史上最大劫案始作俑者：朝鲜黑客组织LazarusGroup背后的故事

文章转载来源： Foresight News

来源：维基百科

编译：Yobo，Foresight News

以下内容译自维基百科词条「Lazarus Group」正文：

Lazarus Group（也被称为「Guardians」或「Peace or Whois Team」）是一个由数量不明的人员组成的黑客组织，据称受朝鲜政府操控。虽然人们对该组织了解有限，但自2010年以来，研究人员已将多起网络攻击归咎于他们。

该组织最初是一个犯罪团伙，如今因其攻击意图、造成的威胁，以及行动时使用的多种手段，已被认定为高级持续性威胁组织。网络安全机构给他们起了不少别称，比如「Hidden Cobra」（美国国土安全部用这个称呼来指代朝鲜政府发起的恶意网络活动），还有「ZINC」或「Diamond Sleet」（微软的叫法）。据该国叛逃者 Kim Kuk-song 称，该组织在朝鲜国内被称为「414联络办公室」。

Lazarus Group 与朝鲜联系紧密。美国司法部宣称，该组织是朝鲜政府战略的一部分，目的是「破坏全球网络安全…… 并违反制裁规定获取非法收入」。朝鲜通过开展网络行动能获得诸多好处，仅需要维护一个非常精干的小团队就能构成「全球性」的不对称威胁（尤其是针对韩国）。

发展历程

该组织已知最早发动的攻击是2009年至2012年的「特洛伊行动」。这是一场网络间谍活动，他们利用并不复杂的分布式拒绝服务攻击（DDoS）技术，将位于首尔的韩国政府作为目标。2011年和2013年，他们也发动了攻击。虽然不能确定，但2007年针对韩国的一次攻击也有可能是他们所为。该组织的一次著名攻击发生在2014年，目标是索尼影视。这次攻击运用了更复杂的技术，也显示出该组织随着时间推移变得越来越成熟。

据报道，2015年，Lazarus Group 从厄瓜多尔的奥斯特罗银行盗走1200万美元，还从越南的先锋银行盗走100万美元。他们还将波兰和墨西哥的银行列为目标。2016年的银行盗窃案中，他们对某银行发动攻击，成功盗走8100万美元，这起案件也被认为是该组织所为。2017年，有报道称 Lazarus Group 从台湾远东国际商业银行盗走6000万美元，不过实际被盗金额并不明确，而且大部分资金已追回。

目前尚不清楚该组织的真正幕后黑手是谁，但媒体报道指出，该组织与朝鲜有密切关联。2017年，卡巴斯基实验室报告称，Lazarus Group 倾向于专注间谍和渗透类网络攻击，而其内部一个被卡巴斯基称为「Bluenoroff」的子组织，则专门从事金融网络攻击。卡巴斯基在全球发现多起攻击事件，并发现Bluenoroff与该国存在直接的IP地址关联。

不过，卡巴斯基也承认，代码的重复使用可能是一种「假旗行动」，目的是误导调查人员，让朝鲜背黑锅，毕竟全球范围内的「想哭」蠕虫网络攻击就抄袭了美国国家安全局的技术。这种勒索软件利用了美国国家安全局的「永恒之蓝」漏洞，2017年4月，一个名为「影子经纪人」的黑客组织将该漏洞公开。2017年，Symantec 报告称，「WannaCry」攻击极有可能是 Lazarus Group 所为。

2009年「特洛伊行动」

Lazarus Group 的首次重大黑客事件发生在2009年7月4日，标志着「特洛伊行动」的开始。这次攻击利用「我的末日」和「推土机」恶意软件，对美国和韩国的网站发起大规模但手法并不复杂的DDoS攻击。这波攻击针对约36个网站，并在主引导记录（MBR）中植入「独立日纪念」的文字。

2013年韩国网络攻击（「Operation 1 行动」/「黑暗首尔」行动）

随着时间推移，该组织的攻击手段愈发复杂；他们的技术和工具也更加成熟、有效。2011年3月的「十日雨」攻击，目标是韩国的媒体、金融和关键基础设施，采用了更复杂的DDoS攻击，这些攻击源自韩国国内被入侵的计算机。2013年3月20日，「黑暗首尔」行动展开，这是一次擦除数据的攻击，目标是韩国的三家广播公司、金融机构和一家互联网服务提供商。当时，另外两个自称「新罗马网络军团」和「WhoIs团队」的组织宣称对此次攻击负责，但研究人员当时并不知道背后主谋是 Lazarus Group。如今，研究人员知道 Lazarus Group 是这些破坏性攻击的主导者。

2014年末：索尼影视遭入侵

2014年11月24日，Lazarus Group 的攻击达到高潮。当天，Reddit上出现一篇帖子，称索尼影视被不明手段入侵，攻击者自称「和平卫士」。大量数据被盗取，并在攻击后的几天里逐渐泄露。一名自称是该组织成员的人在接受采访时表示，他们窃取索尼的数据已有一年多时间。

黑客得以访问尚未发行的电影、部分电影剧本、未来电影计划、公司高管薪资信息、电子邮件，以及约4000名员工的个人信息。

2016年初调查：「重磅炸弹行动」

以「重磅炸弹行动」为代号，由Novetta牵头的多家安全公司组成联盟，对不同网络安全事件中发现的恶意软件样本进行分析。利用这些数据，该团队分析了黑客的作案手法。他们通过代码复用模式，将 Lazarus Group 与多起攻击关联起来。例如，他们使用了一种在互联网上鲜为人知的加密算法——「卡拉卡斯」密码算法。

2016年某银行网络盗窃案

2016年2月发生了一起银行盗窃案。安全黑客通过环球银行金融电信协会（SWIFT）网络发出35条欺诈指令，试图从某国中央银行在纽约联邦储备银行的账户非法转移近10亿美元。35条欺诈指令中有5条成功转移了1.01亿美元，其中2000万美元流向斯里兰卡，8100万美元流向菲律宾。纽约联邦储备银行因一条指令拼写错误产生怀疑，阻止了其余30笔交易，涉及金额8.5亿美元。网络安全专家称，此次攻击的幕后黑手是来自某国的 Lazarus Group。

2017年5月「WannaCry」勒索软件攻击

「WannaCry」攻击是一场大规模的勒索软件网络攻击，2017年5月12日，从英国国家医疗服务体系（NHS），到波音公司，甚至中国的一些大学，全球众多机构都受到影响。这次攻击持续了7小时19分钟。欧洲刑警组织估计，此次攻击影响了150个国家的近20万台计算机，主要受影响的地区包括俄罗斯、印度、乌克兰和台湾地区。这是最早的加密蠕虫攻击之一。加密蠕虫是一类恶意软件，可通过网络在计算机之间传播，无需用户直接操作即可感染 —— 在这次攻击中，它利用的是TCP端口445。计算机感染该病毒无需点击恶意链接，恶意软件可自动传播，从一台计算机传播到连接的打印机，再传播到附近连接无线网络的其他计算机等。端口445的漏洞使得恶意软件能在内部网络中自由传播，迅速感染数千台计算机。「WannaCry」攻击是首次大规模使用加密蠕虫的攻击之一。

攻击方式：该病毒利用了Windows操作系统的漏洞，然后加密计算机数据，要求支付约300美元价值的比特币来获取解密密钥。为促使受害者付款，三天后赎金翻倍，如果一周内未支付，恶意软件就会删除加密的数据文件。恶意软件使用了微软开发的一款名为「Windows Crypto」的合法软件来加密文件。加密完成后，文件名会加上「Wincry」后缀，这就是「想哭」（WannaCry）名称的由来。「Wincry」是加密的基础，但恶意软件还利用了另外两个漏洞「永恒之蓝」（EternalBlue）和「双脉冲星」（DoublePulsar），使其成为加密蠕虫。「永恒之蓝」可自动通过网络传播病毒，「双脉冲星」则触发病毒在受害者计算机上激活。也就是说，「永恒之蓝」将受感染的链接传播到你的计算机，「双脉冲星」替你点击了它。

安全研究员 Marcus Hutchins 从一家安全研究公司的朋友那里收到该病毒样本后，发现病毒中硬编码了一个「杀毒开关」，从而终止了这次攻击。该恶意软件会定期检查某个特定域名是否已注册，只有在该域名不存在时才会继续进行加密操作。哈钦斯发现了这个检查机制，随后在协调世界时下午3点03分注册了相关域名。恶意软件立即停止传播并感染新设备。这一情况很值得玩味，也为追踪病毒制作者提供了线索。通常情况下，阻止恶意软件需要黑客和安全专家反复较量数月时间，如此轻易地获胜令人始料未及。这次攻击还有一个不同寻常之处，那就是支付赎金后文件也无法恢复：黑客仅收到16万美元赎金，这让很多人认为他们的目的并非钱财。

「杀毒开关」轻易被破解以及赎金收益微薄，让很多人相信这次攻击是由国家支持的；其动机并非经济补偿，而是制造混乱。攻击发生后，安全专家追踪发现，「双脉冲星」漏洞源自美国国家安全局，该漏洞最初是作为一种网络武器开发的。后来，「影子经纪人」黑客组织窃取了这个漏洞，先是试图拍卖，但未能成功，最后干脆免费公开。美国国家安全局随后将该漏洞信息告知微软，微软于2017年3月14日发布了更新，距离攻击发生不到一个月。但这还不够，由于更新并非强制安装，到5月12日时，大多数存在该漏洞的计算机仍未修复，导致这次攻击造成了惊人的破坏。

后续影响：美国司法部和英国当局后来认定，「WannaCry」攻击是朝鲜黑客组织 Lazarus Group 所为。

2017年加密货币攻击事件

2018年，Recorded Future发布报告称，Lazarus Group 与针对加密货币比特币和门罗币用户的攻击有关，这些攻击主要针对韩国用户。据报道，这些攻击在技术上与此前使用「想哭」勒索软件的攻击以及针对索尼影视的攻击相似。Lazarus Group 黑客使用的手段之一是利用韩国文字处理软件Hangul（由Hancom开发）的漏洞。另一种手段是发送包含恶意软件的鱼叉式网络钓鱼诱饵，目标是韩国学生和Coinlink等加密货币交易平台的用户。

如果用户打开恶意软件，其电子邮件地址和密码就会被盗取。Coinlink否认其网站或用户的电子邮件地址和密码遭到黑客攻击。该报告总结称：「2017年末的这一系列攻击表明，某国对加密货币的兴趣有增无减，如今我们知道这种兴趣涵盖了包括挖矿、勒索软件攻击和直接盗窃等广泛活动……」报告还指出，某国利用这些加密货币攻击来规避国际金融制裁。

2017年2月，某国黑客从韩国加密货币交易平台Bithumb盗走700万美元。另一家韩国比特币交易公司Youbit在2017年4月遭受一次攻击后，同年12月又因17%的资产被盗，不得不申请破产。Lazarus Group 和某国黑客被指是这些攻击的幕后黑手。2017年12月，加密货币云挖矿市场Nicehash损失了4500多枚比特币。一项调查更新显示，此次攻击与 Lazarus Group 有关。

2019年9月攻击事件

2019年9月中旬，美国发布公开警报，称发现一种名为「ElectricFish」的新型恶意软件。自2019年初以来，某国特工在全球范围内实施了5起重大网络盗窃，其中包括成功从科威特一家机构盗走4900万美元。

2020年末制药公司攻击事件

由于新冠疫情持续蔓延，制药公司成为 Lazarus Group 的主要目标。Lazarus Group 成员利用鱼叉式网络钓鱼技术，伪装成卫生官员，向制药公司员工发送恶意链接。据信，多家大型制药企业成为攻击目标，但目前已确认的只有英瑞合资的阿斯利康公司。据路透社报道，众多员工成为攻击对象，其中很多人参与了新冠疫苗的研发工作。目前尚不清楚 Lazarus Group 发动这些攻击的目的，但可能包括：窃取敏感信息获利、实施敲诈勒索计划，以及让外国政权获取新冠病毒相关的专有研究成果。阿斯利康尚未对该事件发表评论，专家认为目前尚无敏感数据泄露。

2021年1月针对网络安全研究人员的攻击事件

2021年1月，谷歌和微软均公开报告称，有一群来自某国的黑客通过社会工程学手段，对网络安全研究人员发起攻击，微软明确指出该攻击由 Lazarus Group 实施。

黑客在Twitter、GitHub和领英等平台创建多个用户资料，伪装成合法的软件漏洞研究人员，与安全研究社区的其他人发布的帖子和内容互动。然后，他们会直接联系特定的安全研究人员，以合作研究为由，诱使受害者下载包含恶意软件的文件，或访问由黑客控制的网站上的博客文章。

一些访问了博客文章的受害者称，尽管他们使用的是已完全安装补丁的谷歌Chrome浏览器，但计算机仍遭到入侵，这表明黑客可能利用了此前未知的Chrome零日漏洞进行攻击；然而，谷歌在报告发布时表示，无法确定具体的入侵方式。

2022年3月链游Axie Infinity攻击事件

2022年3月，Lazarus Group 被指从Axie Infinity游戏使用的Ronin网络中窃取了价值6.2亿美元的加密货币。联邦调查局表示：「通过调查，我们确认 Lazarus Group 和APT38（与朝鲜有关联的网络行为者）是此次盗窃的幕后黑手。」

2022年6月Horizon Bridge攻击事件

联邦调查局证实，朝鲜恶意网络行为者组织 Lazarus Group（也被称为APT38）是2022年6月24日报道的从Harmony的Horizon桥窃取1亿美元虚拟货币事件的幕后黑手。

2023年其他相关加密货币攻击事件

区块链安全平台Immunefi发布的一份报告称，Lazarus Group 在2023年的加密货币黑客攻击事件中，造成的损失超过3亿美元，占当年总损失的17.6%。

2023年6月Atomic Wallet攻击事件：2023年6月，Atomic Wallet服务的用户被盗走价值超过1亿美元的加密货币，联邦调查局随后证实了这一事件。

2023年9月 Stake.com 黑客攻击事件：2023年9月，联邦调查局证实，在线赌场和博彩平台 Stake.com 价值4100万美元的加密货币被盗，作案者是 Lazarus Group。

美国制裁措施

2022年4月14日，美国财政部海外资产控制办公室（OFAC）根据某国制裁条例第510.214条，将 Lazarus Group 列入特别指定国民清单（SDN List）。

2024年加密货币攻击事件

据印度媒体报道，当地一家名为WazirX的加密货币交易所遭到该组织攻击，价值2.349亿美元的加密资产被盗。

人员培养

据传言，部分朝鲜黑客会被派往中国沈阳进行专业培训，学习如何将各类恶意软件植入计算机、计算机网络和服务器。在朝鲜内部，金策工业综合大学、金日成综合大学和万景台大学承担相关教育任务，这些大学从全国选拔最优秀的学生，让他们接受为期六年的特殊教育。除大学教育外，「一些最优秀的程序员…… 会被送到万景台大学或Mirim学院深造」。

组织分支

Lazarus Group 被认为有两个分支。

BlueNorOff

BlueNorOff（也被称为APT38、「星辰千里马」、「BeagleBoyz」、「NICKEL GLADSTONE」）是一个受经济利益驱使的组织，通过伪造环球银行金融电信协会（SWIFT）指令进行非法资金转移。Mandiant称其为APT38，Crowdstrike则称其为「星辰千里马」。

根据美国陆军2020年的一份报告，BlueNorOff约有1700名成员，他们专注于长期评估并利用敌方网络漏洞和系统，从事金融网络犯罪活动，为该国政权获取经济利益或控制相关系统。2014年至2021年间，他们的目标包括至少13个国家的16家机构，这些国家有孟加拉国、智利、印度、墨西哥、巴基斯坦、菲律宾、韩国、台湾地区、土耳其和越南等。据信，这些非法所得被用于该国导弹和核技术的研发。

BlueNorOff最臭名昭著的攻击是2016年的某银行盗窃案，他们试图通过SWIFT网络，从某国中央银行在纽约联邦储备银行的账户非法转移近10亿美元。部分交易成功完成（2000万美元流向斯里兰卡，8100万美元流向菲律宾）后，纽约联邦储备银行因一条指令拼写错误产生怀疑，阻止了其余交易。

与BlueNorOff相关的恶意软件包括：「DarkComet」「Mimikatz」「Nestegg」「Macktruck」「想哭」「Whiteout」「Quickcafe」「Rawhide」「Smoothride」「TightVNC」「Sorrybrute」「Keylime」「Snapshot」「Mapmaker」「net.exe」「sysmon」「Bootwreck」「Cleantoad」「Closeshave」「Dyepack」「Hermes」「Twopence」「Electricfish」「Powerratankba」和「Powerspritz」等。

BlueNorOff常用的手段包括：网络钓鱼、设置后门、利用漏洞攻击、水坑攻击、利用过时且不安全的Apache Struts 2版本在系统上执行代码、战略性地入侵网站，以及访问Linux服务器等。有报道称，他们有时会与犯罪黑客合作。

AndAriel

AndAriel，也拼作Andarial，还有别称：沉默的千里马（Silent Chollima）、黑暗首尔（Dark Seoul）、来福枪（Rifle）以及瓦松尼特（Wassonite），从逻辑上看，其特点是将韩国作为攻击目标。安德里尔的别称「沉默的千里马」源于该组织行事隐秘的特性[70]。韩国的任何机构都可能受到安德里尔的攻击，目标包括政府部门、国防机构以及各类经济标志性实体。

根据美国陆军2020年的一份报告，安德里尔组织约有1600名成员，他们的任务是进行侦察、评估网络漏洞，并绘制敌方网络地图以便实施潜在攻击 。除韩国外，他们还将其他国家的政府、基础设施和企业列为攻击目标。攻击手段包括：利用ActiveX控件、韩国软件漏洞、水坑攻击、鱼叉式网络钓鱼（宏病毒方式）、针对IT管理产品（如杀毒软件、项目管理软件）进行攻击，以及通过供应链（安装程序和更新程序）发动攻击。使用的恶意软件有：雅利安（Aryan）、灰鸽子远程控制木马（Gh0st RAT）、Rifdoor、Phandoor和安达拉特（Andarat）。

相关人员遭起诉情况

2021年2月，美国司法部起诉了朝鲜军事情报机构侦察总局的三名成员 —— 朴晋赫（Park Jin Hyok）、全昌赫（Jon Chang Hyok）和金一朴（Kim Il Park），指控他们参与了 Lazarus Group（Lazarus）的多起黑客攻击活动。朴晋赫早在2018年9月就已被起诉。这几名嫌疑人目前均未被美国拘押。此外，一名加拿大人和两名中国人也被指控为 Lazarus Group 充当资金转运者和洗钱者。