從索尼到Bybit:Lazarus Group如何成為加密貨幣的超級壞蛋
自2017年以來,Lazarus Group已經從加密貨幣行業竊取超過60億美元,成為該行業中最臭名昭著的黑客組織。
Lazarus Group並非偶爾出現的黑客,經常是重大加密盜竊案的主要嫌疑人。這個受到北韓國家支持的團體從交易所竊取數十億美元,欺騙開發者,甚至繞過行業中最先進的安全措施。
在2月21日,它成功實施了有史以來最大的盜竊:從加密貨幣交易所Bybit竊取了創紀錄的14億美元。加密偵探ZachXBT在將Bybit攻擊與Phemex的8500萬美元黑客事件聯繫起來後,將Lazarus確定為主要嫌疑人。他進一步將這些黑客與BingX和Poloniex的違規事件聯繫起來,增加了指向北韓網絡軍隊的證據。
根據安全公司Elliptic的數據,自2017年以來,Lazarus Group已經從加密貨幣行業竊取了估計60億美元。聯合國安全理事會的研究報告指出,這些被竊資金被認為是北韓武器計劃的資金來源。
作為歷史上最活躍的網絡犯罪組織之一,該組織的嫌疑成員和手段顯示出一個高度複雜的跨國運作,為政權服務。究竟是誰在操控Lazarus,該組織又是如何成功實施Bybit黑客行動的?它還使用了哪些其他方法,對行業構成持續威脅?
Lazarus Group的成員名單
美國財政部聲稱,Lazarus由北韓的偵察總局(RGB)控制,該機構是政權的主要情報機構。聯邦調查局(FBI)已公開指控三名嫌疑的北韓黑客是Lazarus的成員(也稱為APT38)。
2018年9月,FBI指控北韓國籍的Park Jin Hyok,這名被懷疑是Lazarus成員的黑客,參與了歷史上最臭名昭著的網絡攻擊。Park據稱曾在北韓的前公司Chosun Expo Joint Venture工作,與2014年索尼影業的黑客事件和2016年孟加拉國銀行盜竊事件(被盜8100萬美元)有關。
Park還與2017年的WannaCry 2.0勒索病毒攻擊有關,該攻擊使包括英國國民健康服務在內的醫院癱瘓。調查人員通過共享的惡意代碼、被盜的憑證存儲賬戶和掩蓋北韓和中國IP地址的代理服務追蹤到Park及其同謀。
2021年2月,司法部宣布將Jon Chang Hyok和Kim Il加入其起訴的網絡罪犯名單,因為他們在一些世界上最具破壞性的網絡入侵中扮演了角色。兩人都被指控為Lazarus工作,策劃網絡金融犯罪,盜竊加密貨幣並為政權洗錢。
Jon專注於開發和散播惡意的加密貨幣應用程序,以滲透交易所和金融機構,實現大規模盜竊。Kim則參與分發惡意軟件、協調與加密相關的盜竊行動以及策劃欺詐性的Marine Chain ICO。
Lazarus Group的最大攻擊是如何發生的
在Bybit黑客事件發生的幾周前,北韓領導人金正恩檢查了一個核材料生產設施,呼籲擴大國家的核武庫,超越目前的生產計劃,根據國家媒體報導。
2月15日,美國、韓國和日本發表聯合聲明,重申他們對北韓去核化的承諾。平壤迅速將此舉稱為“荒謬”,並再次誓言加強其核力量。
三天後,Lazarus再次出手。
在安全圈內,Lazarus的指紋幾乎總是能被立即識別,即使在官方調查確認其參與之前。
“我能夠在Bybit錢包的ETH轉移幾分鐘內,自信地說這與DPRK(朝鮮民主主義人民共和國)有關,因為他們在鏈上的指紋和戰術技術程序(TTP)非常獨特,”加密保險公司Fairside Network的調查負責人Fantasy告訴Cointelegraph。
“將ERC-20資產分散到多個錢包中,立即以不理想的方式拋售代幣,產生巨大的費用或滑點,然後將ETH以大額、整數的形式發送到新的錢包中。”
在Bybit的攻擊中,黑客策劃了一次精密的釣魚攻擊,以突破Bybit的安全,欺騙交易所授權將401,000個以太幣(價值14億美元)轉移到他們控制的錢包中。根據區塊鏈取證公司Chainalysis的報導,攻擊者通過一個假冒的Bybit錢包管理系統獲得了對交易所資產的直接訪問。
一旦資金被盜,洗錢機器便啟動,黑客將資產分散到中介錢包中。Chainalysis的調查人員報告指出,被盜資金的一部分被轉換為比特幣和Dai,使用去中心化交易所、跨鏈橋和不需要客戶身份驗證的交換服務,例如eXch,該平台拒絕凍結與Bybit事件相關的非法資金,儘管行業內部介入。EXch否認為北韓洗錢。
在Bybit盜竊之前,EXch已經以服務黑客和盜竊者而聞名。根據Fantasy的說法,被盜資產的一大部分仍然停留在多個地址上,這是一種北韓黑客常用的策略,旨在在加強審查期間持續存在。
此外,根據TRM Labs的報導,北韓黑客經常將被盜資金兌換為比特幣。比特幣的未花費交易輸出(UTXO)模型進一步複雜了追蹤,使得取證分析比以太坊的賬戶系統更加困難。該網絡也是Lazarus經常使用的混合服務的家。
Lazarus Group的社交工程副業
北韓黑客加大了對加密貨幣行業的攻擊力度,根據Chainalysis的數據,2024年共發動了47次攻擊,盜竊金額達到13.4億美元,這是2023年660.5萬美元的兩倍多。
僅最近的Bybit黑客事件就超過了北韓在2024年整個加密盜竊的總數。根據Chainalysis的報導,通過私鑰漏洞進行的盜竊仍然是加密生態系統中最大的威脅,佔2024年所有加密黑客事件的43.8%。這種方法在與北韓的Lazarus Group有關的一些最大違規事件中被採用,例如3.05億美元的DMM Bitcoin攻擊和6億美元的Ronin黑客事件。
雖然這些高調的盜竊事件引起了媒體的關注,但北韓黑客也掌握了長期詐騙的策略——這是一種提供穩定現金流的策略,而不是依賴一次性的暴利。
“他們針對每個人、任何東西,無論金額大小。Lazarus特別專注於這些大型、複雜的黑客行動,如Bybit、Phemex和Alphapo,但他們也有小型團隊從事低價值和更手動的工作,例如惡意或假冒的工作面試,”Fantasy說。
微軟威脅情報部門已經識別出一個名為“Sapphire Sleet”的北韓威脅組織,作為加密盜竊和公司滲透的關鍵角色。這個名稱遵循了該科技公司以天氣為主題的分類法,其中“sleet”標誌著與北韓的聯繫。在微軟之外,該組織更為人所知的是Bluenoroff,這是Lazarus的一個子組織。
他們假裝成風險投資家和招聘者,誘騙受害者參加假工作面試和投資詐騙,部署惡意軟件以竊取加密錢包和財務數據,在六個月內獲利超過1000萬美元。
根據微軟的報導,北韓還在俄羅斯、中國及其他地區部署了數千名IT工作者,利用AI生成的個人資料和被盜身份獲得高薪技術工作。一旦進入,他們就竊取知識產權、勒索雇主,並將收入轉入政權。微軟揭露的北韓數據庫顯示出假簡歷、欺詐賬戶和支付記錄,揭示出一個利用AI增強圖像、變聲軟件和身份盜竊來滲透全球企業的複雜操作。
2024年8月,ZachXBT揭露了一個由21名北韓開發者組成的網絡,他們通過嵌入加密初創公司,每月賺取50萬美元。
2024年12月,聖路易斯的一個聯邦法院對14名北韓國籍人士解封了起訴書,指控他們違反制裁、電匯詐騙、洗錢和身份盜竊。
美國國務院對這些公司和被指名的個人提供了500萬美元的懸賞。這些人為北韓控制的公司Yanbian Silverstar和Volasys Silverstar工作,這些公司在中國和俄羅斯運營,欺騙公司雇用他們進行遠程工作。
在六年的時間裡,這些特工至少賺取了8800萬美元,其中一些被要求每月為政權創造1萬美元的收入。
迄今為止,北韓的網絡戰略仍然是世界上最複雜和最有利可圖的操作之一,據稱為政權的武器計劃注入了數十億美元。儘管執法機構、情報機構和區塊鏈調查人員的審查不斷加強,Lazarus Group及其子單位仍在不斷調整,精煉其戰術以逃避檢測並維持其非法收入來源。
隨著創紀錄的加密盜竊事件、對全球科技公司的深入滲透以及不斷增長的IT特工網絡,北韓的網絡行動已成為持久的國家安全威脅。美國政府的多機構打擊行動,包括聯邦起訴和數百萬美元的懸賞,顯示出對破壞平壤財務管道的升級努力。
但正如歷史所示,Lazarus是無情的;來自北韓網絡軍隊的威脅遠未結束。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
, 今日有咩可以幫到你? 