🎬 YouTube Premium 家庭 Plan成員一位 只需
HK$148/年!
不用提供密碼、不用VPN、無需轉區
直接升級你的香港帳號 ➜ 即享 YouTube + YouTube Music 無廣告播放
從索尼到Bybit:拉撒路集團如何成為加密貨幣的超級惡棍
拉撒路集團自2017年以來已竊取超過60億美元的加密貨幣,成為行業中最臭名昭著的黑客組織。
拉撒路集團並不是黑客世界中的偶然角色;它經常被懷疑是重大加密盜竊事件的主要嫌疑人。這個受到北韓國家支持的團體已經從交易所中竊取了數十億美元,欺騙開發者,甚至繞過行業內最先進的安全措施。
在2月21日,它成功實施了有史以來最大的盜竊:從加密貨幣交易所Bybit竊取了創紀錄的14億美元。加密偵探ZachXBT在將Bybit攻擊與Phemex的8500萬美元黑客事件聯繫起來後,確定拉撒路為主要嫌疑人。他進一步將這些黑客與BingX和Poloniex的違規行為聯繫起來,增強了指向北韓網絡軍隊的證據。
根據安全公司Elliptic的數據,自2017年以來,拉撒路集團已從加密行業竊取約60億美元。聯合國安全理事會的研究報告指出,這些被盜資金被認為用於資助北韓的武器計劃。
作為歷史上最活躍的網絡犯罪組織之一,該集團的可疑成員和方法顯示出一個高度複雜的跨國運作,為政權服務。誰是拉撒路的背後推手?它是如何實施Bybit黑客攻擊的?還有什麼其他方法讓它持續構成威脅?
拉撒路集團的成員名單
美國財政部聲稱,拉撒路由北韓的偵察總局(RGB)控制,該機構是政權的主要情報機構。聯邦調查局(FBI)公開指控三名可疑的北韓黑客為拉撒路的成員(也稱為APT38)。
在2018年9月,FBI指控北韓國籍的Park Jin Hyok,這位被懷疑是拉撒路成員的人,參與了歷史上最臭名昭著的網絡攻擊之一。Park據稱為北韓的前線公司Chosun Expo Joint Venture工作,與2014年索尼影業的黑客事件和2016年孟加拉國銀行盜竊(損失8100萬美元)有關。
Park還與2017年的WannaCry 2.0勒索病毒攻擊有關,該攻擊使包括英國國民健康服務在內的多家醫院癱瘓。調查人員通過共享的惡意軟件代碼、被盜的憑證存儲帳戶和掩蓋北韓及中國IP地址的代理服務追蹤到Park及其同謀。
在2021年2月,司法部宣布將Jon Chang Hyok和Kim Il加入其被起訴的網絡犯罪分子名單,因為他們在一些世界上最具破壞性的網絡入侵中發揮了作用。兩人都被指控為拉撒路工作,策劃網絡金融犯罪,竊取加密貨幣並為政權洗錢。
Jon專注於開發和散播惡意的加密貨幣應用程序,以滲透交易所和金融機構,實現大規模盜竊。Kim則參與分發惡意軟件、協調與加密相關的盜竊行為,以及策劃虛假的Marine Chain ICO。
拉撒路集團的最大攻擊是如何發生的
在Bybit黑客事件發生的幾周前,北韓領導人金正恩檢查了一個核材料生產設施,呼籲擴大該國的核武庫,超出目前的生產計劃,根據國家媒體報導。
在2月15日,美國、南韓和日本發表聯合聲明,重申對北韓去核化的承諾。平壤迅速將此舉視為“荒謬”,並在2月18日再次誓言加強其核力量。
三天後,拉撒路再次出擊。
在安全圈內,拉撒路的指紋幾乎總能立即被識別出來,即使在官方調查確認他們的參與之前。
“我能夠在Bybit的錢包中ETH移出後幾分鐘內,自信地說這與DPRK(朝鮮民主主義人民共和國)有關,因為他們在鏈上的指紋和TTP(戰術、技術和程序)是如此獨特,”加密保險公司Fairside Network的調查負責人Fantasy告訴Cointelegraph。
“將ERC-20資產分散到多個錢包中,立即以不理想的方式拋售代幣,產生巨額費用或滑點,然後將ETH以大額、整數的方式發送到新的錢包。”
在Bybit攻擊中,黑客策劃了一次精心設計的釣魚攻擊,以突破Bybit的安全,欺騙交易所授權將401,000個以太幣(14億美元)轉移到他們控制的錢包。根據區塊鏈取證公司Chainalysis的報導,攻擊者通過一個虛假的Bybit錢包管理系統掩護其行動,直接訪問了交易所的資產。
一旦資金被盜,洗錢機器便啟動,黑客將資產分散到中介錢包中。Chainalysis的調查人員報告稱,被盜資金的一部分被轉換為比特幣和Dai,使用去中心化交易所、跨鏈橋和無需了解客戶的交換服務,如eXch,這是一個拒絕凍結與Bybit事件相關的非法資金的平台,儘管行業內部干預。EXch否認為北韓洗錢。
被盜資產的一大部分仍然停留在多個地址上,這是一種北韓相關黑客經常使用的故意策略,以在加強審查期間持久存在。
此外,根據TRM Labs的報導,北韓黑客經常將被盜資金兌換為比特幣。比特幣的未花費交易輸出(UTXO)模型進一步使追蹤變得複雜,這使得取證分析比以太坊的基於帳戶的系統更困難。該網絡也是拉撒路經常使用的混合服務的所在地。
拉撒路集團的社交工程副業
北韓黑客對加密行業的攻擊加劇,根據Chainalysis的數據,2024年已經在47次攻擊中掠奪了13.4億美元,這是2023年660.5萬美元的兩倍多。
僅僅Bybit的黑客事件就超過了北韓2024年整體的加密盜竊數字。
這家位於紐約的安全公司補充道,通過私鑰妥協進行的盜竊仍然是加密生態系統中最大的威脅之一,佔2024年所有加密黑客事件的43.8%。這是與北韓的拉撒路集團相關的一些最大違規事件所採用的方法,例如3.05億美元的DMM比特幣攻擊和6億美元的Ronin黑客事件。
儘管這些高調的盜竊事件引起了媒體的關注,但北韓黑客也精通長期詐騙——這是一種提供穩定現金流的策略,而不是依賴一次性的暴利。
“他們針對每個人、任何事物,無論金額大小。拉撒路特別專注於這些大型、複雜的黑客事件,如Bybit、Phemex和Alphapo,但他們也有小型團隊從事低價值和更手動的工作,如惡意或虛假的工作面試,”Fantasy說。
微軟威脅情報已經確定一個名為“Sapphire Sleet”的北韓威脅組織,作為加密盜竊和企業滲透的關鍵角色。這個名字遵循了該科技公司的天氣主題分類法,其中“sleet”標誌著與北韓的聯繫。在微軟之外,該組織更為人所知的是Bluenoroff,拉撒路的子組織。
他們假裝成風險投資家和招聘人員,誘騙受害者進入虛假的工作面試和投資詐騙,部署惡意軟件來竊取加密錢包和財務數據,在六個月內獲利超過1000萬美元。
北韓還在俄羅斯、中國及其他地方部署了數千名IT工作者,利用AI生成的個人資料和被盜身份來獲得高薪技術工作。一旦進入,他們便竊取知識產權,勒索雇主,並將收入轉交政權。微軟發現的泄露北韓數據庫揭示了虛假簡歷、欺詐賬戶和支付記錄,顯示出一個利用AI增強圖像、變聲軟件和身份盜竊的精密操作。
在2024年8月,ZachXBT揭露了一個由21名北韓開發者組成的網絡,他們通過嵌入加密初創公司每月賺取50萬美元。
在2024年12月,聖路易斯的一個聯邦法院解封了對14名北韓國籍人士的起訴,指控他們違反制裁、電匯詐騙、洗錢和身份盜竊。
美國國務院已對這些公司和被指控個人提供500萬美元的懸賞。
這些人為Yanbian Silverstar和Volasys Silverstar工作,這是北韓控制的公司,在中國和俄羅斯運營,欺騙公司聘用他們進行遠程工作。
在六年內,這些行動者至少賺取了8800萬美元,其中一些人被要求為政權每月創造1萬美元的收入。
迄今為止,北韓的網絡戰爭策略仍然是世界上最複雜和最有利可圖的操作之一,據說為政權的武器計劃輸送了數十億美元。儘管執法機構、情報機構和區塊鏈調查人員的審查日益加強,拉撒路集團及其子單位仍在不斷適應,精煉他們的戰術,以逃避檢測並持續維持其非法收入來源。
隨著創紀錄的加密盜竊事件、對全球科技公司的深度滲透以及日益增長的IT工作者網絡,北韓的網絡行動已成為持久的國家安全威脅。美國政府的多機構打擊行動,包括聯邦起訴和數百萬的懸賞,標誌著對平壤金融管道的升級努力。
但正如歷史所示,拉撒路是無情的;來自北韓網絡軍隊的威脅遠未結束。
這篇文章揭示了拉撒路集團的運作模式和其背後的國家支持,讓我們看到網絡犯罪不僅僅是個別黑客的行為,而是與國家安全和國際政治緊密相連的問題。隨著技術的進步,未來的網絡犯罪將變得更加複雜,這對全球金融體系和安全構成了更大的挑戰。各國政府需要加強合作,分享情報,才能有效應對這一日益嚴重的威脅。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
