金正恩说：网络战争能力是与核武器和导弹共同保障军队打击能力的尚方宝剑。


朝鲜黑客组织 Lazarus 是世界上最赚钱的加密货币黑客集团。

网络安全公司 Group-IB 在 10 月发布的《2018 年高科技网络犯罪趋势报告》显示，从 2017 年至 2018 年 9 月，全球有 14 起成功地针对加密货币交易中心的攻击事件，黑客总共盗走了 8.82 亿美元的加密货币，而这其中的 64.7% 被 Lazarus 一家拿走，价值 5.71 亿美元。不过，这还仅仅是 Lazarus 从交易所中「获得」的本不属于它的加密货币。







Lazarus 是谁？为何如此「成功」？


Lazarus 是世界上最著名的被证实隶属于国家政府的黑客组织，它为金正恩窃取其迫切需要的国外货币，是朝鲜最重要的外汇创收渠道之一。


来自侦察总局第 180 处的 Lazarus


逃到韩国的朝鲜前官员、互联网安全专家 Kim Heung-Kwang 称， Lazarus 属于军方管辖的朝鲜侦察总局第 180 处。第 180 处由金正恩在 2013 年一手创立，拥有约 500 名成员，主要任务是获得外汇以支持朝鲜政府的核武器与远程导弹研究。Lazarus 也常被业内人士称为隐藏的眼镜蛇。

与 180 处同样隶属于侦查总局的还有第 121 处，它是朝鲜最大的网络战机构，由金正日在 1998 年建立。该机构成员都是朝鲜本国在数学、计算机等领域的最尖端人才，所有人员均享有朝鲜最高层级的待遇，目前其总人数逾 1800 名。






网络作战在朝鲜的地位不断上升，已经成为仅次于全面战争和大规模杀伤性武器的威慑手段。这支黑客部队有两大目标，一是获取资金，二是获取情报，而在日益严峻的经济制裁下，金融犯罪正在成为他们最关键的「战场」。

创立之初便以获取经济利益为目的 Lazarus 在这一形势下脱颖而出，卡巴斯基安全实验室认为「Lazarus」的影响远非一般 APT 组织（Advanced Persistent Threat）所能及，其攻击目标遍及全球十余个国家的金融机构。

值得加密货币市场警惕的是，Lazarus 正在给予加密货币更多的关注，他们近期的攻击对象和攻击手段的升级方向显示出他们越来越热衷于窃取比特币和加密货币，这与加密货币本身的便利性有关，也与他们在这一领域屡屡得手有关。朝鲜寄希望于通过对加密货币市场的攻击来绕过国际金融制裁。


发现隐藏的眼镜蛇


Lazarus 这条隐藏的眼镜蛇与朝鲜政府的关联、与加密货币被窃案的关联最初是如何被发现的？这要从一部电影说起。

2014 年，索尼影业推出一部名为《刺杀金正恩》（《The Interview》）的喜剧片，讲述了由付兰兰（弗兰科）扮演的美国脱口秀主持人去朝鲜采访和刺杀金正恩的故事。老实讲这部电影中的金正恩有几分可爱，是一个听凯蒂·佩里的《Firework》会动情到掉眼泪的人，就像歌里唱的那样，他说自己「like a plastic bag, drifting through the wind」。






但仅仅是影片名就足以冒犯到现实世界的金正恩。该片上映前一个自称和平护卫队（GoP，Guardians of Peace）的黑客组织攻击了索尼影业，成功窃取了约 11TB 的敏感数据，这其中不仅包括大量的还未发行的影片资料，还包括高管间的秘密邮件和员工的隐私信息，而他们提出的要求是让索尼「放弃上映破坏地区安全和世界和平的恐怖主义影片」。

毋庸置疑，和平护卫队来自朝鲜，正是和平护卫队与 Lazarus 黑客组织间关系的暴露，让各安全机构确定 Lazarus 隶属于朝鲜。事情发生在 2016 年。

2016 年 2 月 4 日，孟加拉国央行陷入一片混乱，因为黑客刚刚从它手中偷走了 8100 万美元，如果不是因为一处账户名拼写错误导致转账被终止，黑客本计划转走 10 亿美元。不过即便如此，这也创造了有史以来最大的银行抢劫案，以及当时全球范围内已知的最大规模的金融网络犯罪案。

多家网络安全公司介入调查，结果显示攻击来自一个神秘的幕后组织——Lazarus，而最重要的发现是，这次行动中一段用于消除攻击证据的底层代码和 2014 年黑客攻击索尼影业时使用的代码完全相同。

针对 Lazarus 的调查还暴露了其他一些线索，包括 Lazarus 的恶意软件样本中有大量的韩语元素；Lazarus 在一次行动中犯下错误，一台欧洲服务器出现了朝鲜政府专用的 IP 登录记录。






一般来说黑客会重复利用自己开发的代码，Lazarus 也不例外，正是利用这一特点网络安全公司能够把攻击事件与攻击者联系起来。

从 2017 年开始，包括 Proofpoint 在内的多家安全公司发现具有 Lazarus 特征的网络攻击有了新特征：

1、在「感染」机构和个人的过程中，Lazarus 加入了为实现加密货币攻击的各种复杂控制后门和恶意软件。

2、为实现比特币和其它数字货币窃取，Lazarus 使用 Gh0st 远控木马来收集被感染者的加密货币钱包和交易数据。


随着比特币和加密数字货币价格的暴涨，作为全球金融机构首要威胁的 Lazarus，正在一步步成为加密货币市场最「成功」的窃贼。


交易所，Lazarus 的主战场


2018 年伊始，唱着《月球与虚拟货币与我》出道的全球首个数字货币女团 Kasotsuka Shojo 在完成一场演出后却无法收到她们的酬劳，因为 1 月 26 日，存放她们 200 万日元演出酬劳的，同时也是日本最大的加密货币交易所 Coincheck 遭黑客入侵，约合 5.34 亿美元的新经币失窃。






这是加密货币史上最严重的一次盗窃事件，超过了 Mt.Gox 交易所丢失的 4.73 亿美元，而这起网络攻击的发起者正是 Lazarus。不过，他们采用的作案手段却比 Mt.Gox 失窃案简单太多——Lazarus 窃取了存储新经币热钱包的私钥，然后偷走了这笔钱。

不过，提起眼镜蛇，比日本交易所更瑟瑟发抖的，是韩国交易所。《2018 年高科技网络犯罪趋势报告》中统计的 2017 年至 2018 年交易所失窃案中，韩国交易所占据了 14 起中的 7 起，半壁江山，而这 7 起中至少有 4 起已被证实是由 Lazarus 发起。

来自 Group-IB 的调查数据与之前韩国议会情报委员会的推测吻合，该组织成员指出仅仅在 2017 年，朝鲜政府就从韩国交易所偷走了价值数十亿韩元的加密货币。

被攻击的交易所包括 Bithumb、YouBit、Yapizon、Coinis、YouBit、Coinrail。其中的 Youbit 在被攻击两次之后（其中一次确认来自 Lazarus），损失了约 17% 的总资产，不得不申请破产。

北韩国家队正在猛烈地攻击位于其南方的加密货币交易所。


小心你的钱包


Lazarus 的网络攻击能力日益强大，如今的它可以轻松的实施 DDoS 攻击，也能够入侵特定的公司网络、银行系统、交易所生态，获取各种内部资料以及大量的资金，但这并不意味着你不是 Lazarus 的目标。

Lazarus 有一个被称为 PowerRatankba 的加密货币攻击工具集，其重要的功能是针对加密货币个人和组织进行大规模、普遍性的电邮钓鱼攻击，2017 年 6 月，它在对某加密货币机构高管的钓鱼邮件中被发现。

攻击者发送以比特币黄金或 Electrum 钱包为主题的钓鱼邮件给受害者，并通过邮件中的附件或链接部署内置 python 代码的恶意程序，从而窃取受害者的加密货币账户信息和密码，并通过对本地网络的入侵，找到与加密货币钱包相关的工作站和服务器的信息。

如下图所示，伪装成来自 Electrum 的邮件会包含一个与合法官网 https://electrum.org 相似的恶意网站——https://electrüm.org，唯一的差别是恶意网站地址中字母 u 上多了两点。伪装为来自比特币黄金的邮件会用网站 https://bitcoingöld.org 假冒官网 https://bitcoingold.org。






PowerRatankba 很有可能是 Ratankba 的进化版，或者是加密货币版。Ratankba 是 Lazarus 开发的臭名昭著的作案程序，被业内人士称为「地形测绘工具」，主要用于攻击前期的侦察和渗透。


结语


FBI、DHS 曾联合发布警告：警惕朝鲜黑客组织 Lazarus。

朝鲜政府的前电脑专家 Jang Se-yul 在接受媒体采访时说，他认为朝鲜黑客的技术水平不逊于谷歌或者美国中情局的顶级程序员，甚至可能会更好，因为「朝鲜为它准备了 20 年」。

现在，作为金融产业「最成功」的大规模攻击专家，这条隐藏的眼镜蛇溜进了加密货币的世界。

Lazarus 不仅为这个战场开发了新工具——专门针对加密货币的木马程序，还似乎要在此全面开战——8 月初卡巴斯基实验室发现 Lazarus 窃取加密货币的软件已经不再局限于 Windows 版本，Mac 版已被投入使用。

但比这更加可怕的是，「难以察觉的偷窃」是 Lazarus 最重要的宗旨，它们对恶意软件进行大量的专项开发和调试，用于让自己的攻击行为「合法化」。

现在我们还可以瞥见眼镜蛇的身形，但在未来，它可能真正的「隐形」，永远的消失在大众的视野。


作者 : 李画
编辑 : 秦晋 查看全部