转发原文标题《Paradigm:揭开朝鲜黑客组织 Lazarus Group 威胁之谜》
二月的某个清晨,SEAL 911 群组的消息提示灯突然亮起,我们惊讶地发现 Bybit 正从其冷钱包中转出价值超过10亿美元的数字资产到一个全新地址,随后迅速开始清算价值2亿美元的LST。短短几分钟内,通过与Bybit团队的沟通和独立分析(涉及多重签名机制、先前使用的公开验证Safe Wallet实现以及新部署的未经验证合约),我们确认这绝非例行维护操作。一场加密货币史上规模空前的黑客攻击正在上演,而我们正身处这场历史性事件的最前沿。
当部分团队成员(以及更广泛的侦查社区)开始追踪资金流向并向合作交易所发出警报时,其他人则在全力调查事件原委,试图确认是否有其他资金面临风险。值得庆幸的是,锁定幕后黑手并不困难。近年来,只有一个已知的威胁行为者成功从加密货币交易所窃取数十亿美元:朝鲜,也被称为DPRK。
然而,除了这个基本判断外,我们掌握的线索寥寥无几。朝鲜黑客不仅狡猾多端,更精于自我隐匿之道,这使得我们不仅难以确定入侵的根本原因,甚至无法确认朝鲜内部具体由哪个团队负责。我们唯一能依赖的现有情报表明,朝鲜确实惯用社会工程学手段入侵加密货币交易所。基于此,我们最初推测朝鲜可能入侵了Bybit的多重签名系统,并部署了某种恶意软件来干扰签名过程。
事实证明这个猜测大错特错。几天后我们发现,朝鲜实际上已经攻破了Safe Wallet基础设施本身,并专门针对Bybit部署了恶意过载程序。这种复杂程度远超所有人的预期,对当前市场上的诸多安全模型构成了严峻挑战。
朝鲜黑客对我们的行业构成了日益严重的威胁,而面对一个我们既不了解也不理解的敌人,我们难以取胜。虽然关于朝鲜网络行动的各方面都有大量记录和文章,但要将这些碎片化信息整合起来却非易事。希望这篇概述能帮助人们更全面地了解朝鲜的运作方式及其战术策略,从而更容易实施有效的防范措施。
组织结构解析
在讨论朝鲜网络威胁时,最大的误解之一是如何对其庞杂的网络活动进行分类和命名。虽然口语中使用”Lazarus Group”作为统称可以理解,但在深入探讨朝鲜系统性网络威胁时,更严谨的表述会更有帮助。
了解朝鲜的”组织结构图”至关重要。朝鲜的最高权力机构是执政党——朝鲜劳动党(WPK),所有政府机构都在其领导下运作,包括朝鲜人民军(KPA)和中央委员会。人民军下辖总参谋部(GSD),侦察总局(RGB)即隶属于此。中央委员会下属则有军需工业部(MID)。
RGB几乎负责朝鲜所有的网络战行动,包括我们在加密货币行业观察到的大部分朝鲜活动。除了臭名昭著的Lazarus Group,RGB旗下还有AppleJeus、APT38、DangerousPassword和TraderTraitor等威胁行为者。而MID主要负责朝鲜的核导弹计划,同时也是朝鲜IT工作者的主要来源,情报界将其称为Contagious Interview和Wagemole。
Lazarus Group的演变
Lazarus Group是一个高度复杂的黑客组织,网络安全专家认为历史上一些规模最大、破坏性最强的网络攻击都出自其手。该组织最早在2016年Novetta分析索尼影视娱乐黑客事件时被发现。
2014年,索尼正在制作动作喜剧《刺杀金正恩》,影片情节涉及对金正恩的羞辱和暗杀。这自然引起了朝鲜政权的不满,他们通过入侵索尼网络、窃取数TB数据、泄露数百GB机密信息并删除原始文件作为报复。正如时任CEO迈克尔·林顿所言:”干这种事的人不仅偷走了房子里所有东西,还把房子烧毁了。”最终,索尼为这次攻击的调查和补救至少花费了1500万美元,实际损失可能更大。
2016年,一个与Lazarus Group极为相似的黑客组织入侵了孟加拉国银行,意图窃取近10亿美元。在长达一年的时间里,黑客通过社会工程手段逐步获得银行员工远程访问权限,最终控制了负责SWIFT网络交互的计算机。他们精心选择了攻击时机:利用孟加拉国银行周四休周末而纽约联邦储备银行周五休周末的时间差,在孟加拉国当地时间周四晚上(纽约时间周四早上)通过SWIFT网络发送了36笔转账请求。这些资金随后被转往菲律宾的黎刹商业银行(RCBC),而当孟加拉国银行发现入侵并试图联系RCBC时,却因农历新年假期无法取得联系。
2017年,席卷全球的WannaCry2.0勒索软件攻击也被部分归咎于Lazarus Group。这次攻击利用了NSA最初开发的Microsoft Windows零日漏洞,不仅加密本地设备,还传播到其他可访问设备,最终感染全球数十万台设备。所幸安全研究员Marcus Hutchins在8小时内发现并激活了终止开关,才将损失控制在有限范围内。
纵观Lazarus Group的发展历程,他们展现出极高的技术能力和执行力,而他们的核心目标之一就是为朝鲜政权创造收入。因此,他们将目光转向加密货币行业只是时间问题。
组织分化
随着Lazarus Group成为媒体描述朝鲜网络活动的统称,网络安全行业为朝鲜的具体活动创造了更精确的名称。例如APT38,这个约在2016年从Lazarus Group分离出来的组织专注于金融犯罪,最初针对银行(如孟加拉国银行),后来转向加密货币。2018年,名为AppleJeus的新威胁被发现正在传播针对加密货币用户的恶意软件。同年,OFAC首次宣布对朝鲜人使用的两家幌子公司实施制裁,揭露了朝鲜人冒充IT工作者渗透科技行业的行为。
朝鲜IT工作者的渗透
虽然最早关于朝鲜IT工作者的记录来自2018年OFAC制裁,但Unit 42在2023年的报告提供了更详细的说明,确认了两个不同的威胁行为者:Contagious Interview和Wagemole。
Contagious Interview会冒充知名公司招聘人员,诱骗开发人员参与虚假面试流程。候选人被要求克隆一个存储库进行本地调试,表面上是编码测试,实则包含后门程序,一旦执行就会将机器控制权交给攻击者。这一活动持续进行,最近一次记录是在2024年8月11日。
Wagemole特工的主要目标则是被公司雇佣。他们会像普通工程师一样工作(尽管效率可能不高),但有记录显示他们会利用职务之便发动攻击。例如在Munchables事件中,一名与朝鲜有关联的员工利用对智能合约的特权访问窃取了所有资产。
Wagemole特工的复杂程度各异,从使用模板简历、拒绝视频面试,到提供高度定制的简历、深度伪造的视频面试以及驾驶执照和水电账单等身份证明。某些情况下,特工能在受害组织中潜伏长达一年,然后利用访问权限入侵其他系统或直接套现。
AppleJeus的演变
AppleJeus主要专注于传播恶意软件,擅长进行复杂的供应链攻击。2023年的3CX供应链攻击可能感染了超过1200万3CX VoIP软件用户,而调查发现3CX本身也是其上游供应商Trading Technologies遭受供应链攻击的受害者。
在加密货币领域,AppleJeus最初通过分发伪装成合法交易软件或加密货币钱包的恶意软件进行攻击。但他们的策略不断演变,2024年10月,Radiant Capital就被一名冒充可信承包商的威胁者通过Telegram发送的恶意软件攻陷,Mandiant将此归咎于AppleJeus。
DangerousPassword的钓鱼手法
DangerousPassword负责对加密货币行业实施复杂度较低的社会工程攻击。早在2019年,JPCERT/CC就记录到该组织发送带有诱人附件的钓鱼邮件。近年来,他们开始冒充行业知名人士发送主题为”稳定币和加密资产风险巨大”的钓鱼邮件。
如今,DangerousPassword不仅继续发送钓鱼邮件,还将触角延伸至其他平台。例如Radiant Capital报告称收到通过Telegram发送的钓鱼消息,攻击者冒充安全研究人员分发名为”Penpie_Hacking_Analysis_Report.zip”的文件。还有用户报告称,有人冒充记者和投资者联系他们,要求使用冷门视频会议软件安排通话。这些软件会下载一次性安装程序,运行时就会在设备上安装恶意软件。
TraderTraitor的精准打击
TraderTraitor是针对加密货币行业最老练的朝鲜黑客组织,曾对Axie Infinity和Rain.com等发起攻击。他们几乎只针对拥有大量储备的交易所和公司,不使用零日漏洞,而是采用高度复杂的鱼叉式网络钓鱼技术。
在Axie Infinity攻击中,TraderTraitor通过LinkedIn联系了一位高级工程师,说服其接受一系列面试后发送包含恶意软件的”提议”。而在WazirX攻击中,他们破坏了签名管道的某个未公开组件,通过反复存取耗尽交易所热钱包,诱使工程师从冷钱包重新平衡资金,结果却签署了将冷钱包控制权移交给TraderTraitor的交易。这与2025年2月对Bybit的攻击如出一辙:TraderTraitor先通过社会工程破坏Safe{Wallet}基础设施,然后部署专门针对Bybit冷钱包的恶意JavaScript。当Bybit试图重新平衡钱包时,恶意代码被激活,导致工程师签署了移交冷钱包控制权的交易。
安全防护建议
虽然朝鲜已展示使用零日漏洞的能力,但目前尚无证据表明他们在加密货币行业部署过此类攻击。因此,针对大多数朝鲜黑客威胁,常规安全建议仍然适用。
对个人而言,保持警惕和运用常识至关重要。如果有人声称拥有高度机密信息并愿意分享,务必谨慎对待。若有人施加时间压力要求下载运行软件,要考虑他们是否试图让你陷入无法理性思考的境地。
对组织来说,应尽可能实施最小权限原则。限制敏感系统的访问人数,确保相关人员使用密码管理器和双重认证。将个人设备与工作设备分离,并在工作设备上安装移动设备管理(MDM)和端点检测与响应(EDR)软件,以增强入侵前后的安全性。
对于大型交易所等高价值目标,TraderTraitor即使不使用零日漏洞也能造成超出预期的破坏。因此必须采取额外预防措施,确保不存在单点故障,避免一次入侵就导致全部资金损失。
即使最坏情况发生,仍有希望。联邦调查局设有专门跟踪和阻止朝鲜入侵的部门,多年来一直在进行受害者通知工作。建议确保有公开的联系方式,或与生态系统中的关键人物(如SEAL 911)保持联系,这样重要消息就能以最快速度传达。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/19723.html
