加密货币交易所 Bybit 在 2 月 21 日惨遭骇客攻击,被盗走约 50 万枚 ETH,价值近 15 亿美元,成为加密货币历史上最大的骇客盗窃案。而这起网路金融犯罪的背后凶手,正是臭名昭著的北韩骇客集团拉萨路(Lazarus Group)。
多年来社群一直好奇的是,北韩作为一个集权国家,不仅在外受到多国的制裁,对内也十分封闭,政府对民众接触资讯以及网路的管控也十分严格,为什么还能诞生出拥有全球顶尖骇客技术的团队?本文动区就和读者讨论下这背后的可能原因。
北韩为何能诞生骇客组织拉萨路 Lazarus
根据《经济学人》在 2022 年 6 月和今年 3 月 19 日的两篇报导来看,拉萨路之所以能在北韩这一封闭国家中诞生,并成长为对全球最具威胁的网路犯罪组织,核心原因在于北韩政府对其的倾力支持,甚至有传言称北韩最高领导人金正恩将其视为「一把万能的剑」,能够扩大北韩在非对称作战中的优势。
具体来看,北韩政府对拉萨路的支持包括:
- 隶属于北韩官方情报机构侦查总局(RGB):相关研究显示,拉萨路受北韩政府直接支持,主要负责的就是监督和指导该国的网路战活动,因此在北韩境内,该组织的骇客行为不受法律约束,并不像其他国家那样,可能受国际压力影响被政府干涉。
- 系统性的专业培养:北韩对于拉萨路成员有十分系统的技术训练,包括:
- 1)骇客成员从小就会被挑选,大概在 10 岁左右就会被送入特殊学校进行集中学习
- 2)北韩建立了多个相关教育机构,包括金策工业大学、金日成综合大学等,且在完成大学教育后,部分学员还会被送往更加高级的教育机构进行深造
- 3)由于北韩缺乏自由的网路,因此这些学员还会被送往其他国家,例如中国进行实战训练。
- 待遇优厚:对于骇客组织成员,北韩政府提供的待遇也十分优厚,包括免除兵役、提供良好的住房等。
另外还有一个原因,可能则是内在动机的不同。我们知道在北韩生活不易,甚至一点失误就可能被判死刑,一般的骇客可能是为了赚钱而进行网路攻击;但这些骇客则可能是为了活命,因此才会无所不用其极的常识攻破各大组织的安全防护。
专家指出,北韩面临国际社会经济制裁压力,盗来的加密货币早就成为该国的命脉。《经济学人》推断 2023年,北韩在网路窃盗所得就高达外汇收入的一半,这些赃款被拿来巩固金正恩政权,被用来发展导弹跟核武。
北韩骇客常见攻击手段有哪些?
- 钓鱼攻击:使用精心设计的电子邮件,针对特定目标(如企业高管、IT 人员或加密货币平台员工)发送个人化讯息,诱骗他们点击恶意连结或下载附件。
- 恶意软体部署:北韩骇客擅长开发和部署专门的恶意软体,针对目标系统进行窃取、破坏或勒索。常见的包括勒索病毒、木马病毒等。
- 利用系统漏洞:他们会寻找并利用软体或网路中的已知和零日漏洞(Zero-Day Exploits),以绕过安全防护。
- 社交工程攻击:通过伪装身份或建立信任关系,诱导目标提供敏感资讯或执行危险操作。
- DDoS 攻击:这是使用大量流量淹没目标伺服器,使其无法正常运作,通常作为分散注意力或报复手段。
- 洗钱和资金转移:最后值得一提的是,北韩骇客对洗钱流程轻车熟路,他们往往使用复杂的洗钱网路,包括利用加密货币,将赃款转换为现金或隐藏其来源。英国区块链分析公司 Elliptic 分析师 Tom Robinson 就向《经济学人》说:「Lazarus 是我们遇过经验最老到的加密货币洗钱者…」
北韩骇客在全球作恶纪录
北韩骇客组织拉萨路曾经发动的著名攻击包括但不限于以下:
- 北韩骇客已知的最早攻击,是在 2009 年至 2012 年的「特洛伊行动」,这是一起网路间谍活动,他们利用 DDoS 攻击,将南韩政府作为攻击目标。
- 2014 年,该组织攻击了索尼影视,泄露机密资料并使网路瘫痪,以报复电影《刺杀金正恩》的上映。
- 对各大银行进行攻击,包括从厄瓜多的奥斯特罗银行盗走 1,200 万美元,还从越南的先锋银行盗走 100 万美元等。
- 在 2017 年,发动 WannaCry 攻击,这是一起全球范围内的勒索软体攻击,影响波及 150 多个国家,对医疗系统和企业运作造成了巨大伤害。
- 在加密货币领域,除了今年 2 月 Bybit 交易所窃案外,此前链游 Axie Infinity 所在的 Ronin 网路,也曾被盗走 6.2 亿美元的加密货币。
最后动区也提醒读者,在网际网路时代,骇客攻击无出不在,而加密货币,更是骇客直接窃取资金的热土,因此读者无论是在上网还是投资加密货币时,都应该保持谨慎,以免遭遇不必要的损失。
