朝鲜黑客 Lazarus Group 6 年窃取 30 亿
除窃取加密货币外,朝鲜黑客还学会了加密货币挖矿。编译:碳链价值
近日,根据网络安全公司 Recorded Future 发布的一份报告显示,与朝鲜有关的黑客组织 Lazarus Group 在过去 6 年中窃取了 30 亿美元加密货币。
报告称,仅在 2022 年,Lazarus Group 就掠夺了 17 亿美元的加密货币,很可能为朝鲜项目提供资金。
区块链数据分析公司 Chainaanalysis 表示,其中 11 亿美元是从 DeFi 平台被盗的。美国国土安全部 9 月份发布报告称,作为其分析交换计划 (AEP) 的一部分,也强调了 Lazarus 对 DeFi 协议的利用。
Lazarus Group 的专长是资金盗窃。2016 年,他们入侵了孟加拉国中央银行,窃取了 8100 万美元。2018 年,他们攻击了日本加密货币交易所 Coincheck,盗走了 5.3 亿美元,并攻击了马来西亚中央银行,窃取了 3.9 亿美元。
自 2017 年开始,朝鲜将加密行业作为网络攻击目标,窃取加密货币价值总计超过 30 亿美元。而在此之前,朝鲜曾劫持 SWIFT 网络,并从金融机构之间窃取资金。这种活动引起了国际机构密切关注。金融机构从而投资改善了自身网络安全防御。
在 2017 年,加密货币开始盛行成为主流时,朝鲜黑客将其窃取目标从传统金融转向这种新型数字金融之上,首先瞄准的是韩国加密市场,随后在全球范围内扩展了影响力。
仅在 2022 年,朝鲜黑客被指控窃取了价值约 17 亿美元的加密货币,这个数字相当于朝鲜国内经济规模的约 5%,或其军事预算的 45%。这个数字也几乎是朝鲜 2021 年出口价值的 10 倍,根据 OEC 网站数据显示,当年朝鲜的出口额为 1.82 亿美元。
朝鲜黑客在加密行业窃取加密货币的运作方式,通常与利用加密混合器、跨链交易和法币 OTC 的传统网络犯罪的运作方式相似。然而,因为有国家在背后作为后盾,所以窃取行为能够扩大自身运作规模。这种运作方式是传统网络犯罪团伙无法做到的。
根据数据追踪,2022 年,约有 44% 被盗加密货币与朝鲜黑客行为有关。
朝鲜黑客的目标并不局限于交易所,个人用户、风投公司以及其他技术和协议都曾受到朝鲜黑客行为的攻击。所有这些在行业运营的机构和工作的个人都有可能成为朝鲜黑客的潜在目标,从而让朝鲜政府继续运作和筹集资金。
任何在加密行业中任职的用户、交易所运营商以及初创企业创始人,都应该意识到可能成为黑客攻击的目标。
传统金融机构也应密切关注朝鲜黑客组织的活动。一旦加密货币被窃取并转换成法币,朝鲜黑客窃取行为将在不同账户之间进行资金转移以掩盖来源。通常情况下,被盗身份以及修改后的照片被用于绕过 AML/KYC 验证。任何成为与朝鲜黑客团队相关入侵受害者的个人识别信息(PII)可能会被用来注册账户,以完成窃取加密货币的洗钱过程。因此,经营加密货币和传统金融行业以外的公司也应警惕朝鲜黑客团体活动,以及他们的数据或基础设施是否被用作进一步入侵的跳板。
由于朝鲜黑客组织的大多数入侵都始于社会工程和网络钓鱼活动。一些组织机构应该培训员工监控此类活动,并实施强有力的多因素身份验证,例如,符合 FIDO2 标准的无密码认证。
朝鲜明确将持续窃取加密货币视为主要收入来源,用于资助自身军事和武器项目。虽然目前尚不清楚有多少窃取的加密货币直接用于资助弹道导弹发射,但很明显,近年来被窃取的加密货币数量以及导弹发射数量都大幅增加。如果没有更严格法规、网络安全要求和对加密货币公司网络安全的投资,朝鲜几乎肯定会继续以加密货币行业作为支持国家额外收入的来源。
2023 年 7 月 12 日,美国企业软件公司 JumpCloud 宣布,一名朝鲜支持的黑客已经进入其网络。Mandiant 研究人员随后发布一份报告,指出负责此次攻击的团体是 UNC4899,很可能对应着「TraderTraitor」,一个专注于加密货币的朝鲜黑客组织。截至 2023 年 8 月 22 日,美国联邦调查局(FBI)发布通告称,朝鲜黑客组织涉及 Atomic Wallet、Alphapo 和 CoinsPaid 的黑客攻击,共窃取 1.97 亿美元的加密货币。这些加密货币的窃取使得朝鲜政府能够在严格的国际制裁下继续运作,并资助其高达 50% 的弹道导弹计划的成本。
2017 年,朝鲜黑客入侵了韩国的交易所 Bithumb、Youbit 和 Yapizon,当时窃取的加密货币价值约为 8270 万美元。还有报道称,2017 年 7 月 Bithumb 用户的客户个人身份信息遭到泄露后,加密货币用户也成为了攻击目标。
除窃取加密货币外,朝鲜黑客还学会了加密货币挖矿。2017 年 4 月,卡巴斯基实验室的研究人员发现一种 Monero 挖矿软件,该软件安装在 APT38 的入侵中。
2018 年 1 月,韩国金融安全研究所研究人员宣布,朝鲜的 Andariel 组织在 2017 年夏季入侵一家未公开的公司服务器,并用于挖掘了约 70 枚当时价值约为 25000 美元的门罗币。
2020 年,安全研究人员继续报告了朝鲜黑客针对加密货币行业的新网络攻击。朝鲜黑客组织 APT38 针对美国、欧洲、日本、俄罗斯和以色列的加密货币交易所进行攻击,并使用 Linkedin 作为最初联系目标的方式。
2021 年是朝鲜针对加密货币行业的最高产的一年,朝鲜黑客入侵了至少 7 家加密货币机构,并窃取了价值 4 亿美元的加密货币。此外,朝鲜黑客开始瞄准 Altcoins(山寨币),包括 ERC-20 代币,以及 NFTs。
2022 年 1 月,Chainalysis 研究人员确认,从 2017 年以来尚有价值 1.7 亿美元的加密货币待兑现。
2022 年归属于 APT38 的显著攻击包括 Ronin Network 跨链桥(损失 6 亿美元)、Harmony 桥(损失 1 亿美元)、Qubit Finance 桥(损失 8000 万美元)和 Nomad 桥(损失 1.9 亿美元)。这 4 次攻击特别针对这些平台的跨链桥。跨链桥连接了 2 个区块链,允许用户将一种加密货币从一个区块链发送到另一个包含不同加密货币的区块链。
2022 年 10 月,日本警察厅宣布 Lazarus Group 针对在日本运营的加密货币行业的公司进行了攻击。虽然没有提供具体细节,但声明指出,一些公司遭到了成功的入侵,并且加密货币被窃取。
2023 年 1 月至 8 月间,APT38 据称从 Atomic Wallet(2 次攻击共 1 亿美元损失)、AlphaPo(2 次攻击共 6000 万美元损失)和 CoinsPaid(3700 万美元损失)窃取了 2 亿美元。同样在 1 月份,美国 FBI 证实,APT38 在窃取 Harmony 的 Horizon 桥虚拟货币方面损失了 1 亿美元。
在 2023 年 7 月的 CoinsPaid 攻击中,APT38 操作员可能冒充招聘者,专门针对 CoinsPaid 的员工发送了招聘电子邮件和 LinkedIn 消息。CoinsPaid 表示,APT38 花了 6 个月的时间试图获得对其网络的访问权限。
- 以下是 Insikt Group 提出的防范建议,以防止朝鲜网络攻击针对加密货币用户和公司的攻击行为:
- 启用多重身份认证(MFA):为钱包和交易使用硬件设备,如 YubiKey,以增强安全性。
- 为加密货币交易所启用任何可用的 MFA 设置,以最大程度保护账户免受未经授权的登录或窃取。
- 验证已验证的社交媒体账户,检查用户名是否包含特殊字符或数字替换字母。
- 确保所请求的交易是合法的,验证任何空投或其他免费加密货币或 NFT 推广活动。
- 在接收到类似 Uniswap 或其他大型平台的空投或其他内容时,始终检查官方来源。
- 始终检查 URL,并在点击链接后观察重定向,确保网站是官方网站而不是钓鱼网站。
- 在进行加密货币交易时格外谨慎。加密货币资产没有任何机构保障来减轻「传统」欺诈。
- 使用硬件钱包。硬件钱包可能比像 MetaMask 这样始终连接到互联网的「热钱包」更安全。对于连接到 MetaMask 的硬件钱包,所有交易都必须通过硬件钱包批准,从而提供了额外的安全层。
- 仅使用可信的 dApps(去中心化应用程序),并验证智能合约地址以确认其真实性和完整性。真正的 NFT 铸造交互依赖于可能是更大 dApp 的一部分的智能合约。可以使用 MetaMask、区块链浏览器(如 Etherscan)或有时直接在 dApp 内部验证合约地址。
- 双重检查官方网站的网址以避免模仿。一些加密货币窃取钓鱼页面可能依赖于域名拼写错误来欺骗毫不知情的用户。
- 对于看起来太好以至于难以置信的优惠表示怀疑。加密货币窃取钓鱼页面会以有利的加密货币交易汇率或 NFT 铸造交互的低廉 Gas 费来吸引受害者。
