揭秘朝鲜黑客组织Lazarus,已盗取5.8亿美元加密货币

2019年3月14日 08:38
來源:香港奇点财经 Singularity Financial

3月13日,日经评论援引一份即将在本月发表的联合国报告,指出2016年至今,朝鲜国家黑客组织已经攻破了5所加密货币交易所,并盗取了5.8亿美元的加密货币,占加密货币被盗总数的64.7%。数据来自俄罗斯网络安全公司Group-IB,具体的被盗细节如下:

日韩的交易所是Lazarus的攻击重点,2018年1月,日本交易所Coincheck被盗5.34亿美元的新经币,这是超越Mt.Gox的加密货币史上最严重的被盗事件,本隐隐有成为日本第一交易所之势的Coincheck从此一蹶不振,日本金融厅也因此加大力度调查交易所,2018年全年都没有发放一张交易所牌照。韩国Youbit在一次Lazarus的攻击中损失了17%的资产,申请破产。

Lazarus揭秘

Lazarus是世界上最著名的被证实隶属于国家政府的黑客组织,它为金正恩窃取其迫切需要的国外货币,是朝鲜最重要的外汇创收渠道之一。

逃到韩国的朝鲜前官员、互联网安全专家Kim Heung-Kwang称, Lazarus 属于军方管辖的朝鲜侦察总局第180处。 第180处由金正恩在2013年一手创立,拥有约500名成员,主要任务是获得外汇以支持朝鲜政府的核武器与远程导弹研究。

与180处同样隶属于侦查总局的还有第121处,它是朝鲜最大的网络战机构,由金正日在1998年建立。该机构成员都是朝鲜本国在数学、计算机等领域的最尖端人才,所有人员均享有朝鲜最高层级的待遇,目前其总人数逾1800名。

孟加拉央行,韩国电视台,索尼公司皆为手下亡魂

朝鲜政府的前电脑专家Jang Se-yul在接受媒体采访时说,他认为朝鲜黑客的技术水平不逊于谷歌或者美国中情局的顶级程序员,甚至可能会更好,因为“朝鲜为它准备了 20年”。

Lazarus的成名首秀源于2009年的特洛伊行动,“特洛伊行动”是它成立后的第二次网络攻击,旨在通过攻击对方网站的服务器,而让网络停止工作和盗取信息,这次攻击主要针对了韩国的武装部的内部信息系统和韩国政府机构的对外网站。

2013年3月20日,三家韩国电视台在正常播放节目时再次受到了拉撒路的网络劫持,因为拉撒路此前已经有过多次进攻实验,所以在这次名为“3·20电算大乱(DarkSeoulØ peration)”的行动中,三家电视台的核心服务器直接瘫痪。在同一天的行动中,让核心服务器直接瘫痪的还有“新韩银行”。事件发生的第二天,韩国金融委员会表示:济州银行、韩国农业协会、友利银行以及韩国放送公社等单位均在这次攻击中受到了入侵。自此,Lazarus成为了韩国政府头号警惕的黑客组织。

2014年,索尼影业投资4400万美元拍摄了一部喜剧电影《刺杀金正恩》,2014年11月在电影杀青后不久,索尼影业曾宣布12月25日圣诞节期间,首先在北美的各大影院上映这部“恶搞朝鲜领导人”的电影。然而,就在索尼影业宣布这部电影即将上线时间后不久,11月24日索尼影业便遭遇了Lazarus的网络袭击,在这次袭击中拉撒路使用“和平保卫者”的名字,盗取了索尼影业的大量商业信息以及索尼员工的个人信息。

12月17日,拉撒路利用盗取的员工信息,给索尼的多位高管发送了一份匿名威胁信,在这封匿名信的中拉撒路直接写到:“还记得2001年的9月11日吗?”(美国911事件)

“我们将在上映《刺杀金正恩》的地点,包括首映式上,清楚地展示,那些从恐怖行径中取乐的人将注定迎来被毁灭的命运。

收到信的24小时内,索尼公司宣布停止公映这部电影,至今只能在网上流传。

2016年2月4日,孟加拉国央行陷入一片混乱,因为黑客刚刚从它手中偷走了 8100 万美元,如果不是因为一处账户名拼写错误导致转账被终止,黑客本计划转走10亿美元。不过即便如此,这也创造了有史以来最大的银行抢劫案,以及当时全球范围内已知的最大规模的金融网络犯罪案。

除了从银行的账户中盗窃,拉撒路此后还利用其他黑客组织的技术,学会了如何让银行ATM机自动吐钱,并凭借各种手段先后洗劫了波兰、印度和韩国等多个国家的银行存款。

结语

2016年3月,随着朝鲜第四次核试验的成功,美国正式以2270号决议为理由,对朝鲜进一步加强了制裁。国际所有亲美国家将不再接收来自朝鲜的黄金、钒、钛、稀土金属以及煤炭等资源型商品的出口,只有纯粹用于“生计目的”的交易被“额外”豁免。至此,朝鲜的外汇渠道被切断。

为了获取必要的外汇,GROUP IB认为,2016年以来,Lazarus的重心已经从政治攻击转向金融攻击,而新兴的加密货币行业就是Lazarus攻击的重点,从交易所攻击事件到恶意挖矿软件的散布,Lazarus已经在这一领域“全面开展”,行业必须对此保持警惕。