비트멕스, 북한 라자루스 그룹 해킹 인프라 취약점 발견하며 중국 지악싱 IP 주소 노출 확인

비트멕스 보안팀이 일련의 주요 암호화폐 해킹을 담당한 북한 국가 후원 사이버범죄 네트워크인 라자루스 그룹 내 중대한 운영상 취약점을 폭로했으며, 해커가 작업 중 실제 IP 주소를 노출한 것으로 보이는 중국 지악싱 위치를 특정했다.

1일(현지시간) 크립토뉴스에 따르면, 비트멕스(BitMEX) 보안팀이 일련의 주요 암호화폐 해킹을 담당한 북한 국가 후원 사이버범죄 네트워크인 라자루스 그룹(Lazarus Group) 내 중대한 운영상 취약점을 폭로했다.

최근 대응 작전 조사에서 비트멕스 연구진은 그룹 인프라의 일부를 드러낸 기술적 실수들을 확인했다.

발견 사항 중에는 노출된 IP 주소, 접근 가능한 데이터베이스, 그룹이 캠페인에서 사용한 추적 알고리즘 등이 있었다.

주요 발견 중 하나는 해커가 작업 중 실제 IP 주소를 노출한 것으로 보이며, 중국 지악싱(Jiaxing)의 위치를 특정했다는 것이다. 이는 고도로 비밀스러운 그룹에게는 드문 실수다.

연구진들은 또한 공격자들이 사용한 수파베이스(Supabase) 데이터베이스 인스턴스에 접근했다.

수파베이스는 데이터베이스 배포를 단순화하는 플랫폼이며, 라자루스의 이 사용은 그룹의 진화하는 운영 도구를 강조한다.

비트멕스의 보고서는 그룹 내부 구조의 증가하는 분열을 강조한다.

보고서는 사용자를 속여 멀웨어를 다운로드하게 만드는 낮은 기술의 사회공학 팀과 정교한 익스플로잇을 만드는 더 고급 개발자들 사이의 "비대칭성"을 언급한다.

분열은 라자루스가 다양한 역량을 가진 하위 그룹으로 쪼개졌음을 시사한다.

일부 세포들은 기본적인 사회공학에 의존하는 반면, 다른 세포들은 블록체인과 기술 부문을 대상으로 하는 복잡한 기술적 공격을 배치한다.

이 발견들은 북한 연계 사이버 활동의 더 광범위한 급증 가운데 나왔다. 글로벌 법 집행 기관들은 그룹의 운영을 계속 조사하고 있다.

2024년 9월 연방수사국(FBI)은 가짜 구인 제안을 사용해 암호화폐 사용자를 유인하는 피싱 사기에 대해 경고했다.

그 경고는 나중에 라자루스를 금융 안정성에 대한 위협으로 규정한 일본, 한국, 미국 관리들에 의해 반향되었다.

이제 국제적 우려가 커지고 있다. 블룸버그 보고서는 세계 지도자들이 다가오는 G7 정상회의에서 라자루스 위협을 다루며 그룹 활동으로부터의 피해를 완화하기 위한 조정된 전략을 탐구할 수 있다고 시사한다.

라자루스가 암호화폐 위협 환경에서 활발한 세력으로 남아있는 가운데, 비트멕스의 발견은 그룹의 운영상 취약점과 방해할 수 있는 잠재적 경로에 대한 새로운 통찰을 제공한다.

G7 지도자들은 다음 달 캐나다에서 열릴 정상회의에서 북한의 확대되는 사이버 공격과 암호화폐 절도를 다룰 것으로 예상된다.

글로벌 갈등이 의제에서 여전히 높은 순위에 있는 가운데, 무기 프로그램의 핵심 자금원으로 여겨지는 평양의 사이버 작전은 조정된 행동을 추구하는 회원국들로부터 긴급한 관심을 끌고 있다.

북한의 가장 악명 높은 해킹 집단인 라자루스 그룹은 2월 거래소 바이비트(Bybit)에서 14억 달러라는 기록적인 절도를 포함한 일련의 주요 암호화폐 절도 배후에 있는 것으로 여겨진다.

체이널리시스(Chainalysis)는 북한 연계 행위자들이 2024년에만 47건의 별도 사건에서 13억 달러 이상을 훔쳤다고 주장했다.

외부 해킹을 넘어서 북한 정권은 내부에서 암호화폐 기업에 침투하기 위해 불량 IT 작업자들을 고용한다. 이는 미국, 일본, 한국의 공동 경고에서 지적된 전술이다.

북한의 사이버 전략은 계속 진화하고 있다. 4월에는 라자루스 연계 작전원들이 암호화폐 개발자들에게 멀웨어를 배포하기 위해 미국 기반 페이퍼 컴퍼니들을 설립한 것으로 보고되었다.

크라켄(Kraken)은 최근 구직 후보자로 가장한 북한인으로 의심되는 침투 시도를 저지했다.