作者：Yohan Yun 來源：cointelegraph 翻譯：善歐巴，喜來順財(cái)經(jīng)

自 2017 年以來，Lazarus Group 已竊取了超過 60 億美元的加密貨幣，成為業(yè)內(nèi)最臭名昭著的黑客集團(tuán)。

Lazarus Group 并非偶爾涉足黑客世界，它經(jīng)常是重大加密貨幣盜竊案件的主要嫌疑人。這個(gè)由朝鮮政府支持的集團(tuán)通過從交易所竊取數(shù)十億美元、欺騙開發(fā)者并繞過行業(yè)中最復(fù)雜的安全措施，已成為全球最具威脅性的黑客組織之一。

2025年2月21日，它實(shí)現(xiàn)了至今為止最大的盜竊——從加密貨幣交易所Bybit竊取創(chuàng)紀(jì)錄的14億美元。加密偵探ZachXBT在將Bybit攻擊與Phémex交易所8500萬美元的黑客事件關(guān)聯(lián)后，確認(rèn)Lazarus是主要嫌疑人。他還將黑客攻擊與BingX和Poloniex的漏洞事件聯(lián)系起來，進(jìn)一步增加了指向朝鮮網(wǎng)絡(luò)軍隊(duì)的證據(jù)。

根據(jù)安全公司Elliptic的數(shù)據(jù)，自2017年以來，Lazarus集團(tuán)已從加密貨幣行業(yè)盜取約60億美元。聯(lián)合國安理會(huì)的一項(xiàng)研究報(bào)告指出，這些被盜資金據(jù)信用于資助朝鮮的武器計(jì)劃。

作為歷史上最為活躍的網(wǎng)絡(luò)犯罪組織之一，該組織的涉嫌操作人員和手段揭示了一個(gè)高度復(fù)雜的跨國運(yùn)營，旨在為朝鮮政權(quán)服務(wù)。誰在幕后操控Lazarus？它是如何成功實(shí)施Bybit黑客攻擊的？它還采用了哪些方法，造成了持續(xù)的威脅？

Lazarus Group 名人錄

美國財(cái)政部聲稱，Lazarus 受朝鮮偵察總局 (RGB) 控制，該局是朝鮮政權(quán)的主要情報(bào)機(jī)構(gòu)。美國聯(lián)邦調(diào)查局 (FBI) 公開點(diǎn)名三名疑似朝鮮黑客為 Lazarus（又名 APT38）成員。?

2018 年 9 月，美國聯(lián)邦調(diào)查局指控朝鮮國民、Lazarus 疑似成員樸鎮(zhèn)赫 (Park Jin Hyok) 犯下歷史上最臭名昭著的網(wǎng)絡(luò)攻擊案。據(jù)稱，樸鎮(zhèn)赫曾為朝鮮幌子公司 Chosun Expo Joint Venture 工作，與2014 年索尼影業(yè)黑客攻擊案和2016 年孟加拉銀行搶劫案（8100 萬美元被盜）有關(guān)。?

樸還與2017 年的 WannaCry 2.0 勒索軟件攻擊有關(guān)，該攻擊使包括英國國家醫(yī)療服務(wù)體系 (NHS) 在內(nèi)的多家醫(yī)院陷入癱瘓。調(diào)查人員通過共享的惡意軟件代碼、被盜憑證存儲(chǔ)賬戶以及掩蓋朝鮮和中國 IP 地址的代理服務(wù)追蹤了樸及其同謀。

2021年2月，美國司法部宣布將Jon Chang Hyok和Kim Il列入其被起訴的網(wǎng)絡(luò)犯罪嫌疑人名單，他們在一些全球最具破壞性的網(wǎng)絡(luò)入侵中扮演了重要角色。兩人被指控為Lazarus集團(tuán)工作，策劃了網(wǎng)絡(luò)金融犯罪、盜取加密貨幣并為政權(quán)洗錢。

Jon專門開發(fā)并傳播惡意加密貨幣應(yīng)用程序，滲透交易所和金融機(jī)構(gòu)，實(shí)施大規(guī)模盜竊。Kim則負(fù)責(zé)分發(fā)惡意軟件、協(xié)調(diào)與加密相關(guān)的盜竊活動(dòng)，并策劃了虛假的Marine Chain ICO。

Lazarus集團(tuán)的最大黑客事件是如何發(fā)生的

據(jù)朝鮮官方媒體報(bào)道，就在 Bybit 黑客攻擊發(fā)生前幾周，朝鮮領(lǐng)導(dǎo)人金正恩視察了一處核材料生產(chǎn)設(shè)施，并呼吁擴(kuò)展該國的核武庫，超越當(dāng)前的生產(chǎn)計(jì)劃。

2 月 15 日，美國、韓國和日本發(fā)表聯(lián)合聲明，重申他們致力于朝鮮無核化。平壤迅速在 2 月 18 日駁斥該聲明，稱其“荒謬”，并再次誓言增強(qiáng)核力量。

三天后，Lazarus 集團(tuán)再次出手。

在安全圈內(nèi)，Lazarus 的作案手法通常能在官方調(diào)查確認(rèn)其參與之前就被識(shí)別出來。

“在 Bybit 的 ETH 剛剛轉(zhuǎn)出后的幾分鐘內(nèi)，我就能自信地在私下里說，這與朝鮮有關(guān)，因?yàn)樗麄冊阪溕系闹讣y和 TTP（戰(zhàn)術(shù)、技術(shù)和程序）過于獨(dú)特。” —— 加密保險(xiǎn)公司 Fairside Network 的調(diào)查負(fù)責(zé)人 Fantasy 在接受 Cointelegraph 采訪時(shí)表示。

“他們會(huì)將 ERC-20 資產(chǎn)拆分到多個(gè)錢包，立即以次優(yōu)方式拋售代幣，導(dǎo)致高額交易費(fèi)或滑點(diǎn)，然后再將 ETH 以大額、整齊的數(shù)額轉(zhuǎn)入新創(chuàng)建的錢包。”

在 Bybit 攻擊事件中，黑客精心策劃了一次復(fù)雜的網(wǎng)絡(luò)釣魚攻擊，以突破 Bybit 的安全系統(tǒng)，并欺騙交易所授權(quán)轉(zhuǎn)移 401,000 枚以太坊（ETH），價(jià)值 14 億美元，到他們控制的錢包。根據(jù)區(qū)塊鏈取證公司 Chainalysis 的分析，攻擊者通過偽裝成 Bybit 錢包管理系統(tǒng)的假冒版本，直接獲取了交易所資產(chǎn)的訪問權(quán)限。

資金被盜后，黑客立即啟動(dòng)了洗錢操作，將資產(chǎn)分散到多個(gè)中間錢包。Chainalysis 的調(diào)查人員發(fā)現(xiàn)，部分被盜資金被轉(zhuǎn)換為比特幣（BTC）和 Dai（DAI），利用去中心化交易所、跨鏈橋以及無 KYC的代幣兌換服務(wù)，例如 eXch——盡管整個(gè)行業(yè)對(duì) Bybit 黑客事件進(jìn)行了干預(yù)，該平臺(tái)仍拒絕凍結(jié)與該攻擊相關(guān)的非法資金。eXch 否認(rèn)為朝鮮洗錢。

目前，被盜資產(chǎn)中的一大部分仍存放在多個(gè)地址中，這是朝鮮關(guān)聯(lián)黑客常用的策略，旨在規(guī)避監(jiān)管機(jī)構(gòu)的嚴(yán)密追蹤。

此外，根據(jù) TRM Labs 的報(bào)告，朝鮮黑客通常會(huì)將被盜資金兌換成比特幣。比特幣的未使用交易輸出（UTXO）模型進(jìn)一步增加了追蹤難度，使得取證分析遠(yuǎn)比以太坊的賬戶模型復(fù)雜。比特幣網(wǎng)絡(luò)還擁有多種混幣服務(wù)，而 Lazarus 頻繁使用這些工具來隱藏交易痕跡。

Lazarus Group 的社會(huì)工程項(xiàng)目

Chainalysis表示朝鮮黑客加大了對(duì)加密貨幣行業(yè)的攻擊力度，2024年通過47次攻擊盜取了13.4億美元——是2023年被盜6.605億美元的兩倍多。

這家總部位于紐約的安全公司補(bǔ)充道，通過私鑰泄露進(jìn)行的盜竊仍然是加密生態(tài)系統(tǒng)面臨的最大威脅之一，占2024年所有加密貨幣黑客事件的43.8%。這種方法被用在了與朝鮮Lazarus集團(tuán)相關(guān)的幾起重大攻擊事件中，例如3.05億美元的DMM比特幣攻擊和6億美元的Ronin黑客事件。

盡管這些高調(diào)的盜竊事件占據(jù)了頭條新聞，朝鮮黑客也掌握了長期詐騙的技巧——這種策略提供了穩(wěn)定的現(xiàn)金流，而不是依賴一次性的意外收獲。

他們針對(duì)每個(gè)人、任何東西，任何金額。具體來說，Lazarus專注于這些大型復(fù)雜的黑客攻擊，如Bybit、Phemex和Alphapo，但他們也有較小的團(tuán)隊(duì)，進(jìn)行低價(jià)值和更多手動(dòng)密集的工作，如惡意的[或]假招聘面試。

微軟威脅情報(bào)部門已確認(rèn)一個(gè)名為“Sapphire Sleet”的朝鮮威脅小組，稱其為加密貨幣盜竊和公司滲透的關(guān)鍵玩家。該名字延續(xù)了微軟基于天氣的分類法，“sleet”表示與朝鮮的聯(lián)系。除此之外，這個(gè)小組更廣為人知的是Bluenoroff，Lazarus的一個(gè)子小組。

他們偽裝成風(fēng)險(xiǎn)資本家和招聘人員，誘使受害者參與虛假的工作面試和投資騙局，部署惡意軟件來竊取加密錢包和財(cái)務(wù)數(shù)據(jù)，在六個(gè)月內(nèi)賺取超過1000萬美元。

朝鮮還將成千上萬的IT人員部署到俄羅斯、中國及其他地區(qū)，利用AI生成的個(gè)人資料和被盜身份獲得高薪技術(shù)職位。一旦進(jìn)入，這些黑客就會(huì)盜取知識(shí)產(chǎn)權(quán)、勒索雇主，并將收益匯入政權(quán)。微軟泄露的朝鮮數(shù)據(jù)庫揭示了虛假的簡歷、欺詐賬戶和支付記錄，揭示了一個(gè)復(fù)雜的操作，使用AI增強(qiáng)的圖像、變聲軟件和身份盜竊來滲透全球企業(yè)。

2024年8月，ZachXBT揭露了一個(gè)由21名朝鮮開發(fā)者組成的網(wǎng)絡(luò)，他們通過將自己嵌入加密初創(chuàng)公司，每月賺取50萬美元。

2024年12月，圣路易斯的一個(gè)聯(lián)邦法院解封了對(duì)14名朝鮮國籍人士的起訴書，指控他們違反制裁、進(jìn)行電匯欺詐、洗錢和身份盜竊。

這些人曾在朝鮮控制的公司Yanbian Silverstar和Volasys Silverstar工作，這些公司在中國和俄羅斯運(yùn)作，騙取公司聘用他們進(jìn)行遠(yuǎn)程工作。

在六年內(nèi)，這些工作人員至少賺取了8800萬美元，其中一些被要求為政權(quán)每月賺取10,000美元。

迄今為止，朝鮮的網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略仍然是世界上最復(fù)雜和最有利可圖的行動(dòng)之一，據(jù)稱將數(shù)十億美元轉(zhuǎn)入政權(quán)的武器計(jì)劃。盡管執(zhí)法機(jī)關(guān)、情報(bào)機(jī)構(gòu)和區(qū)塊鏈調(diào)查人員的審查力度不斷增加，Lazarus集團(tuán)及其子小組仍在不斷適應(yīng)，完善其戰(zhàn)術(shù)以逃避偵測，并維持非法的收入來源。

隨著創(chuàng)紀(jì)錄的加密盜竊、對(duì)全球科技公司的深入滲透以及日益擴(kuò)大的IT操作員網(wǎng)絡(luò)，朝鮮的網(wǎng)絡(luò)操作已經(jīng)成為長期的國家安全威脅。美國政府的多機(jī)構(gòu)打擊行動(dòng)，包括聯(lián)邦起訴和數(shù)百萬美元的懸賞，標(biāo)志著對(duì)破壞平壤金融管道的努力正在加劇。

但正如歷史所證明的那樣，Lazarus是無情的；朝鮮網(wǎng)絡(luò)軍隊(duì)帶來的威脅遠(yuǎn)未結(jié)束。