮の偵察総局(RGB)と関係のあるUNC4736というグループによって実行されたと考えられています。このグループは、AppleJeusやCitrine Sleetとしても知られています。」
この集団は、仮想通貨関連企業を狙った他の攻撃にも関与していることが確認されています。かつては、偽の仮想通貨取引サイトを利用して、求人情報や偽のウォレットへのリンクを通じて悪意のあるソフトウェアをダウンロードさせる手法で攻撃を仕掛けていました。
この事件は、1月に発生したラジアント・キャピタルへの別のハッキング事件に続くものです。その際、ラジアントは450万ドル(約6億7500万円)の損失を被りました。
「Radiant Capitalが、10月に5000万ドルの攻撃を行ったのは、北朝鮮のハッカーだと述べる」
