作者:YohanYun來(lái)源:cointelegraph翻譯:善歐巴�����,金色財(cái)經(jīng)
自2017年以來(lái)����,LazarusGroup已竊取了超過(guò)60億美元的Crypto,成為業(yè)內(nèi)最臭名昭著的黑客集團(tuán)���。
LazarusGroup并非偶爾涉足黑客世界,它經(jīng)常是重大Crypto盜竊案件的主要嫌疑人��。這個(gè)由朝鮮政府支持的集團(tuán)通過(guò)從交易所竊取數(shù)十億美元����、欺騙開發(fā)者并繞過(guò)行業(yè)中最復(fù)雜的安全措施,已成為全球最具威脅性的黑客組織之一�。
2025年2月21日,它實(shí)現(xiàn)了至今為止最大的盜竊——從Crypto交易所Bybit竊取創(chuàng)紀(jì)錄的14億美元��。加密偵探ZachXBT在將Bybit攻擊與Phémex交易所8500萬(wàn)美元的黑客事件關(guān)聯(lián)后����,確認(rèn)Lazarus是主要嫌疑人。他還將黑客攻擊與BingX和Poloniex的漏洞事件聯(lián)系起來(lái)�����,進(jìn)一步增加了指向朝鮮網(wǎng)絡(luò)軍隊(duì)的證據(jù)。
根據(jù)安全公司Elliptic的數(shù)據(jù)�����,自2017年以來(lái)����,Lazarus集團(tuán)已從Crypto行業(yè)盜取約60億美元。聯(lián)合國(guó)安理會(huì)的一項(xiàng)研究報(bào)告指出�����,這些被盜資金據(jù)信用于資助朝鮮的武器計(jì)劃��。
作為歷史上最為活躍的網(wǎng)絡(luò)犯罪組織之一����,該組織的涉嫌操作人員和手段揭示了一個(gè)高度復(fù)雜的跨國(guó)運(yùn)營(yíng),旨在為朝鮮政權(quán)服務(wù)���。誰(shuí)在幕后操控Lazarus����?它是如何成功實(shí)施Bybit黑客攻擊的?它還采用了哪些方法�,造成了持續(xù)的威脅?
Jon專門開發(fā)并傳播惡意Crypto應(yīng)用程序�����,滲透交易所和金融機(jī)構(gòu)�����,實(shí)施大規(guī)模盜竊���。Kim則負(fù)責(zé)分發(fā)惡意軟件、協(xié)調(diào)與加密相關(guān)的盜竊活動(dòng)���,并策劃了虛假的MarineChain*I*C*O�����。Lazarus集團(tuán)的最大黑客事件是如何發(fā)生的
據(jù)朝鮮官方媒體報(bào)道���,就在Bybit黑客攻擊發(fā)生前幾周,朝鮮領(lǐng)導(dǎo)人金正恩視察了一處核材料生產(chǎn)設(shè)施,并呼吁擴(kuò)展該國(guó)的核武庫(kù)��,超越當(dāng)前的生產(chǎn)計(jì)劃�����。
2月15日�,美國(guó)、韓國(guó)和日本發(fā)表聯(lián)合聲明��,重申他們致力于朝鮮無(wú)核化���。平壤迅速在2月18日駁斥該聲明�����,稱其“荒謬”����,并再次誓言增強(qiáng)核力量��。
三天后�,Lazarus集團(tuán)再次出手。
在安全圈內(nèi)�����,Lazarus的作案手法通常能在官方調(diào)查確認(rèn)其參與之前就被識(shí)別出來(lái)。
“在Bybit的ETH剛剛轉(zhuǎn)出后的幾分鐘內(nèi)����,我就能自信地在私下里說(shuō),這與朝鮮有關(guān)���,因?yàn)樗麄冊(cè)阪溕系闹讣y和TTP(戰(zhàn)術(shù)��、技術(shù)和程序)過(guò)于獨(dú)特�������!薄用鼙kU(xiǎn)公司FairsideNetwork的調(diào)查負(fù)責(zé)人Fantasy在接受Cointelegraph采訪時(shí)表示。
“他們會(huì)將ERC-20資產(chǎn)拆分到多個(gè)錢包�����,立即以次優(yōu)方式拋售Tokens��,導(dǎo)致高額交易費(fèi)或滑點(diǎn)���,然后再將ETH以大額�����、整齊的數(shù)額轉(zhuǎn)入新創(chuàng)建的錢包���!
在Bybit攻擊事件中,黑客精心策劃了一次復(fù)雜的網(wǎng)絡(luò)釣魚攻擊�����,以突破Bybit的安全系統(tǒng)��,并欺騙交易所授權(quán)轉(zhuǎn)移401,000枚Ethereum(ETH)����,價(jià)值14億美元,到他們控制的錢包����。根據(jù)Blockchain取證公司Chainalysis的分析,攻擊者通過(guò)偽裝成Bybit錢包管理系統(tǒng)的假冒版本���,直接獲取了交易所資產(chǎn)的訪問(wèn)權(quán)限�����。
資金被盜后����,黑客立即啟動(dòng)了*洗*錢操作,將資產(chǎn)分散到多個(gè)中間錢包�����。Chainalysis的調(diào)查人員發(fā)現(xiàn)��,部分被盜資金被轉(zhuǎn)換為Bitcoin(BTC)和Dai(DAI)���,利用DEX�、跨鏈橋以及無(wú)KYC的Tokens兌換服務(wù)����,例如eXch——盡管整個(gè)行業(yè)對(duì)Bybit黑客事件進(jìn)行了干預(yù),該平臺(tái)仍拒絕凍結(jié)與該攻擊相關(guān)的*非*法資金��。eXch否認(rèn)為朝鮮*洗*錢�����。
盡管這些高調(diào)的盜竊事件占據(jù)了頭條新聞�,朝鮮黑客也掌握了長(zhǎng)期詐騙的技巧——這種策略提供了穩(wěn)定的現(xiàn)金流,而不是依賴一次性的意外收獲��。
他們針對(duì)每個(gè)人�、任何東西,任何金額����。具體來(lái)說(shuō),Lazarus專注于這些大型復(fù)雜的黑客攻擊�,如Bybit、Phemex和Alphapo���,但他們也有較小的團(tuán)隊(duì)��,進(jìn)行低價(jià)值和更多手動(dòng)密集的工作��,如惡意的[或]假招聘面試�����。
微軟威脅情報(bào)部門已確認(rèn)一個(gè)名為“SapphireSleet”的朝鮮威脅小組����,稱其為Crypto盜竊和公司滲透的關(guān)鍵玩家。該名字延續(xù)了微軟基于天氣的分類法��,“sleet”表示與朝鮮的聯(lián)系�����。除此之外�����,這個(gè)小組更廣為人知的是Bluenoroff���,Lazarus的一個(gè)子小組���。
他們偽裝成風(fēng)險(xiǎn)資本家和招聘人員,誘使受害者參與虛假的工作面試和投資*騙*局��,部署惡意軟件來(lái)竊取加密錢包和財(cái)務(wù)數(shù)據(jù)��,在六個(gè)月內(nèi)賺取超過(guò)1000萬(wàn)美元���。
朝鮮還將成千上萬(wàn)的IT人員部署到俄羅斯��、中國(guó)及其他地區(qū)�,利用AI生成的個(gè)人資料和被盜身份獲得高薪技術(shù)職位�����。一旦進(jìn)入��,這些黑客就會(huì)盜取知識(shí)產(chǎn)權(quán)�����、勒索雇主��,并將收益匯入政權(quán)�����。微軟泄露的朝鮮數(shù)據(jù)庫(kù)揭示了虛假的簡(jiǎn)歷�、欺詐賬戶和支付記錄,揭示了一個(gè)復(fù)雜的操作�����,使用AI增強(qiáng)的圖像�����、變聲軟件和身份盜竊來(lái)滲透全球企業(yè)。
2024年8月�,ZachXBT揭露了一個(gè)由21名朝鮮開發(fā)者組成的網(wǎng)絡(luò),他們通過(guò)將自己嵌入加密初創(chuàng)公司���,每月賺取50萬(wàn)美元�����。
2024年12月���,圣路易斯的一個(gè)聯(lián)邦法院解封了對(duì)14名朝鮮國(guó)籍人士的起訴書,指控他們違反制裁��、進(jìn)行電匯欺詐�����、*洗*錢和身份盜竊�����。
這些人曾在朝鮮控制的公司YanbianSilverstar和VolasysSilverstar工作���,這些公司在中國(guó)和俄羅斯運(yùn)作����,騙取公司聘用他們進(jìn)行遠(yuǎn)程工作。
在六年內(nèi)�����,這些工作人員至少賺取了8800萬(wàn)美元�,其中一些被要求為政權(quán)每月賺取10,000美元�。
迄今為止,朝鮮的網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略仍然是世界上最復(fù)雜和最有利可圖的行動(dòng)之一��,據(jù)稱將數(shù)十億美元轉(zhuǎn)入政權(quán)的武器計(jì)劃�。盡管執(zhí)法機(jī)關(guān)、情報(bào)機(jī)構(gòu)和Blockchain調(diào)查人員的審查力度不斷增加���,Lazarus集團(tuán)及其子小組仍在不斷適應(yīng)�����,完善其戰(zhàn)術(shù)以逃避偵測(cè)���,并維持*非*法的收入來(lái)源。
隨著創(chuàng)紀(jì)錄的加密盜竊、對(duì)全球科技公司的深入滲透以及日益擴(kuò)大的IT操作員網(wǎng)絡(luò)����,朝鮮的網(wǎng)絡(luò)操作已經(jīng)成為長(zhǎng)期的國(guó)家安全威脅。美國(guó)政府的多機(jī)構(gòu)打擊行動(dòng)�,包括聯(lián)邦起訴和數(shù)百萬(wàn)美元的懸賞,標(biāo)志著對(duì)破壞平壤金融管道的努力正在加劇�����。
但正如歷史所證明的那樣����,Lazarus是無(wú)情的;朝鮮網(wǎng)絡(luò)軍隊(duì)帶來(lái)的威脅遠(yuǎn)未結(jié)束�����。
