深度揭祕:來自朝鮮的加密黑客組織Lazarus
朝鮮黑客組織Lazarus是世界上最賺錢的加密貨幣黑客集團。
網路安全公司Group-IB在10月釋出的《2018年高科技網路犯罪趨勢報告》顯示,從2017年至2018年9月,全球有14起成功地針對加密貨幣交易中心的攻擊事件,黑客總共盜走了8.82億美元的加密貨幣,而這其中的64.7%被Lazarus一家拿走,價值5.71億美元。不過,這還僅僅是Lazarus從交易所中“獲得”的本不屬於它的加密貨幣。
Lazarus是誰?為何如此“成功”?
Lazarus是世界上最著名的被證實隸屬於國家政府的黑客組織,它為金正恩竊取其迫切需要的國外貨幣,是朝鮮最重要的外匯創收渠道之一。
來自偵察總局第180處的Lazarus
逃到韓國的朝鮮前官員、網際網路安全專家Kim Heung-Kwang稱, Lazarus 屬於軍方管轄的朝鮮偵察總局第180處。 第180處由金正恩在2013年一手創立,擁有約500名成員,主要任務是獲得外匯以支援朝鮮政府的核武器與遠端導彈研究。 Lazarus也常被業內人士稱為隱藏的眼鏡蛇。
與180處同樣隸屬於偵查總局的還有第121處,它是朝鮮最大的網路戰機構,由金正日在1998年建立。該機構成員都是朝鮮本國在數學、計算機等領域的最尖端人才,所有人員均享有朝鮮最高層級的待遇,目前其總人數逾1800名。
網路作戰在朝鮮的地位不斷上升,已經成為僅次於全面戰爭和大規模殺傷性武器的威懾手段。這支黑客部隊有兩大目標,一是獲取資金,二是獲取情報,而在日益嚴峻的經濟制裁下,金融犯罪正在成為他們最關鍵的“戰場”。
創立之初便以獲取經濟利益為目的Lazarus在這一形勢下脫穎而出,卡巴斯基安全實驗室認為“Lazarus 的影響遠非一般 APT組織(Advanced Persistent Threat)所能及,其攻擊目標遍及全球十餘個國家的金融機構。
值得加密貨幣市場警惕的是, Lazarus正在給予加密貨幣更多的關注,他們近期的攻擊物件和攻擊手段的升級方向顯示出他們越來越熱衷於竊取比特幣和加密貨幣,這與加密貨幣本身的便利性有關,也與他們在這一領域屢屢得手有關。朝鮮寄希望於通過對加密貨幣市場的攻擊來繞過國際金融制裁。
發現隱藏的眼鏡蛇
Lazarus這條隱藏的眼鏡蛇與朝鮮政府的關聯、與加密貨幣被竊案的關聯最初是如何被發現的?這要從一部電影說起。
2014年,索尼影業推出一部名為《刺殺金正恩》(《The Interview》)的喜劇片,講述了由付蘭蘭(弗蘭科)扮演的美國脫口秀主持人去朝鮮採訪和刺殺金正恩的故事。老實講這部電影中的金正恩有幾分可愛,是一個聽凱蒂·佩裡的《Firework》會動情到掉眼淚的人,就像歌裡唱的那樣,他說自己“like a plastic bag, drifting through the wind”。
但僅僅是影片名就足以冒犯到現實世界的金正恩。該片上映前一個自稱和平護衛隊(GoP,Guardians of Peace)的黑客組織攻擊了索尼影業,成功竊取了約11TB的敏感資料,這其中不僅包括大量的還未發行的影片資料,還包括高管間的祕密郵件和員工的隱私資訊,而他們提出的要求是讓索尼“放棄上映破壞地區安全和世界和平的恐怖主義影片”。
毋庸置疑,和平護衛隊來自朝鮮,正是和平護衛隊與Lazarus黑客組織間關係的暴露,讓各安全機構確定Lazarus隸屬於朝鮮。事情發生在2016年。
2016年2月4日,孟加拉國央行陷入一片混亂,因為黑客剛剛從它手中偷走了 8100 萬美元,如果不是因為一處賬戶名拼寫錯誤導致轉賬被終止,黑客本計劃轉走10億美元。不過即便如此,這也創造了有史以來最大的銀行搶劫案,以及當時全球範圍內已知的最大規模的金融網路犯罪案。
多家網路安全公司介入調查,結果顯示攻擊來自一個神祕的幕後組織——Lazarus,而最重要的發現是,這次行動中一段用於消除攻擊證據的底層程式碼和 2014 年黑客攻擊索尼影業時使用的程式碼完全相同。
針對 Lazarus的調查還暴露了其他一些線索,包括Lazarus 的惡意軟體樣本中有大量的韓語元素;Lazarus 在一次行動中犯下錯誤,一臺歐洲伺服器出現了朝鮮政府專用的 IP 登入記錄。
一般來說黑客會重複利用自己開發的程式碼,Lazarus也不例外,正是利用這一特點網路安全公司能夠把攻擊事件與攻擊者聯絡起來。
從2017年開始,包括Proofpoint在內的多家安全公司發現具有Lazarus特徵的網路攻擊有了新特徵:
1.在“感染”機構和個人的過程中,Lazarus加入了為實現加密貨幣攻擊的各種複雜控制後門和惡意軟體。
2.為實現比特幣和其它數字貨幣竊取,Lazarus使用Gh0st遠控木馬來收集被感染者的加密貨幣錢包和交易資料。
隨著比特幣和加密數字貨幣價格的暴漲,作為全球金融機構首要威脅的Lazarus,正在一步步成為加密貨幣市場最“成功”的竊賊。
交易所,Lazarus的主戰場
2018年伊始,唱著《月球與虛擬貨幣與我》出道的全球首個數字貨幣女團Kasotsuka Shojo在完成一場演出後卻無法收到她們的酬勞,因為1月26日,存放她們200萬日元演出酬勞的,同時也是日本最大的加密貨幣交易所Coincheck遭黑客入侵,約合5.34億美元的新經幣失竊。
這是加密貨幣史上最嚴重的一次盜竊事件,超過了Mt.Gox交易所丟失的4.73億美元,而這起網路攻擊的發起者正是Lazarus。不過,他們採用的作案手段卻比Mt.Gox失竊案簡單太多——Lazarus竊取了儲存新經幣熱錢包的私鑰,然後偷走了這筆錢。
不過,提起眼鏡蛇,比日本交易所更瑟瑟發抖的,是韓國交易所。 《2018年高科技網路犯罪趨勢報告》中統計的2017年至2018年交易所失竊案中,韓國交易所佔據了14起中的7起,半壁江山,而這7起中至少有4起已被證實是由Lazarus發起。
來自Group-IB的調查資料與之前韓國議會情報委員會的推測吻合,該組織成員指出僅僅在2017年,朝鮮政府就從韓國交易所偷走了價值數十億韓元的加密貨幣。
被攻擊的交易所包括Bithumb、YouBit、Yapizon、Coinis、YouBit、Coinrail。其中的Youbit在被攻擊兩次之後(其中一次確認來自Lazarus),損失了約17%的總資產,不得不申請破產。
北韓國家隊正在猛烈地攻擊位於其南方的加密貨幣交易所。
小心你的錢包
Lazarus的網路攻擊能力日益強大,如今的它可以輕鬆的實施DDoS攻擊,也能夠入侵特定的公司網路、銀行系統、交易所生態,獲取各種內部資料以及大量的資金,但這並不意味著你不是Lazarus的目標。
Lazarus有一個被稱為PowerRatankba的加密貨幣攻擊工具集,其重要的功能是針對加密貨幣個人和組織進行大規模、普遍性的電郵釣魚攻擊, 2017年6月,它在對某加密貨幣機構高管的釣魚郵件中被發現。
攻擊者傳送以比特幣黃金或Electrum錢包為主題的釣魚郵件給受害者,並通過郵件中的附件或連結部署內建python程式碼的惡意程式,從而竊取受害者的加密貨幣賬戶資訊和密碼,並通過對本地網路的入侵,找到與加密貨幣錢包相關的工作站和伺服器的資訊。
如下圖所示, 偽裝成來自Electrum的郵件會包含一個與合法官網https://electrum.org相似的惡意網站——https://electrüm.org,唯一的差別是惡意網站地址中字母u上多了兩點。 偽裝為來自比特幣黃金的郵件會用網站https://bitcoingöld.org假冒官網https://bitcoingold.org。
PowerRatankba很有可能是Ratankba的進化版,或者是加密貨幣版。Ratankba是Lazarus開發的臭名昭著的作案程式,被業內人士稱為“地形測繪工具”, 主要用於攻擊前期的偵察和滲透。
結語
FBI、DHS曾聯合釋出警告:警惕朝鮮黑客組織Lazarus。
朝鮮政府的前電腦專家Jang Se-yul在接受媒體採訪時說,他認為朝鮮黑客的技術水平不遜於谷歌或者美國中情局的頂級程式設計師,甚至可能會更好,因為“朝鮮為它準備了 20年”。
現在,作為金融產業“最成功”的大規模攻擊專家,這條隱藏的眼鏡蛇溜進了加密貨幣的世界。
Lazarus不僅為這個戰場開發了新工具——專門針對加密貨幣的木馬程式,還似乎要在此全面開戰——8月初卡巴斯基實驗室發現Lazarus竊取加密貨幣的軟體已經不再侷限於Windows版本,Mac版已被投入使用。
但比這更加可怕的是,“難以察覺的偷竊”是Lazarus最重要的宗旨,它們對惡意軟體進行大量的專項開發和除錯,用於讓自己的攻擊行為“合法化”。
現在我們還可以瞥見眼鏡蛇的身形,但在未來,它可能真正的“隱形”,永遠的消失在大眾的視野。