Web3 史上最大劫案始作俑者 Lazarus Group 背後的故事

來源： 維基百科

編譯：Yobo，Foresight News

以下內容譯自維基百科詞條「Lazarus Group」正文：

Lazarus Group（也被稱為 「Guardians」 或 「Peace or Whois Team」）是一個由數量不明的人员組成的黑客組織，據稱受朝鮮政府操控。雖然人們對該組織了解有限，但自 2010 年以來，研究人員已將多起網絡攻擊歸咎於他們。

該組織最初是一個犯罪團夥，如今因其攻擊意圖、造成的威脅，以及行動時使用的多種手段，已被認定為高級持續性威脅組織。網絡安全機構給他們起了不少別稱，比如 「Hidden Cobra」（美國國土安全部用這個稱呼來指代朝鮮政府發起的惡意網絡活動），還有 「ZINC」 或 「Diamond Sleet」（微軟的叫法）。據該國叛逃者 Kim Kuk-song 稱，該組織在朝鮮國內被稱為 「414 聯絡辦公室」。

Lazarus Group 與朝鮮聯繫緊密。美國司法部宣稱，該組織是朝鮮政府戰略的一部分，目的是 「破壞全球網絡安全…… 並違反制裁規定獲取非法收入」。朝鮮通過開展網絡行動能獲得諸多好處，僅需要維護一個非常精幹的小團隊就能構成「全球性」的不對稱威脅（尤其是針對韓國）。

發展歷程

該組織已知最早發動的攻擊是 2009 年至 2012 年的 「特洛伊行動」。這是一場網絡間諜活動，他們利用並不複雜的分佈式拒絕服務攻擊（DDoS）技術，將位於首爾的韓國政府作為目標。2011 年和 2013 年，他們也發動了攻擊。雖然不能確定，但 2007 年針對韓國的一次攻擊也有可能是他們所為。該組織的一次著名攻擊發生在 2014 年，目標是索尼影視。這次攻擊運用了更複雜的技術，也顯示出該組織隨著時間推移變得越來越成熟。

據報導，2015 年，Lazarus Group 從厄瓜多爾的奧斯特羅銀行盜走 1200 萬美元，還從越南的先鋒銀行盜走 100 萬美元。他們還將波蘭和墨西哥的銀行列為目標。2016 年的銀行盜竊案中，他們對某銀行發動攻擊，成功盜走 8100 萬美元，這起案件也被認為是該組織所為。2017 年，有報導稱 Lazarus Group 從台灣遠東國際商業銀行盜走 6000 萬美元，不過實際被盜金額並不明確，而且大部分資金已追回。

目前尚不清楚該組織的真正幕後黑手是誰，但媒體報導指出，該組織與朝鮮有密切關聯。2017 年，卡巴斯基實驗室報告稱，Lazarus Group 傾向於專注間諜和滲透類網絡攻擊，而其內部一個被卡巴斯基稱為 「Bluenoroff」 的子組織，則專門從事金融網絡攻擊。卡巴斯基在全球發現多起攻擊事件，並發現 Bluenoroff 與該國存在直接的 IP 地址關聯。

不過，卡巴斯基也承認，代碼的重複使用可能是一種 「假旗行動」，目的是誤導調查人員，讓朝鮮背黑鍋，畢竟全球範圍內的「想哭」 蠕蟲網絡攻擊就抄襲了美國國家安全局的技術。這種勒索軟件利用了美國國家安全局的 「永恆之藍」 漏洞，2017 年 4 月，一個名為 「影子經紀人」 的黑客組織將該漏洞公開。2017 年，Symantec 報告稱，「WannaCry」 攻擊極有可能是 Lazarus Group 所為。

2009 年 「特洛伊行動」

Lazarus Group 的首次重大黑客事件發生在 2009 年 7 月 4 日，標誌著 「特洛伊行動」 的開始。這次攻擊利用 「我的末日」 和「推土機」 惡意軟件，對美國和韓國的網站發起大規模但手法並不複雜的 DDoS 攻擊。這波攻擊針對約 36 個網站，並在主引導記錄（MBR）中植入 「獨立日紀念」 的文字。

2013 年韓國網絡攻擊（「Operation 1 行動」/「黑暗首爾」 行動）

隨著時間推移，該組織的攻擊手段愈發複雜；他們的技術和工具也更加成熟、有效。2011 年 3 月的 「十日雨」 攻擊，目標是韓國的媒體、金融和關鍵基礎設施，採用了更複雜的 DDoS 攻擊，這些攻擊源自韓國國內被入侵的計算機。2013 年 3 月 20 日，「黑暗首爾」 行動展開，這是一個擦除數據的攻擊，目標是韓國的三家廣播公司、金融機構和一家互聯網服務提供商。當時，另外兩個自稱 「新羅馬網絡軍團」 和 「WhoIs 團隊」 的組織宣稱對此次攻擊負責，但研究人員當時並不知道背後主謀是 Lazarus Group。如今，研究人員知道 Lazarus Group 是這些破壞性攻擊的主導者。

2014 年末：索尼影視遭入侵

2014 年 11 月 24 日，Lazarus Group 的攻擊達到高潮。當天，Reddit 上出現一篇帖子，稱索尼影視被不明手段入侵，攻擊者自稱 「和平衛士」。大量數據被盜取，並在攻擊後的幾天裡逐漸泄露。一名自稱是該組織成員的人在接受採訪時表示，他們竊取索尼的數據已有一年多時間。

黑客得以訪問尚未發行的電影、部分電影劇本、未來電影計劃、公司高管薪資信息、電子郵件，以及約 4000 名員工的個人信息。

2016 年初調查：「重磅炸彈行動」

以 「重磅炸彈行動」 為代號，由 Novetta 牽頭的多家安全公司組成聯盟，對不同網絡安全事件中發現的惡意軟件樣本進行分析。利用這些數據，該團隊分析了黑客的作案手法。他們通過代碼復用模式，將 Lazarus Group 與多起攻擊關聯起來。例如，他們使用了一種在互聯網上鮮為人知的加密算法 ------「卡拉卡斯」 密碼算法。

2016 年某銀行網絡盜竊案

2016 年 2 月發生了一起銀行盜竊案。安全黑客通過環球銀行金融電信協會（SWIFT）網絡發出 35 條欺詐指令，試圖從某國中央銀行在紐約聯邦儲備銀行的賬戶非法轉移近 10 億美元。35 條欺詐指令中有 5 條成功轉移了 1.01 億美元，其中 2000 萬美元流向斯里蘭卡，8100 萬美元流向菲律賓。紐約聯邦儲備銀行因一條指令拼寫錯誤產生懷疑，阻止了其餘 30 筆交易，涉及金額 8.5 億美元。網絡安全專家稱，此次攻擊的幕後黑手是來自某國的 Lazarus Group。

2017 年 5 月 「WannaCry」 勒索軟件攻擊

「WannaCry」 攻擊是一場大規模的勒索軟件網絡攻擊，2017 年 5 月 12 日，從英國國家醫療服務體系（NHS），到波音公司，甚至中國的一些大學，全球眾多機構都受到影響。這次攻擊持續了 7 小時 19 分鐘。歐洲刑警組織估計，此次攻擊影響了 150 個國家的近 20 萬台計算機，主要受影響的地區包括俄羅斯、印度、烏克蘭和台灣地區。這是最早的加密蠕蟲攻擊之一。加密蠕蟲是一類惡意軟件，可通過網絡在計算機之間傳播，無需用戶直接操作即可感染 ------ 在這次攻擊中，它利用的是 TCP 端口 445。計算機感染該病毒無需點擊惡意鏈接，惡意軟件可自動傳播，從一台計算機傳播到連接的打印機，再傳播到附近連接無線網絡的其他計算機等。端口 445 的漏洞使得惡意軟件能在內部網絡中自由傳播，迅速感染數千台計算機。「WannaCry」 攻擊是首次大規模使用加密蠕蟲的攻擊之一。

攻擊方式：該病毒利用了 Windows 操作系統的漏洞，然後加密計算機數據，要求支付約 300 美元價值的比特幣來獲取解密密鑰。為促使受害者付款，三天後贖金翻倍，如果一周內未支付，惡意軟件就會刪除加密的數據文件。惡意軟件使用了微軟開發的一款名為 「Windows Crypto」 的合法軟件來加密文件。加密完成後，文件名會加上 「Wincry」 後綴，這就是 「想哭」（WannaCry）名稱的由來。「Wincry」 是加密的基礎，但惡意軟件還利用了另外兩個漏洞 「永恆之藍」（EternalBlue）和 「雙脈衝星」（DoublePulsar），使其成為加密蠕蟲。「永恆之藍」 可自動通過網絡傳播病毒，「雙脈衝星」 則觸發病毒在受害者計算機上激活。也就是說，「永恆之藍」 將受感染的鏈接傳播到你的計算機，「雙脈衝星」 替你點擊了它。

安全研究員 Marcus Hutchins 從一家安全研究公司的朋友那裡收到該病毒樣本後，發現病毒中硬編碼了一個 「殺毒開關」，從而終止了這次攻擊。該惡意軟件會定期檢查某個特定域名是否已註冊，只有在該域名不存在時才會繼續進行加密操作。哈欽斯發現了這個檢查機制，隨後在協調世界時下午 3 點 03 分註冊了相關域名。惡意軟件立即停止傳播並感染新設備。這一情況很值得玩味，也為追蹤病毒製作者提供了線索。通常情況下，阻止惡意軟件需要黑客和安全專家反覆較量數月時間，如此輕易地獲勝令人始料未及。這次攻擊還有一個不同尋常之處，那就是支付贖金後文件也無法恢復：黑客僅收到 16 萬美元贖金，這讓很多人認為他們的目的並非錢財。

「殺毒開關」 輕易被破解以及贖金收益微薄，讓很多人相信這次攻擊是由國家支持的；其動機並非經濟補償，而是製造混亂。攻擊發生後，安全專家追蹤發現，「雙脈衝星」 漏洞源自美國國家安全局，該漏洞最初是作為一種網絡武器開發的。後來，「影子經紀人」 黑客組織竊取了這個漏洞，先是試圖拍賣，但未能成功，最後乾脆免費公開。美國國家安全局隨後將該漏洞信息告知微軟，微軟於 2017 年 3 月 14 日發布了更新，距離攻擊發生不到一個月。但這還不夠，由於更新並非強制安裝，到 5 月 12 日時，大多數存在該漏洞的計算機仍未修復，導致這次攻擊造成了驚人的破壞。

後續影響：美國司法部和英國當局後來認定，「WannaCry」 攻擊是朝鮮黑客組織 Lazarus Group 所為。

2017 年加密貨幣攻擊事件

2018 年，Recorded Future 發布報告稱，Lazarus Group 與針對加密貨幣比特幣和門羅幣用戶的攻擊有關，這些攻擊主要針對韓國用戶。據報導，這些攻擊在技術上與此前使用 「想哭」 勒索軟件的攻擊以及針對索尼影視的攻擊相似。Lazarus Group 黑客使用的手段之一是利用韓國文字處理軟件 Hangul（由 Hancom 開發）的漏洞。另一種手段是發送包含惡意軟件的魚叉式網絡釣魚誘餌，目標是韓國學生和 Coinlink 等加密貨幣交易平台的用戶。

如果用戶打開惡意軟件，其電子郵件地址和密碼就會被盜取。Coinlink 否認其網站或用戶的電子郵件地址和密碼遭到黑客攻擊。該報告總結稱：「2017 年末的這一系列攻擊表明，某國對加密貨幣的興趣有增無減，如今我們知道這種興趣涵蓋了包括挖礦、勒索軟件攻擊和直接盜竊等廣泛活動……」 報告還指出，某國利用這些加密貨幣攻擊來規避國際金融制裁。

2017 年 2 月，某國黑客從韓國加密貨幣交易平台 Bithumb 盜走 700 萬美元。另一家韓國比特幣交易公司 Youbit 在 2017 年 4 月遭受一次攻擊後，同年 12 月又因 17% 的資產被盜，不得不申請破產。Lazarus Group 和某國黑客被指是這些攻擊的幕後黑手。2017 年 12 月，加密貨幣雲挖礦市場 Nicehash 損失了 4500 多枚比特幣。一項調查更新顯示，此次攻擊與 Lazarus Group 有關。

2019 年 9 月攻擊事件

2019 年 9 月中旬，美國發布公開警報，稱發現一種名為 「ElectricFish」 的新型惡意軟件。自 2019 年初以來，某國特工在全球範圍內實施了 5 起重大網絡盜竊，其中包括成功從科威特一家機構盜走 4900 萬美元。

2020 年末製藥公司攻擊事件

由於新冠疫情持續蔓延，製藥公司成為 Lazarus Group 的主要目標。Lazarus Group 成員利用魚叉式網絡釣魚技術，偽裝成衛生官員，向製藥公司員工發送惡意鏈接。据信，多家大型製藥企業成為攻擊目標，但目前已確認的只有英瑞合資的阿斯利康公司。據路透社報導，眾多員工成為攻擊對象，其中很多人參與了新冠疫苗的研發工作。目前尚不清楚 Lazarus Group 發動這些攻擊的目的，但可能包括：竊取敏感信息獲利、實施敲詐勒索計劃，以及讓外國政權獲取新冠病毒相關的專有研究成果 。阿斯利康尚未對該事件發表評論，專家認為目前尚無敏感數據泄露。

2021 年 1 月針對網絡安全研究人員的攻擊事件

2021 年 1 月，谷歌和微軟均公開報告稱，有一群來自某國的黑客通過社會工程學手段，對網絡安全研究人員發起攻擊，微軟明確指出該攻擊由 Lazarus Group 實施。

黑客在 Twitter、GitHub 和領英等平台創建多個用戶資料，偽裝成合法的軟件漏洞研究人員，與安全研究社區的其他人發布的帖子和內容互動。然後，他們會直接聯繫特定的安全研究人員，以合作研究為由，誘使受害者下載包含惡意軟件的文件，或訪問由黑客控制的網站上的博客文章。

一些訪問了博客文章的受害者稱，儘管他們使用的是已完全安裝補丁的谷歌 Chrome 瀏覽器，但計算機仍遭到入侵，這表明黑客可能利用了此前未知的 Chrome 零日漏洞進行攻擊；然而，谷歌在報告發布時表示，無法確定具體的入侵方式。

2022 年 3 月鏈遊 Axie Infinity 攻擊事件

2022 年 3 月，Lazarus Group 被指從 Axie Infinity 遊戲使用的 Ronin 網絡中竊取了價值 6.2 億美元的加密貨幣。聯邦調查局表示：「通過調查，我們確認 Lazarus Group 和 APT38（與朝鮮有關聯的網絡行為者）是此次盜竊的幕後黑手。」

2022 年 6 月 Horizon Bridge 攻擊事件

聯邦調查局證實，朝鮮惡意網絡行為者組織 Lazarus Group（也被稱為 APT38）是 2022 年 6 月 24 日報導的從 Harmony 的 Horizon 橋竊取 1 億美元虛擬貨幣事件的幕後黑手。

2023 年其他相關加密貨幣攻擊事件

區塊鏈安全平台 Immunefi 發布的一份報告稱，Lazarus Group 在 2023 年的加密貨幣黑客攻擊事件中，造成的損失超過 3 億美元，占當年總損失的 17.6%。

2023 年 6 月 Atomic Wallet 攻擊事件：2023 年 6 月，Atomic Wallet 服務的用戶被盜走價值超過 1 億美元的加密貨幣，聯邦調查局隨後證實了這一事件。

2023 年 9 月 Stake.com 黑客攻擊事件：2023 年 9 月，聯邦調查局證實，在線賭場和博彩平台 Stake.com 價值 4100 萬美元的加密貨幣被盜，作案者是 Lazarus Group。

美國制裁措施

2022 年 4 月 14 日，美國財政部海外資產控制辦公室（OFAC）根據某國制裁條例第 510.214 條，將 Lazarus Group 列入特別指定國民清單（SDN List）。

2024 年加密貨幣攻擊事件

據印度媒體報導，當地一家名為 WazirX 的加密貨幣交易所遭到該組織攻擊，價值 2.349 億美元的加密資產被盜。

人員培養

據傳言，部分朝鮮黑客會被派往中國瀋陽進行專業培訓，學習如何將各類惡意軟件植入計算機、計算機網絡和伺服器。在朝鮮內部，金策工業綜合大學、金日成綜合大學和萬景台大學承擔相關教育任務，這些大學從全國選拔最優秀的學生，讓他們接受為期六年的特殊教育。除大學教育外，「一些最優秀的程序員…… 會被送到萬景台大學或 Mirim 學院深造」。

組織分支

Lazarus Group 被認為有兩個分支。

BlueNorOff

BlueNorOff（也被稱為 APT38、「星辰千里馬」、「BeagleBoyz」、「NICKEL GLADSTONE」）是一個受經濟利益驅動的組織，通過偽造環球銀行金融電信協會（SWIFT）指令進行非法資金轉移。Mandiant 稱其為 APT38，Crowdstrike 則稱其為 「星辰千里馬」。

根據美國陸軍 2020 年的一份報告，BlueNorOff 約有 1700 名成員，他們專注於長期評估並利用敵方網絡漏洞和系統，從事金融網絡犯罪活動，為該國政權獲取經濟利益或控制相關系統。2014 年至 2021 年間，他們的目標包括至少 13 個國家的 16 家機構，這些國家有孟加拉國、智利、印度、墨西哥、巴基斯坦、菲律賓、韓國、台灣地區、土耳其和越南等。据信，這些非法所得被用於該國導彈和核技術的研發。

BlueNorOff 最臭名昭著的攻擊是 2016 年的某銀行盜竊案，他們試圖通過 SWIFT 網絡，從某國中央銀行在紐約聯邦儲備銀行的賬戶非法轉移近 10 億美元。部分交易成功完成（2000 萬美元流向斯里蘭卡，8100 萬美元流向菲律賓）後，紐約聯邦儲備銀行因一條指令拼寫錯誤產生懷疑，阻止了其餘交易。

與 BlueNorOff 相關的惡意軟件包括：「DarkComet」「Mimikatz」「Nestegg」「Macktruck」「想哭」「Whiteout」「Quickcafe」「Rawhide」「Smoothride」「TightVNC」「Sorrybrute」「Keylime」「Snapshot」「Mapmaker」「net.exe」「sysmon」「Bootwreck」「Cleantoad」「Closeshave」「Dyepack」「Hermes」「Twopence」「Electricfish」「Powerratankba」 和 「Powerspritz」 等。

BlueNorOff 常用的手段包括：網絡釣魚、設置後門、利用漏洞攻擊、水坑攻擊、利用過時且不安全的 Apache Struts 2 版本在系統上執行代碼、戰略性地入侵網站，以及訪問 Linux 伺服器等。有報導稱，他們有時會與犯罪黑客合作。

AndAriel

AndAriel，也拼作 Andarial，還有別稱：沉默的千里馬（Silent Chollima）、黑暗首爾（Dark Seoul）、來福槍（Rifle）以及瓦松尼特（Wassonite），從邏輯上看，其特點是將韓國作為攻擊目標。安德里爾的別稱 「沉默的千里馬」 源於該組織行事隱秘的特性。韓國的任何機構都可能受到安德里爾的攻擊，目標包括政府部門、國防機構以及各類經濟標誌性實體。

根據美國陸軍 2020 年的一份報告，安德里爾組織約有 1600 名成員，他們的任務是進行偵察、評估網絡漏洞，並繪製敵方網絡地圖以便實施潛在攻擊。除韓國外，他們還將其他國家的政府、基礎設施和企業列為攻擊目標。攻擊手段包括：利用 ActiveX 控件、韓國軟件漏洞、水坑攻擊、魚叉式網絡釣魚（宏病毒方式）、針對 IT 管理產品（如殺毒軟件、項目管理軟件）進行攻擊，以及通過供應鏈（安裝程序和更新程序）發動攻擊。使用的惡意軟件有：雅利安（Aryan）、灰鴿子遠程控制木馬（Gh0st RAT）、Rifdoor、Phandoor 和安達拉特（Andarat）。

相關人員遭起訴情況

2021 年 2 月，美國司法部起訴了朝鮮軍事情報機構偵察總局的三名成員 ------ 朴晉赫（Park Jin Hyok）、全昌赫（Jon Chang Hyok）和金一朴（Kim Il Park），指控他們參與了 Lazarus Group（Lazarus）的多起黑客攻擊活動。朴晉赫早在 2018 年 9 月就已被起訴。這幾名嫌疑人目前均未被美國拘押。此外，一名加拿大人和兩名中國人也被指控為 Lazarus Group 充當資金轉運者和洗錢者。