史上最大劫案始作俑者：朝鮮駭客組織Lazarus Group背後的故事

Bybit被駭客竊取價值約15億美元鏈上資產，事件發生後4小時，鏈上偵探ZachXBT提交了確鑿證據，證實此次針對Bybit的攻擊由朝鮮駭客組織Lazarus Group實施。

來源：維琪百科

編譯： Yobo，Foresight News

以下內容譯自維琪百科詞條「Lazarus Group」正文：

Lazarus Group（也被稱為「Guardians」或「Peace or Whois Team」）是一個由數量不明的人員組成的駭客組織，據稱受朝鮮政府操控。 雖然人們對該組織瞭解有限，但自2010年以來，研究人員已將多起網絡攻擊歸咎於他們。

該組織最初是一個幫派，如今因其攻擊意圖、造成的威脅，以及行動時使用的多種手段，已被認定為高級持續性威脅組織。 網路安全機构給他們起了不少別稱，比如「Hidden Cobra」（美國國土安全部用這個稱呼來指代朝鮮政府發起的惡意網絡活動），還有「ZINC」或「Diamond Sleet」（微軟的叫法）。 據該國叛逃者Kim Kuk-song稱，該組織在朝鮮國內被稱為「414聯絡辦公室」。

Lazarus Group與朝鮮聯系緊密。 美國司法部宣稱，該組織是朝鮮政府戰畧的一部分，目的是「破壞全球網路安全……並違反制裁規定獲取非法收入」。 朝鮮通過開展網絡行動能獲得諸多好處，僅需要維護一個非常精幹的小團隊就能構成「全球性」的不對稱威脅（尤其是針對韓國）。

發展歷程

該組織已知最早發動的攻擊是2009年至2012年的「特洛伊行動」。 這是一場網絡間諜活動，他們利用並不複雜的分佈式拒絕服務攻擊（DDoS）科技，將位於首爾的韓國政府作為目標。 2011年和2013年，他們也發動了攻擊。 雖然不能確定，但2007年針對韓國的一次攻擊也有可能是他們所為。 該組織的一次著名攻擊發生在2014年，目標是索尼影視。 這次攻擊運用了更複雜的科技，也顯示出該組織隨著時間推移變得越來越成熟。

據報導，2015年，Lazarus Group從厄瓜多的奧斯特羅銀行盜走1200萬美元，還從越南的先鋒銀行盜走100萬美元。 他們還將波蘭和墨西哥的銀行列為目標。 2016年的銀行盜竊案中，他們對某銀行發動攻擊，成功盜走8100萬美元，這起案件也被認為是該組織所為。 2017年，有報導稱Lazarus Group從臺灣遠東國際商業銀行盜走6000萬美元，不過實際被盜金額並不明確，而且大部分資金已追回。

現時尚不清楚該組織的真正幕後黑手是誰，但媒體報導指出，該組織與朝鮮有密切關聯。 2017年，卡巴斯基實驗室報告稱，Lazarus Group傾向於專注間諜和滲透類網絡攻擊，而其內部一個被卡巴斯基稱為「Bluenoroff」的子組織，則專門從事金融網絡攻擊。 卡巴斯基在全球發現多起攻擊事件，並發現Bluenoroff與該國存在直接的IP地址關聯。

不過，卡巴斯基也承認，程式碼的重複使用可能是一種「假旗行動」，目的是誤導調查人員，讓朝鮮背黑鍋，畢竟全球範圍內的「想哭」蠕蟲網絡攻擊就抄襲了美國國家安全局的科技。 這種勒索軟件利用了美國國家安全局的「永恆之藍」漏洞，2017年4月，一個名為「影子經紀人」的駭客組織將該漏洞公開。 2017年，Symantec報告稱，「WannaCry」攻擊極有可能是Lazarus Group所為。

2009年「特洛伊行動」

Lazarus Group的首次重大駭客事件發生在2009年7月4日，標誌著「特洛伊行動」的開始。 這次攻擊利用「我的末日」和「推土機」惡意軟件，對美國和韓國的網站發起大規模但手法並不複雜的DDoS攻擊。 這波攻擊針對約36個網站，並在主引導記錄（MBR）中植入「天煞-地球反击战紀念」的文字。

2013年韓國網絡攻擊（「Operation 1行動」/「黑暗首爾」行動）

隨著時間推移，該組織的攻擊手段愈發複雜； 他們的科技和工具也更加成熟、有效。 2011年3月的「十日雨」攻擊，目標是韓國的媒體、金融和關鍵基礎設施，採用了更複雜的DDoS攻擊，這些攻擊源自韓國國內被入侵的電腦。 2013年3月20日，「黑暗首爾」行動展開，這是一次擦除數據的攻擊，目標是韓國的三家廣播公司、金融機構和一家互聯網服務提供者。 當時，另外兩個自稱「新羅馬網絡軍團」和「WhoIs團隊」的組織宣稱對此次攻擊負責，但研究人員當時並不知道背後主謀是Lazarus Group。 如今，研究人員知道Lazarus Group是這些破壞性攻擊的主導者。

2014年末：索尼影視遭入侵

2014年11月24日，Lazarus Group的攻擊達到高潮。 當天，Reddit上出現一篇帖子，稱索尼影視被不明手段入侵，攻擊者自稱「和平衛士」。 大量數據被盜取，並在攻擊後的幾天裏逐漸洩露。 一名自稱是該組織成員的人在接受採訪時表示，他們竊取索尼的數據已有一年多時間。

駭客得以訪問尚未發行的電影、部分電影劇本、未來電影計畫、公司高管薪資資訊、電子郵件，以及約4000名員工的個人資訊。

2016年初調查：「重磅炸彈行動」

以「重磅炸彈行動」為代號，由Novetta牽頭的多家安全公司組成聯盟，對不同網路安全事件中發現的惡意軟件樣本進行分析。 利用這些數據，該團隊分析了駭客的作案手法。 他們通過程式碼複用模式，將Lazarus Group與多起攻擊關聯起來。 例如，他們使用了一種在互聯網上鮮為人知的加密演算法——「卡拉卡斯」密碼演算法。

2016年某銀行網絡盜竊案

2016年2月發生了一起銀行盜竊案。 安全駭客通過環球銀行金融電信協會（SWIFT）網絡發出35條欺詐指令，試圖從某國中央銀行在紐約聯邦儲備銀行的帳戶非法轉移近10億美元。 35條欺詐指令中有5條成功轉移了1.01億美元，其中2000萬美元流向斯里蘭卡，8100萬美元流向菲律賓。 紐約聯邦儲備銀行因一條指令拼寫錯誤產生懷疑，封锁了其餘30筆交易，涉及金額8.5億美元。 網路安全專家稱，此次攻擊的幕後黑手是來自某國的Lazarus Group。

2017年5月「WannaCry」勒索軟件攻擊

攻擊方式：該病毒利用了Windows作業系統的漏洞，然後加密電腦數據，要求支付約300美元價值的比特幣來獲取解密金鑰。 為促使受害者付款，三天后贖金翻倍，如果一周內未支付，惡意軟件就會删除加密的資料檔案。 惡意軟體使用了微軟開發的一款名為「Windows Crypto」的合法軟件來加密檔。 加密完成後，檔名會加上「Wincry」尾碼，這就是「想哭」（WannaCry）名稱的由來。 「Wincry」是加密的基礎，但惡意軟件還利用了另外兩個漏洞「永恆之藍」（EternalBlue）和「雙脈衝星」（DoublePulsar），使其成為加密蠕蟲。 「永恆之藍」可自動通過網路傳播病毒，「雙脈衝星」則觸發病毒在受害者電腦上啟動。 也就是說，「永恆之藍」將受感染的連結傳播到你的電腦，「雙脈衝星」替你點擊了它。

安全研究員Marcus Hutchins從一家安全研究公司的朋友那裡收到該病毒樣本後，發現病毒中硬編碼了一個「殺毒開關」，從而終止了這次攻擊。 該惡意軟件會定期檢查某個特定功能變數名稱是否已注册，只有在該功能變數名稱不存在時才會繼續進行加密操作。 哈欽斯發現了這個檢查機制，隨後在協調世界時下午3點03分注册了相關功能變數名稱。 惡意軟件立即停止傳播並感染新設備。 這一情況很值得玩味，也為追跡病毒製作者提供了線索。 通常情况下，封锁惡意軟件需要駭客和安全專家反復較量數月時間，如此輕易地獲勝令人始料未及。 這次攻擊還有一個不同尋常之處，那就是支付贖金後檔案也無法恢復：駭客僅收到16萬美元贖金，這讓很多人認為他們的目的並非錢財。

「殺毒開關」輕易被破解以及贖金收益微薄，讓很多人相信這次攻擊是由國家支持的； 其動機並非經濟補償，而是製造混亂。 攻擊發生後，安全專家追跡發現，「雙脈衝星」漏洞源自美國國家安全局，該漏洞最初是作為一種網絡武器開發的。 後來，「影子經紀人」駭客組織竊取了這個漏洞，先是試圖拍賣，但未能成功，最後乾脆免費公開。 美國國家安全局隨後將該漏洞資訊告知微軟，微軟於2017年3月14日發佈了更新，距離攻擊發生不到一個月。 但這還不够，由於更新並非強制安裝，到5月12日時，大多數存在該漏洞的電腦仍未修復，導致這次攻擊造成了驚人的破壞。

後續影響：美國司法部和英國當局後來認定，「WannaCry」攻擊是朝鮮駭客組織Lazarus Group所為。

2017年加密貨幣攻擊事件

2018年，Recorded Future發佈報告稱，Lazarus Group與針對加密貨幣比特幣和門羅幣用戶的攻擊有關，這些攻擊主要針對韓國用戶。 據報導，這些攻擊在科技上與此前使用「想哭」勒索軟件的攻擊以及針對索尼影視的攻擊相似。 Lazarus Group駭客使用的手段之一是利用韓國文字處理軟件Hangul（由Hancom開發）的漏洞。 另一種手段是發送包含惡意軟件的魚叉式網路釣魚誘餌，目標是韓國學生和Coinlink等加密貨幣交易平臺的用戶。

如果用戶打開惡意軟件，其電子郵寄地址和密碼就會被盜取。 Coinlink否認其網站或用戶的電子郵寄地址和密碼遭到駭客攻擊。 該報告總結稱：「2017年末的這一系列攻擊表明，某國對加密貨幣的興趣有增無減，如今我們知道這種興趣涵蓋了包括挖礦、勒索軟件攻擊和直接盜竊等廣泛活動……」報告還指出，某國利用這些加密貨幣攻擊來規避國際金融制裁。

2017年2月，某國駭客從韓國加密貨幣交易平臺Bithumb盜走700萬美元。 另一家韓國比特幣交易公司Youbit在2017年4月遭受一次攻擊後，同年12月又因17%的資產被盜，不得不申請破產。 Lazarus Group和某國駭客被指是這些攻擊的幕後黑手。 2017年12月，加密貨幣雲挖礦市場Nicehash損失了4500多枚比特幣。 一項調查更新顯示，此次攻擊與Lazarus Group有關。

2019年9月攻擊事件

2019年9月中旬，美國發佈公開警報，稱發現一種名為「ElectricFish」的新型惡意軟件。 自2019年初以來，某國特工在全球範圍內實施了5起重大網絡盜竊，其中包括成功從科威特一家機构盜走4900萬美元。

2020年末製藥公司攻擊事件

由於新冠疫情持續蔓延，製藥公司成為Lazarus Group的主要目標。 Lazarus Group成員利用魚叉式網路釣魚科技，偽裝成衛生官員，向製藥公司員工發送惡意連結。 據信，多家大型製藥企業成為攻擊目標，但現時已確認的只有英瑞合資的阿斯利康公司。 據路透社報導，眾多員工成為攻擊對象，其中很多人參與了新冠疫苗的研發工作。 現時尚不清楚Lazarus Group發動這些攻擊的目的，但可能包括：竊取敏感資訊獲利、實施敲詐勒索計畫，以及讓外國政權獲取新冠病毒相關的專有研究成果。 阿斯利康尚未對該事件發表評論，專家認為現時尚無敏感數據洩露。

2021年1月針對網路安全研究人員的攻擊事件

2021年1月，穀歌和微軟均公開報告稱，有一群來自某國的駭客通過社會工程學手段，對網路安全研究人員發起攻擊，微軟明確指出該攻擊由Lazarus Group實施。

駭客在Twitter、GitHub和領英等平臺創建多個使用者資料，偽裝成合法的軟件漏洞研究人員，與安全研究社區的其他人發佈的帖子和內容互動。 然後，他們會直接聯系特定的安全研究人員，以合作研究為由，誘使受害者下載包含惡意軟件的檔案，或訪問由駭客控制的網站上的博客文章。

一些訪問了博客文章的受害者稱，儘管他們使用的是已完全安裝補丁的穀歌Chrome瀏覽器，但電腦仍遭到入侵，這表明駭客可能利用了此前未知的Chrome零日漏洞進行攻擊； 然而，穀歌在報告發佈時表示，無法確定具體的入侵管道。

2022年3月鏈遊Axie Infinity攻擊事件

2022年3月，Lazarus Group被指從Axie Infinity遊戲使用的Ronin網絡中竊取了價值6.2億美元的加密貨幣。 聯邦調查局表示：「通過調查，我們確認Lazarus Group和APT38（與朝鮮有關聯的網絡行為者）是此次盜竊的幕後黑手。」

2022年6月Horizon Bridge攻擊事件

聯邦調查局證實，朝鮮惡意網絡行為者組織Lazarus Group（也被稱為APT38）是2022年6月24日報導的從Harmony的Horizon橋竊取1億美元虛擬貨幣事件的幕後黑手。

2023年其他相關加密貨幣攻擊事件

區塊鏈安全平臺Immunefi發佈的一份報告稱，Lazarus Group在2023年的加密貨幣駭客攻擊事件中，造成的損失超過3億美元，占當年總損失的17.6%。

2023年6月Atomic Wallet攻擊事件：2023年6月，Atomic Wallet服務的用戶被盜走價值超過1億美元的加密貨幣，聯邦調查局隨後證實了這一事件。

2023年9月Stake.com駭客攻擊事件：2023年9月，聯邦調查局證實，線上賭場和博彩平臺Stake.com價值4100萬美元的加密貨幣被盜，作案者是Lazarus Group。

美國制裁措施

2022年4月14日，美國財政部海外資產控制辦公室（OFAC）根據某國制裁條例第510.214條，將Lazarus Group列入特別指定國民清單（SDN List）。

2024年加密貨幣攻擊事件

據印度媒體報導，當地一家名為WazirX的加密貨幣交易所遭到該組織攻擊，價值2.349億美元的加密資產被盜。

人員培養

據傳言，部分朝鮮駭客會被派往中國瀋陽進行專業培訓，學習如何將各類惡意軟件植入電腦、電腦網絡和服務器。 在朝鮮內部，金策工業綜合大學、金日成綜合大學和萬景臺大學承擔相關教育任務，這些大學從全國選拔最優秀的學生，讓他們接受為期六年的特殊教育。 除大學教育外，「一些最優秀的程式師……會被送到萬景臺大學或Mirim學院深造」。

組織分支

Lazarus Group被認為有兩個分支。

BlueNorOff

BlueNorOff（也被稱為APT38、「星辰千里馬」、「BeagleBoyz」、「NICKEL GLADSTONE」）是一個受經濟利益驅使的組織，通過偽造環球銀行金融電信協會（SWIFT）指令進行非法資金轉移。 Mandiant稱其為APT38，Crowdstrike則稱其為「星辰千里馬」。

BlueNorOff最臭名昭著的攻擊是2016年的某銀行盜竊案，他們試圖通過SWIFT網絡，從某國中央銀行在紐約聯邦儲備銀行的帳戶非法轉移近10億美元。 部分交易成功完成（2000萬美元流向斯里蘭卡，8100萬美元流向菲律賓）後，紐約聯邦儲備銀行因一條指令拼寫錯誤產生懷疑，封锁了其餘交易。

與BlueNorOff相關的惡意軟件包括：「DarkComet」「Mimikatz」「Nestegg」「Macktruck」「想哭」「Whiteout」「Quickcafe」「Rawhide」「Smoothride」「TightVNC」「Sorrybrute」「Keylime」「Snapshot」「Mapmaker」「net.exe」「sysmon」「Bootwreck」「Cleantoad」「Closeshave」「Dyepack」「Hermes」「Twopence」「Electricfish」「Powerratankba」和「Powerspritz」等。

BlueNorOff常用的手段包括：網路釣魚、設定後門、利用漏洞攻擊、水坑攻擊、利用過時且不安全的Apache Struts 2版本在系統上執行程式碼、戰略性地入侵網站，以及訪問Linux服務器等。 有報導稱，他們有時會與犯罪駭客合作。

AndAriel

AndAriel， 也拼作Andarial，還有別稱：沉默的千里馬（Silent Chollima）、黑暗首爾（Dark Seoul）、來福槍（Rifle）以及瓦松尼特（Wassonite），從邏輯上看，其特點是將韓國作為攻擊目標。 安德里爾的別稱「沉默的千里馬」源於該組織行事隱秘的特性[70]。 韓國的任何機构都可能受到安德里爾的攻擊，目標包括政府部門、國防機构以及各類經濟標誌性實體。

根據美國陸軍2020年的一份報告，安德里爾組織約有1600名成員，他們的任務是進行偵察、評估網絡漏洞，並繪製敵方網絡地圖以便實施潜在攻擊。 除韓國外，他們還將其他國家的政府、基礎設施和企業列為攻擊目標。 攻擊手段包括：利用ActiveX控制項、韓國軟件漏洞、水坑攻擊、魚叉式網路釣魚（巨集病毒管道）、針對IT管理產品（如殺毒軟體、項目管理軟體）進行攻擊，以及通過供應鏈（安裝程式和更新程式）發動攻擊。 使用的惡意軟件有：雅利安（Aryan）、灰鴿子遠程控制木馬（Gh0st RAT）、Rifdoor、Phandoor和安達拉特（Andarat）。

相關人員遭起訴情况

2021年2月，美國司法部起訴了朝鮮軍事情報機构偵察總局的三名成員——樸晋赫（Park Jin Hyok）、全昌赫（Jon Chang Hyok）和金一樸（Kim Il Park），指控他們參與了Lazarus Group（Lazarus）的多起駭客攻擊活動。 樸晋赫早在2018年9月就已被起訴。 這幾名嫌疑人現時均未被美國拘押。 此外，一名加拿大人和兩名中國人也被指控為Lazarus Group充當資金轉運者和洗錢者。