從索尼到Bybit:拉薩魯斯集團如何成為加密貨幣的超級惡棍
拉薩魯斯集團自2017年以來已經竊取超過60億美元的加密貨幣,成為該行業中最臭名昭著的黑客團夥。
拉薩魯斯集團並不是黑客世界中的偶然角色;它經常是重大加密盜竊案的主要嫌疑人。這個受到北韓國家支持的團體從交易所中竊取了數十億美元,欺騙開發者,甚至繞過了業界最先進的安全措施。
在2月21日,該集團完成了其最大的盜竊行動:從加密貨幣交易所Bybit竊取了創紀錄的14億美元。加密偵探ZachXBT在將Bybit攻擊與Phemex的8500萬美元黑客事件聯繫起來後,確定了拉薩魯斯為主要嫌疑人。他進一步將這些黑客與BingX和Poloniex的安全漏洞聯繫起來,增加了指向北韓網絡軍隊的證據。
根據安全公司Elliptic的數據,自2017年以來,拉薩魯斯集團已從加密行業竊取約60億美元。聯合國安全理事會的一項研究報告指出,這些被竊資金被認為是北韓武器計劃的資助來源。
作為歷史上最活躍的網絡犯罪組織之一,該集團的可疑成員和手法顯示出一個高度複雜的跨國運作,為政權服務。誰在拉薩魯斯背後?它是如何成功實施Bybit黑客攻擊的?還有什麼其他方法使其持續構成威脅?
拉薩魯斯集團的成員名單
美國財政部聲稱,拉薩魯斯由北韓的偵察總局(RGB)控制,這是該政權的主要情報機構。聯邦調查局(FBI)公開指控三名可疑的北韓黑客是拉薩魯斯(又名APT38)的成員。
在2018年9月,FBI指控北韓國籍的Park Jin Hyok,這位可疑的拉薩魯斯成員參與了歷史上最臭名昭著的網絡攻擊。Park據稱曾在北韓的前公司Chosun Expo Joint Venture工作,與2014年索尼影業黑客事件和2016年孟加拉國銀行盜竊案(損失8100萬美元)有關。
Park還與2017年WannaCry 2.0勒索病毒攻擊有關,該攻擊使包括英國國民健康服務在內的醫院陷入癱瘓。調查人員通過共享的惡意軟件代碼、被盜憑證存儲賬戶和代理服務追蹤到Park及其共謀者,掩蓋了北韓和中國的IP地址。
在2021年2月,司法部宣布將Jon Chang Hyok和Kim Il列入其起訴的網絡罪犯名單,因為他們在一些世界上最具破壞性的網絡入侵中發揮了作用。兩人都被指控為拉薩魯斯工作,策劃網絡金融犯罪,竊取加密貨幣並為政權洗錢。
Jon專注於開發和傳播惡意加密貨幣應用程序,以滲透交易所和金融機構,實現大規模盜竊。Kim則參與了惡意軟件的分發、協調與加密相關的盜竊和策劃欺詐性的Marine Chain ICO。
拉薩魯斯集團的最大攻擊是如何發生的
在Bybit黑客事件的幾周前,北韓領導人金正恩檢查了一個核材料生產設施,呼籲擴大該國的核武庫,超越當前的生產計劃,根據國家媒體報導。
在2月15日,美國、韓國和日本發表聯合聲明,重申對北韓去核化的承諾。平壤迅速駁斥該舉措,稱其“荒謬”,並再次誓言加強核力量。
三天後,拉薩魯斯再次出手。
在安全圈內,拉薩魯斯的指紋幾乎立即被認出,甚至在官方調查確認其參與之前。
“我能夠在Bybit的錢包中以太幣轉出幾分鐘內自信地說,這與北韓有關,因為他們在鏈上的指紋和TTP(戰術、技術和程序)是如此獨特,”加密保險公司Fairside Network的調查負責人Fantasy告訴Cointelegraph。
“將ERC-20資產分散到多個錢包中,立即以不理想的方式拋售代幣,產生巨大的費用或滑點,然後將以太幣以大額、圓整的數量發送到新的錢包。”
在Bybit攻擊中,黑客策劃了一次精心設計的網絡釣魚攻擊,突破了Bybit的安全系統,欺騙交易所授權將401,000個以太幣(價值14億美元)轉移到他們控制的錢包中。根據區塊鏈取證公司Chainalysis的說法,攻擊者通過一個虛假的Bybit錢包管理系統掩蓋其行動,直接獲得了交易所的資產。
一旦資金被盜,洗錢機器啟動,黑客將資產分散到中介錢包中。Chainalysis的調查人員報告稱,被盜資金的一部分被轉換為比特幣和Dai,使用去中心化交易所、跨鏈橋和無需了解客戶的交換服務,如eXch。該平台拒絕凍結與Bybit事件有關的非法資金,儘管業界普遍干預。EXch否認為北韓洗錢。
拉薩魯斯集團的社交工程副業
北韓黑客加大了對加密行業的攻擊力度,根據Chainalysis的數據,在2024年進行了47次攻擊,竊取了13.4億美元,這是2023年660.5萬美元的兩倍。
僅Bybit的黑客事件就超過了北韓在2024年整體的加密盜竊總額。
這家位於紐約的安全公司補充道,通過私鑰泄露進行的盜竊仍然是加密生態系統中最大的威脅,佔2024年所有加密黑客事件的43.8%。這是與北韓的拉薩魯斯集團有關的一些最大漏洞所採用的方法,例如3.05億美元的DMM比特幣攻擊和6億美元的Ronin黑客事件。
儘管這些高調的盜竊事件引起了媒體的關注,但北韓黑客還掌握了長期詐騙的技巧——這是一種提供穩定現金流的策略,而不是依賴一次性暴利。
“他們針對每個人,任何東西,任何金額。拉薩魯斯特別專注於這些大型、複雜的黑客行動,如Bybit、Phemex和Alphapo,但他們有小型團隊專門處理低價值和更手動的工作,如惡意或虛假的工作面試,”Fantasy表示。
微軟威脅情報部門已確定一個名為“Sapphire Sleet”的北韓威脅組織,作為加密盜竊和企業滲透的關鍵參與者。這個名稱遵循了該科技公司的天氣主題分類,其中“sleet”標誌著與北韓的聯繫。在微軟之外,該組織更為人所知的是Bluenoroff,這是拉薩魯斯的一個子集。
這些黑客假裝成風險投資家和招聘者,誘騙受害者參加虛假的工作面試和投資詐騙,部署惡意軟件以竊取加密錢包和財務數據,在六個月內獲利超過1000萬美元。
北韓還在俄羅斯、中國等地部署了數千名IT工作者,利用AI生成的個人資料和被盜身份獲得高薪技術工作。進入後,他們竊取知識產權,勒索雇主,並將收入轉入政權。微軟發現的一個泄露的北韓數據庫揭示了虛假簡歷、欺詐賬戶和支付記錄,顯示出一個利用AI增強圖像、變聲軟件和身份盜竊的複雜運作。
在2024年8月,ZachXBT揭露了一個由21名北韓開發者組成的網絡,這些開發者通過嵌入加密初創公司每月賺取50萬美元。
在2024年12月,聖路易斯的一個聯邦法院對14名北韓國籍人士的起訴書進行了公開,指控他們違反制裁、電匯詐騙、洗錢和身份盜竊。
這些人為北韓控制的公司Yanbian Silverstar和Volasys Silverstar工作,這些公司在中國和俄羅斯運營,欺騙公司雇用他們進行遠程工作。
在六年內,這些特工至少賺取了8800萬美元,其中一些人被要求每月為政權創造1萬美元的收入。
迄今為止,北韓的網絡戰爭策略仍然是世界上最複雜和最有利可圖的運作之一,據稱將數十億美元資金轉入政權的武器計劃。儘管執法機構、情報機構和區塊鏈調查人員的監督日益加強,拉薩魯斯集團及其子單位仍在不斷適應,精煉其戰術以避免檢測並維持其非法收入流。
隨著創紀錄的加密盜竊、深入滲透全球科技公司以及不斷增長的IT工作者網絡,北韓的網絡行動已成為持久的國家安全威脅。美國政府的多機構打擊行動,包括聯邦起訴和數百萬美元的懸賞,表明了對干擾平壤金融管道的努力不斷升級。
但歷史告訴我們,拉薩魯斯是無情的;來自北韓網絡軍隊的威脅遠未結束。
這篇報導揭示了拉薩魯斯集團的運作模式及其對全球加密貨幣生態系統的影響,無疑引發了人們對網絡安全的深刻思考。北韓的網絡攻擊不僅僅是經濟犯罪,更是國家戰略的一部分,這使得我們在面對網絡安全威脅時,必須更加警惕。這些事件提醒我們,隨著科技的發展,網絡安全的挑戰也在不斷演變,對於企業和個人而言,增強防護措施和提高警覺性至關重要。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
