加密货币:朝鲜黑客组织 Lazarus Group：Ronin、KuCoin等多起行业事故幕后黑手

黑客攻击如今已然成为加密生态中的常态化事件，据 Chainalysis 2022 年 Q1 报告显示，黑客在 2021 年盗取价值 32 亿美元的加密资产，但在 2022 年前三个月，黑客从交易所、DeFi 协议和普通用户盗取约 13 亿美元加密资产，其中 97% 来自 DeFi 协议。

而在一众黑客组织中，又以朝鲜黑客组织 Lazarus Group 近期最受关注。根据美国财政部报告，该组织正是损失高达 6.2 亿美元的Ronin 跨链桥被盗事件的幕后黑手，其以太坊地址已经纳入美国制裁名单。此前，该组织被认为是Bithumb、KuCoin等诸多加密货币交易所被盗事件的主导者，并且手法多为钓鱼攻击。

如今，Lazarus Group 俨然正在成为加密生态最具破坏性的黑客组织之一。那么这个组织究竟是如何形成的？它们通常优势如何作案的？

Lazarus Group 简介

据维基百科资料，Lazarus Group 成立于 2007 年，隶属于北韩人民军总参谋部侦察总局第三局旗下的 110 号研究中心，专门负责网络战。该组织从国内挑选最聪明的学生接受六年的特殊教育，培养其将各种类型的恶意软件部署到计算机和服务器的能力，朝鲜国内的金日成大学、Kim Chaek科技大学和Moranbong大学提供相关教育。

美国政府指控朝鲜黑客从加密货币公司窃取超过1亿美元资金:2月18日消息，美国政府指控朝鲜三名黑客与一系列网络犯罪有关，包括盗窃数百家企业，其中包括几家加密货币行业的企业。在美国司法部周三公布的13亿美元盗窃金额中，有很大一部分似乎与银行账户的非法资金转移有关。

但司法部的声明称，几家未具名的加密公司是黑客攻击的目标，其中包括斯洛文尼亚的一家矿业公司。根据文件，三名黑客总共盗窃了约1.117亿美元。美国司法部表示，190万美元的加密货币已被没收，并将返还给这家总部位于纽约的公司。（The Block）[2021/2/18 17:25:23]

该组织分为2个部门，一个是大约 1700 名成员的 BlueNorOff（也称为APT38），负责通过伪造 SWIFT 订单进行非法转账，专注于利用网络漏洞谋取经济利益或控制系统来实施金融网络犯罪，此部门针对金融机构和加密货币交易所。另一个是大约 1600 名成员的 AndAriel，以韩国为攻击目标。

已知 Lazarus Group 最早的攻击活动是 2009 年其利用 DDoS 技术来攻击韩国政府的“特洛伊行动”。而最著名的一次是 2014 年对索尼影业的攻击，原因是索尼上映关于暗杀朝鲜领导人金正恩的喜剧。

该组织旗下机构 BlueNorOff 的一次知名攻击是 2016 年的孟加拉国银行攻击案，他们试图利用SWIFT 网络从属于孟加拉国中央银行的纽约联邦储备银行账户非法转移近 10 亿美元。在完成了几笔交易（2000 万美元追踪到斯里兰卡，8100 万美元追踪到菲律宾）后，纽约联邦储备银行以拼写错误引起的怀疑为由阻止了其余交易。

朝鲜黑客组织Lazarus加大窃取加密货币力度:5月11日报道，由于COVID-19和对朝鲜实施的经济制裁，在经济困难的情况下，朝鲜黑客组织Lazarus加大了其窃取加密货币的力度。网络安全公司EST Security在新闻稿中说，APT黑客组织Lazarus据称受到(朝鲜)某个政府的资助，正在越来越多地在境内和境外从事网络犯罪活动。（DailyNK）[2020/5/11]

自2017年以来，该组织开始对加密行业进行攻击，并获利至少达10亿美元。

Lazarus Group 加密攻击事件

2017 年 2 月从韩国交易所 Bithumb 盗取 700 万美元的数字资产。?

2017 年 4 月从韩国交易所 Youbit 盗取约 4000 枚比特币，12月再次盗取其 17% 数字资产，Youbit申请破产。

2017 年 12 月从加密货币云挖矿市场 Nicehash 盗取超过 4500 枚比特币。

2020 年 9 月从 KuCoin 交易所盗取价值约3亿美元的数字资产。

2022 年 3 月攻击 Ronin 跨链桥，盗取17.36 万个ETH 和 2550 万 USDC 被盗，累计价值约 6.2 亿美元。

此外，许多加密项目方负责人或者 KOL 也会成为 Lazarus Group 的目标。2022年3月22日，Defiance Capital 创始人 Arthur 在推特表示热钱包被盗，包括 17 枚 azuki 和 5 枚 cloneX 在内的的 60 枚 NFT ，损失约 170 万美元。Arthur称有证据表明幕后黑手是朝鲜支持的 BlueNorOff 黑客组织，他们正在大力伤害加密行业。

美国政府试图扣押113个与朝鲜黑客组织有关地址中的加密货币:此前，美国司法部称，两名中国公民因涉嫌帮助朝鲜黑客组织清洗了1亿美元被盗的加密货币，而被指控犯有阴谋罪和经营无证汇款业务罪。周一，另一份对物没收文件显示，美国政府正试图扣押113个不同地址的加密货币，并称这两名被告清洗了“大部分被盗的BTC”。根据这份文件，总共有2.34亿美元的加密货币被盗，包括BTC、ETH、ZEC、DOGE、XRP、LTC和ETC等。大多被盗加密货币通过“剥皮链（peel chains）”进行。注：剥皮链是指一连串交易，通常被用于，在这种交易中，欺诈者会通过多个钱包连续快速地发送资金，通常在每一步将少量资金进行兑现，然后将大部分货币发送到下一个钱包。被告将部分加密货币卖给了美国客户，并通过美国交易所进行交易，此外还涉及一家韩国交易所。美国司法部的一份新闻稿指出，完成清洗的资金帮助朝鲜继续对其他金融行业参与者进行攻击。文件还称，两名被告还与韩国一家交易所“被盗大约4850万美元”的加密货币有关。虽然司法部没有透露该交易所的名称，但Upbit曾在2019年11月27日报告称因黑客攻击而损失了约4900万美元的加密资产。（CoinDesk）[2020/3/4]

面对外界的指控，朝鲜曾发表公告称不是Lazarus Group所为，但此后从不回应媒体的询问。

攻击特点

根据虎符智库分析，Lazarus Group 通过网络钓鱼、恶意代码、恶意软件等手段盗取存储在数字钱包的加密资产，主要有以下特点：

动态 | 朝鲜黑客利用假冒加密货币交易软件来劫持苹果macOS:安全研究人员发现，朝鲜黑客组织Lazarus现在正在使用由一家打着幌子的公司创建假冒的加密货币交易软件。黑客们似乎建立了一个名为JMT Trading的幌子公司，并编写了一个附带的开源加密货币交易应用程序，其中代码托管在GitHub。

Mac安全专家Patrick Wardle表示，JMT Trading软件的代码中有段恶意代码，可让攻击者在目标设备上“远程执行命令”，也就是黑客可以完全控制受感染的macOS系统，在受害者电脑上进行任何操作。事实上，JMT Trading只是Lazarus只是重新应用了其此前的策略，之前该黑客组织它将恶意代码植入看似合法的应用。（新浪财经）[2019/10/15]

攻击周期普遍较长，通常进行较长时间潜伏，并换不同方法诱使目标被入侵。

投递的诱饵文件具有极强的迷惑性和诱惑性，导致目标无法甄别。

攻击过程会利用系统破坏或勒索应用干扰事件的分析。

利用SMB协议漏洞或相关蠕虫工具实现横向移动和载荷投放。

每次攻击使用工具集的源代码都会修改，并且网安公司披露后也会及时修改源代码。

Lazarus Group 最擅长的攻击手段是滥用信任，利用目标对商业通信、同事内部聊天或者与外部交互的信任，向其发送恶意文件，并监控其日常操作伺机盗窃。在攻击者意识到找到的目标是加密大户后，会仔细观察用户数周或数月的活动轨迹，最后才制定盗窃方案。

动态 | 朝鲜黑客制造加密货币恶意软件瞄准MacOS电脑:卡巴斯基的全球研究和分析团队(GReAT)发现了一种新型的恶意软件，它是一种合法的交易应用程序，但能够造成严重破坏，并且在感染主机后不被发现。据称，这个黑客组织得到了朝鲜政府的支持。根据the GReAT的说法，这种新的恶意软件是专门为macOS开发的，它针对的对象是加密货币交易。[2018/8/27]

2021年1月，谷歌安全团队也曾表示发现Lazarus长期潜伏在Twitter、LinkedIn、Telegram 等社交媒体，利用虚假身份伪装成活跃的业内漏洞研究专家，博取业内信任从而对其他漏洞研究人员发动0day攻击。

据卡巴斯基的研究，今年 BlueNoroff 组织喜欢跟踪和研究成功的加密货币初创公司，目标是与团队管理层建立良好的个人互动关系并了解可能感兴趣的主题，甚至会雇佣或伪装成应聘者潜入公司，以便发起高质量的社会工程攻击。

美国政府的一份报告，则进一步披露，入侵往往始于在各种通信平台上发送给加密货币公司员工的大量鱼叉式网络钓鱼消息，这些员工通常从事系统管理或软件开发/IT 运营 (DevOps)。这些消息通常模仿招聘工作并提供高薪工作以诱使收件人下载带有恶意软件的加密货币应用程序。

把恶意文件植入目标电脑之后，如果攻击者意识到目标使用Metamask拓展来管理加密钱包之后，会将扩展源从 Web Store 更改为本地存储，并将核心扩展组件（backgorund.js）替换为篡改版本。下面截图显示了受病感染的 Metamask background.js 代码，其中注入的代码行以黄色显示。在这种情况下，攻击者设置了对特定发件人和收件人地址之间交易的监控，可以在发现大额转账时触发通知。

另外，如果攻击者意识到目标用户的加密货币是储存在硬件钱包，会拦截交易过程并注入恶意逻辑。当用户将资金转移到另一个账户时，交易就会在硬件钱包上签名。但是，鉴于该操作是由用户主动发起，不会引起自身的怀疑，然而攻击者不仅修改了收款人地址，还将转账数量拉到最大值。

这听上去很简单，但需要对 Metamask 扩展插件进行彻底分析，该扩展包含超过 6MB 的 JavaScript 代码（约 170,000 行代码），并实施代码注入让用户使用扩展时按需重写交易细节。

但是，攻击者对 Chrome 扩展的修改会留下痕迹。浏览器必须切换到开发者模式，并且 Metamask 扩展是从本地目录而不是在线商店安装的。如果插件来自商店，Chrome 会对代码强制执行数字签名验证并保证代码完整性，攻击者就无法完成攻击过程。

如何应对

随着加密生态规模的快速增长，Lazarus Group 对行业的威胁也在急剧增长。根据美国联邦调查局（FBI）、美国网络安全和基础设施安全局（CISA）和美国财政部近日共同发布的联合网络安全咨询（CSA），自 2020 年以来，朝鲜支持的高级持续威胁（APT）就已开始针对区块链和加密行业的各种组织，包括加密交易所、DeFi 协议、链游、加密贸易公司、加密风投以及持有大量代币和 NFT 的个人所有者。这些组织可能会继续利用加密货币技术公司、游戏公司和交易所的漏洞来产生和以支持朝鲜政权。?

为此，该报告提出的缓解措施包括应用纵深防御安全策略、强制执行凭据要求和多因素身份验证、在社交媒体和鱼叉式钓鱼中对用户进行社交工程教育等。

今日，知名加密安全组织慢雾也针对该现象发布防范建议：建议行业从业人员随时关注国内外各大威胁平台安全情报，做好自我排查，提高警惕；开发人员运行可执行程序之前，做好必要的安全检查；做好零信任机制，可以有效降低这类威胁带来的风险；建议 Mac/Windows 实机运行的用户保持安全软件实时防护开启，并随时更新最新病库。

在渠道方面，以太坊混币协议 Tornado Cash 近日也发推表示，该项目正在使用合规公司 Chainalysis 开发的工具来阻止美国外国资产控制办公室 (OFAC) 批准的特定加密钱包地址访问 DApp，这似乎是在对 Lazarus Group 的围追堵截。

不过 Tornado Cash 联合创始人Roman Semenov此后发推称，封锁仅适用于面向用户的去中心化应用程序（dapp），而不适用于底层智能合约。也就是说，此举更多地是象征性行动，很难实质性影响资深黑客通过 Tornado Cash 混币。

总结

Lazarus Group 组织是有国家背景支持的顶尖黑客团伙，专注于针对特定目标进行长期的持续性网络攻击，以窃取资金和实现目的为出发点，是全球金融机构的最大威胁之一。

同时，此类组织对加密生态的攻击也会间接导致加密货币市场成为朝鲜政权补充资金的便捷渠道，导致加密行业的进一步恶名化，影响其合规化与规范化进程。

为了应对 Lazarus Group 等一系列黑客组织的攻击以及维护健康的加密行业生态，加密项目需要在应对此类攻击方面形成更加有效的预防机制，在代码审计、内控、用户教育、响应机制等层面均采取相应措施，尽可能保障用户资产安全。

作为加密用户，每个人也需要了解更多安全方面的知识，尤其是在保护个人隐私、鉴别钓鱼链接等方面，鉴于 Defiance Capital 创始人 Arthur 这般资深用户仍然被盗，任何人都不容忽视此类风险。

参考资料：1、https://en.wikipedia.org/wiki/Lazarus_Group2、https://blog.chainalysis.com/reports/2022-defi-hacks/3、https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/4、https://cryptobriefing.com/north-korea-is-targeting-entire-crypto-space-top-vc-warns/

标签：加密货币GROEFIENO加密货币的优缺点IBGroupGDEFI价格XENO Governance Token

Ethereum热门资讯