연방 당국, 2022년 LastPass 해킹과 사이버 강탈 연관성 확인

2023년 9월, LastPass 해킹 사건

• KrebsOnSecurity는 2023년 9월, LastPass의 마스터 비밀번호가 도난당해 여러 피해자에게 수십만 달러의 사이버 절도가 발생했다고 보도함.
• 미국 연방 수사관들은 2024년 1월 30일 발생한 1억 5천만 달러 규모의 암호화폐 절도 사건을 조사하며 같은 결론에 도달함.

암호화폐 절도 사건

• 2024년 3월 6일, 캘리포니아 북부의 연방 검찰은 1억 5천만 달러 규모의 사이버 절도 사건 이후 약 2천 4백만 달러 상당의 암호화폐를 회수했다고 발표함.
• 이 사건의 피해자는 Ripple의 공동 창립자인 Chris Larsen으로 추정됨.

연방 수사관의 조사 결과

• 미국 비밀경호국과 FBI는 LastPass 해킹 사건과 관련된 절도 사건에 대해 같은 결론을 내림.
• 도난된 데이터와 비밀번호가 피해자의 온라인 비밀번호 관리자 계정을 통해 불법적으로 접근되어 암호화폐와 기타 데이터를 탈취하는 데 사용되었음을 확인함.

공통된 피해자 특징

• 보안 연구원 Nick Bax와 Taylor Monahan은 피해자들이 이메일, 모바일 계정, SIM 스와핑 공격과 같은 전형적인 공격을 겪지 않았음을 발견함.
• 피해자들은 모두 LastPass 계정의 "Secure Notes"에 암호화폐 시드 구문을 저장했었음.

복잡한 절도 패턴

• 도난된 자금은 다양한 암호화폐 거래소의 여러 계정으로 빠르게 이동됨.
• 정부는 이러한 복잡한 절도 패턴이 여러 악의적인 행위자들의 협력에 의해 이루어졌다고 판단함.

LastPass의 반응

• LastPass는 연방 수사관이나 다른 출처로부터 절도 사건이 LastPass 해킹과 관련이 있다는 결정적인 증거를 보지 못했다고 주장함.
• 2022년 8월 LastPass는 소프트웨어 개발 환경에서 비정상적인 활동을 감지했으며, 일부 소스 코드와 기술 정보가 도난당했다고 발표함.
• 2022년 11월, LastPass는 암호화된 비밀번호 금고와 개인 정보가 해킹당했다고 고객에게 알림.

보안 전문가의 의견

• 많은 피해자들이 복잡성이 낮은 마스터 비밀번호를 사용했으며, 이는 LastPass의 오래된 고객일 가능성이 높음.
• LastPass는 새로운 사용자에게 더 복잡한 비밀번호를 요구했지만, 오래된 고객에게는 이를 적용하지 못한 것으로 보임.

보안 강화 필요성

• 연구원들은 LastPass가 고객에게 비밀번호 변경을 권장했어야 한다고 주장함.
• LastPass의 부정적인 반응에도 불구하고, 보안 연구원들은 더 많은 해킹을 방지하기 위해 추가적인 조치가 필요하다고 강조함.