米司法省が提出した押収令状によれば、グーグル傘下のサイバーセキュリティ企業Mandiant(マンディアント)による調査で、ラザルスの犯行の手口が明らかになった。ハッカーらは、Rainの従業員に転職のオファーを装ってLinkedIn経由でメッセージを送り、接近したという。
従業員がこのオファーに興味を示すと、北朝鮮のハッカーはその従業員のプログラミングの知識を試すための課題をダウンロードするリンクを送付した。そのリンクには、ハッカーが暗号資産のウォレットにアクセスするために必要な秘密鍵やパスワードを盗み出すための「TraderTraitor」と呼ばれるマルウェアが隠されていた。
FBIは、Rainと協力して盗まれた資金の行方を追跡した。その結果、リトアニアに拠点を置く取引所のWhiteBITにおいて、76万ドル(約1億1400万円)相当の暗号資産ソラナ(SOL)が洗浄されていたことが判明した。この資金はすでに凍結されており、FBIは押収の準備を進めている。
Rainは、リンクトインを介してラザルスグループに狙われた唯一の企業ではないという。押収令状によると、同グループは複数の偽装アカウントを駆使して、著名な企業の従業員にアプローチしている。彼らは通常、ターゲットと信頼関係を築いた後にWhatsAppやテレグラム、Slackなどのプラットフォームに誘導して会話を続け、マルウェアを送り込んでいる。
司法省によれば、ラザルスは2017年から2024年にかけて、暗号資産関連の企業やその他の被害者から、数億ドル相当の暗号資産を奪っていたという。報道によると、北朝鮮は盗んだ暗号資産の一部を核開発プログラムの資金源に用いているという。
(forbes.com 原文)
