起底黑客組織Lazarus,加密世界最成功的竊賊
黑客攻擊再度席捲了加密世界。
近日,多起加密貨幣交易所遭到黑客洗劫的訊息傳遍了幣圈。據統計,開年以來,包括DragonEx、BiKi、Cryptopia、Etbox等多家交易所都已經接連淪陷。
根據調查,眾多網路安全公司發現,在盜竊問題頻發的背後,隱藏著一個名為Lazarus的黑客組織。
而據記者瞭解,與其他黑客組織相比,Lazarus不僅實力強勁,是世界上最賺錢的加密貨幣黑客集團,而且還有國家級背景參與其中……
始末
3月24日,加密交易平臺排名前20的DragonEx(龍網)交易所遭受黑客入侵,BTC、ETH、EOS等20餘種主流數字資產被盜。
據統計,此次被盜,該交易所共損失約600萬美元的數字資產,且已經有超過90萬美元的資產流入了交易所。
龍網交易所的被盜引發了市場對安全問題的高度關注,不少安全團隊都對此進行了溯源分析。針對龍網遭受的攻擊,降維安全實驗室分析認為,本次攻擊是有組織並且有預謀的,是專門針對交易所高階技術人員或管理人員的專業級攻擊。
其主要過程為:通過運營和模擬正常的量化軟體,以高利潤和高收益通過交易所對外的客服誘惑交易所高層使用,量化軟體中隱藏有關鍵的加密後門。一旦軟體被傳遞到關鍵人電腦上執行就會進行一序列滲透和黑客動作。
降維安全室進一步表示,在收到多個交易所遭受相同攻擊的反饋之後發現,有證據顯示,攻擊者可能和索尼影業遭黑客攻擊事件以及2016年孟加拉國銀行資料洩露事件等有關。而無論是以上哪種事件,矛頭都直指Lazarus。
昨日,經360安全大腦確認,有關DrangonEx交易所遭受黑客攻擊事件,正是黑客組織Lazarus所為。
根據360安全大腦的分析,該組織於2018年10月開始籌備攻擊,在經歷了長達半年時間的運營後,以釣魚的方式向大量交易所官方人員推薦,從而引誘交易所人員上鉤。
實際上,在龍網被盜之後,Lazarus仍沒有停止其攻城略地的步伐。
在研究分析過程中,360安全大腦發現,不僅僅是龍網,包括OKEx等知名交易所,都遭受到了Lazarus的侵襲。
加密世界最成功的竊賊
實際上,對於Lazarus來說,以百萬美元為單位的盜竊只是小打小鬧,今年的幾次攻擊行動也只是Lazarus在加密世界顯現的冰山一角。
早在2017年底,就有報告稱Lazarus盯上了加密貨幣。
當時,美國網路安全公司Secureworks的反威脅部門公佈了一份報告稱,Lazarus的網路犯罪集團正在進行一項計劃——竊取比特幣行業內部人士的線上資訊。
2018年1月,日本數字交易所Coincheck遭受了黑客攻擊,據統計,黑客盜取了價值580億日元(5.3億美元)的NEM幣,這一數額大於2014年從MtGox失竊的比特幣價值。而這一盜竊案的幕後黑手,就被質疑是Lazarus所為。
2018年10月,The Next Web一份報告指出,Lazarus已經設法竊取了超過5億美元的數字貨幣。
而根據當時卡巴斯基實驗室釋出安全報告,在數字貨幣的擁有者面臨的五大主要威脅中,Lazarus黑客組織赫然在列。
今年3月中旬,聯合國安理會朝鮮制裁委員會專家小組在公開的報告中引用了網路安全機構Group-IB的調查資料。
報告顯示:2017年1月至2018年9月之間,共有14起加密貨幣交易所竊案發生,損失金額高達8.82億美元。這其中,Lazarus製造了五起加密貨幣竊案,5次攻擊獲利總額高達5.71億美元。其他9次攻擊未能確認攻擊者。
這也意味著,從2017年起,截至2018年9月,在加密貨幣交易所被盜的這一段歷史程序中,Lazarus佔據了總分額的58%,可謂是留下了濃墨重彩的痕跡。
不僅如此,嚐到甜頭的Lazarus並沒有因此而偃旗息鼓,反而更加猖獗。
近日,網路安全和反病毒公司卡巴斯基實驗室釋出了一份新報告。報告稱,Lazarus黑客集團採用新方法繼續進行加密攻擊。
該報告顯示,自去年11月以來,黑客組織Lazarus積極開展新業務,使用PowerShell管理和控制Windows和macOS惡意軟體。這也意味著,隨著時間的推移,Lazarus的作案手段也愈發“高明”。
國家級APT黑客組織
說起Lazarus的攻擊活動,最早可以追溯到2007年,不過由於其身份的隱祕,再加上活動範圍並不廣泛,所以,一開始,Lazarus並沒有引起人們的注意。
2014年,索尼影業推出了一部名為《刺殺金正恩》(《The Interview》)的喜劇電影,正是由於這部影片,讓隱蔽的Lazarus開始浮出水面。
當時,在影片上映之前,就已經引起了朝鮮方的強烈反對,與此同時,一個自稱為“和平守衛隊”的黑客團隊在竊取了11TB的敏感資料之後向索尼影業釋出了一封“警告信”。
信中寫道:“我們已向索尼管理層提出了明確要求,但他們拒絕接受”、“如果想擺脫我們,就乖乖照我們說的做。立即停止播放恐怖主義影片,它將破壞地區和平,引發戰爭!”
毫無疑問,這支和平守衛隊的立場已經非常明確,為此,不少安全機構都認為其隸屬於朝鮮。
2016年2月4日,孟加拉國銀行資料洩露事件爆發。當時,黑客組織從孟加拉國央行手中偷走了8100萬美元,而這也創造了有史以來最大的銀行搶劫案,以及當時全球範圍內已知的最大規模的金融網路犯罪案。
而經過多家網路安全公司介入調查發現,最終矛頭都對準了Lazarus。而最重要的發現是,這次行動中一段用於消除攻擊證據的底層程式碼和2014年黑客攻擊索尼影業時使用的程式碼完全相同。
在這兩次行動之後,徹底揭開了Lazarus的神祕面紗。之後,隨著2017年美國國防承包商、美國能源部門、“Wannacry”勒索病毒及英國、韓國等比特幣交易所被攻擊等事件接連爆發,這也讓Lazarus洩露的蛛絲馬跡越來越多。
而據逃到韓國的朝鮮前官員、網際網路安全專家Kim Heung-Kwang證實,Lazarus確實隸屬於朝鮮。
如此一來,真相已經水落石出。聲名在外、臭名昭著的Lazarus(T-APT-15)組織,其實是來自朝鮮的APT組織,有著國家作為背景,難怪Lazarus能夠如此“功勳卓越”。
現如今,隨著加密貨幣的發展,Lazarus對加密貨幣的興趣已經越來越濃厚,黑客攻擊也越來越多。正如諸多安全機構所建議,黑客攻擊顯然無法杜絕,但只有交易所自身做好防護措施,才能讓黑客不再有機可乘。
作者:共享財經Neo