朝鮮黑客 Lazarus Group 6 年竊取 30 億

編譯：碳鏈價值

近日，根據網絡安全公司 Recorded Future 發佈的一份報告顯示，與朝鮮有關的黑客組織 Lazarus Group 在過去 6 年中竊取了 30 億美元加密貨幣。

報告稱，僅在 2022 年，Lazarus Group 就掠奪了 17 億美元的加密貨幣，很可能為朝鮮項目提供資金。

區塊鏈數據分析公司 Chainaanalysis 表示，其中 11 億美元是從 DeFi 平台被盜的。美國國土安全部 9 月份發佈報告稱，作為其分析交換計劃 (AEP) 的一部分，也強調了 Lazarus 對 DeFi 協議的利用。

Lazarus Group 的專長是資金盜竊。2016 年，他們入侵了孟加拉國中央銀行，竊取了 8100 萬美元。2018 年，他們攻擊了日本加密貨幣交易所 Coincheck，盜走了 5.3 億美元，並攻擊了馬來西亞中央銀行，竊取了 3.9 億美元。

碳鏈價值精編報告精華部分供大家參考：

自 2017 年開始，朝鮮將加密行業作為網絡攻擊目標，竊取加密貨幣價值總計超過 30 億美元。而在此之前，朝鮮曾劫持 SWIFT 網絡，並從金融機構之間竊取資金。這種活動引起了國際機構密切關注。金融機構從而投資改善了自身網絡安全防禦。

在 2017 年，加密貨幣開始盛行成為主流時，朝鮮黑客將其竊取目標從傳統金融轉向這種新型數字金融之上，首先瞄準的是韓國加密市場，隨後在全球範圍內擴展了影響力。

僅在 2022 年，朝鮮黑客被指控竊取了價值約 17 億美元的加密貨幣，這個數字相當於朝鮮國內經濟規模的約 5%，或其軍事預算的 45%。這個數字也幾乎是朝鮮 2021 年出口價值的 10 倍，根據 OEC 網站數據顯示，當年朝鮮的出口額為 1.82 億美元。

朝鮮黑客在加密行業竊取加密貨幣的運作方式，通常與利用加密混合器、跨鏈交易和法幣 OTC 的傳統網絡犯罪的運作方式相似。然而，因為有國家在背後作為後盾，所以竊取行為能夠擴大自身運作規模。這種運作方式是傳統網絡犯罪團夥無法做到的。

根據數據追蹤，2022 年，約有 44% 被盜加密貨幣與朝鮮黑客行為有關。

朝鮮黑客的目標並不局限於交易所，個人用戶、風投公司以及其他技術和協議都曾受到朝鮮黑客行為的攻擊。所有這些在行業運營的機構和工作的個人都有可能成為朝鮮黑客的潛在目標，從而讓朝鮮政府繼續運作和籌集資金。

任何在加密行業中任職的用戶、交易所運營商以及初創企業創始人，都應該意識到可能成為黑客攻擊的目標。

傳統金融機構也應密切關注朝鮮黑客組織的活動。一旦加密貨幣被竊取並轉換成法幣，朝鮮黑客竊取行為將在不同賬戶之間進行資金轉移以掩蓋來源。通常情況下，被盜身份以及修改後的照片被用於繞過 AML/KYC 驗證。任何成為與朝鮮黑客團隊相關入侵受害者的個人識別信息（PII）可能會被用來註冊賬戶，以完成竊取加密貨幣的洗錢過程。因此，經營加密貨幣和傳統金融行業以外的公司也應警惕朝鮮黑客團體活動，以及他們的數據或基礎設施是否被用作進一步入侵的跳板。

由於朝鮮黑客組織的大多數入侵都始於社會工程和網絡釣魚活動。一些組織機構應該培訓員工監控此類活動，並實施強有力的多因素身份驗證，例如，符合 FIDO2 標準的無密碼認證。

朝鮮明確將持續竊取加密貨幣視為主要收入來源，用於資助自身軍事和武器項目。雖然目前尚不清楚有多少竊取的加密貨幣直接用於資助彈道導彈發射，但很明顯，近年來被竊取的加密貨幣數量以及導彈發射數量都大幅增加。如果沒有更嚴格法規、網絡安全要求和對加密貨幣公司網絡安全的投資，朝鮮幾乎肯定會繼續以加密貨幣行業作為支持國家額外收入的來源。

2023 年 7 月 12 日，美國企業軟件公司 JumpCloud 宣布，一名朝鮮支持的黑客已經進入其網絡。Mandiant 研究人員隨後發佈一份報告，指出負責此次攻擊的團體是 UNC4899，很可能對應著「TraderTraitor」，一個專注於加密貨幣的朝鮮黑客組織。截至 2023 年 8 月 22 日，美國聯邦調查局（FBI）發佈通告稱，朝鮮黑客組織涉及 Atomic Wallet、Alphapo 和 CoinsPaid 的黑客攻擊，共竊取 1.97 億美元的加密貨幣。這些加密貨幣的竊取使得朝鮮政府能夠在嚴格的國際制裁下繼續運作，並資助其高達 50% 的彈道導彈計劃的成本。

2017 年，朝鮮黑客入侵了韓國的交易所 Bithumb、Youbit 和 Yapizon，當時竊取的加密貨幣價值約為 8270 萬美元。還有報導稱，2017 年 7 月 Bithumb 用戶的客戶個人身份信息遭到泄露後，加密貨幣用戶也成為了攻擊目標。

除竊取加密貨幣外，朝鮮黑客還學會了加密貨幣挖礦。2017 年 4 月，卡巴斯基實驗室的研究人員發現一種 Monero 挖礦軟件，該軟件安裝在 APT38 的入侵中。

2018 年 1 月，韓國金融安全研究所研究人員宣布，朝鮮的 Andariel 組織在 2017 年夏季入侵一家未公開的公司伺服器，並用於挖掘了約 70 枚當時價值約為 25000 美元的門羅幣。

2020 年，安全研究人員繼續報告了朝鮮黑客針對加密貨幣行業的新網絡攻擊。朝鮮黑客組織 APT38 針對美國、歐洲、日本、俄羅斯和以色列的加密貨幣交易所進行攻擊，並使用 Linkedin 作為最初聯繫目標的方式。

2021 年是朝鮮針對加密貨幣行業的最高產的一年，朝鮮黑客入侵了至少 7 家加密貨幣機構，並竊取了價值 4 億美元的加密貨幣。此外，朝鮮黑客開始瞄準 Altcoins（山寨幣），包括 ERC-20 代幣，以及 NFTs。

2022 年 1 月，Chainalysis 研究人員確認，從 2017 年以來尚有價值 1.7 億美元的加密貨幣待兌現。

2022 年歸属于 APT38 的顯著攻擊包括 Ronin Network 跨鏈橋（損失 6 億美元）、Harmony 桥（損失 1 億美元）、Qubit Finance 桥（損失 8000 萬美元）和 Nomad 桥（損失 1.9 億美元）。這 4 次攻擊特別針對這些平台的跨鏈橋。跨鏈橋連接了 2 個區塊鏈，允許用戶將一種加密貨幣從一個區塊鏈發送到另一個包含不同加密貨幣的區塊鏈。

2022 年 10 月，日本警察廳宣布 Lazarus Group 針對在日本運營的加密貨幣行業的公司進行了攻擊。雖然沒有提供具體細節，但聲明指出，一些公司遭到了成功的入侵，並且加密貨幣被竊取。

2023 年 1 月至 8 月間，APT38 據稱從 Atomic Wallet（2 次攻擊共 1 億美元損失）、AlphaPo（2 次攻擊共 6000 萬美元損失）和 CoinsPaid（3700 萬美元損失）竊取了 2 億美元。同樣在 1 月份，美國 FBI 確認，APT38 在竊取 Harmony 的 Horizon 桥虛擬貨幣方面損失了 1 億美元。

在 2023 年 7 月的 CoinsPaid 攻擊中，APT38 操作員可能冒充招聘者，專門針對 CoinsPaid 的員工發送了招聘電子郵件和 LinkedIn 消息。CoinsPaid 表示，APT38 花了 6 個月的時間試圖獲得對其網絡的訪問權限。

緩解措施

• 以下是 Insikt Group 提出的防範建議，以防止朝鮮網絡攻擊針對加密貨幣用戶和公司的攻擊行為：
• 啟用多重身份認證（MFA）：為錢包和交易使用硬件設備，如 YubiKey，以增強安全性。
• 為加密貨幣交易所啟用任何可用的 MFA 設置，以最大程度保護賬戶免受未經授權的登錄或竊取。
• 驗證已驗證的社交媒體賬戶，檢查用戶名是否包含特殊字符或數字替換字母。
• 確保所請求的交易是合法的，驗證任何空投或其他免費加密貨幣或 NFT 推廣活動。
• 在接收到類似 Uniswap 或其他大型平台的空投或其他內容時，始終檢查官方來源。
• 始終檢查 URL，並在點擊鏈接後觀察重定向，確保網站是官方網站而不是釣魚網站。

以下是針對社交媒體詐騙防禦的一些提示：

• 在進行加密貨幣交易時格外謹慎。加密貨幣資產沒有任何機構保障來減輕「傳統」欺詐。
• 使用硬件錢包。硬件錢包可能比像 MetaMask 這樣始終連接到互聯網的「熱錢包」更安全。對於連接到 MetaMask 的硬件錢包，所有交易都必須通過硬件錢包批准，從而提供了額外的安全層。
• 僅使用可信的 dApps（去中心化應用程序），並驗證智能合約地址以確認其真實性和完整性。真正的 NFT 鑄造交互依賴於可能是更大 dApp 的一部分的智能合約。可以使用 MetaMask、區塊鏈瀏覽器（如 Etherscan）或有時直接在 dApp 內部驗證合約地址。
• 雙重檢查官方網站的網址以避免模仿。一些加密貨幣竊取釣魚頁面可能依賴於域名拼寫錯誤來欺騙毫不知情的用戶。
• 對於看起來太好以至於難以置信的優惠表示懷疑。加密貨幣竊取釣魚頁面會以有利的加密貨幣交易匯率或 NFT 鑄造交互的低廉 Gas 費來吸引受害者。