14億ドル盗難事件の裏側：ハッカーデベロッパーのパソコンが“摘発”、内部運用の詳細が初公開

【コイン界】サイバーセキュリティ企業Hudson Rockが最近、なかなか興味深いことをやってのけました——悪意のあるソフトウェアのログを分析していた際、偶然にも大スクープを掴んだのです。

話はこうです。研究者たちがLummaC2インフォスティーラーの記録を調べていたところ、感染したパソコンの1台がどうも普通ではないと気付きました。この端末の持ち主、もしかすると北朝鮮の公式ハッカー集団のためにマルウェアを書いているプログラマーだった可能性が高いのです。さらに驚くべきことに、このマシンは今年2月に某大手取引所から14億ドルが盗まれた事件の攻撃インフラ構築にも使われていました。

さらに調査を進めると、このパソコンに保存されていたログイン情報が、攻撃前に登録された偽取引所のドメインと一致することが判明しました。ハードウェアにもかなり投資しており、Visual StudioやEnigma Protectorといったプロ向け開発ツールに加え、Astrill VPN、Slack、Telegramなどの通信ソフトも一通りそろっています。

ブラウザの履歴からは、攻撃者がフィッシングを仕掛けるためにわざわざドメインを購入し、偽のZoomインストーラーを餌として用意していたことが分かります。今回の露呈は、こうした国家レベルのハッカーチームが内部でどのようにリソースを共有し、協力して犯行に及んでいるのかを外部に見せる貴重な例となりました。あの巨額窃盗事件の背後には、明確に役割分担されたプロのチームが動いていたことがほぼ確実と言えるでしょう。