撰文:CryptoLeo(@LeoAndCrypto)
加密世界苦朝鮮黑客久矣!
近日,安全機構 Security Alliance(SEAL)發佈了一篇主題為「幫助你識別真正的朝鮮開發者」的帖子,並配圖了其推出的網址中的 6 張朝鮮黑客的照片。此外,Security Alliance 還公佈了圖片的來源網址:lazarus.group
Lazarus Group 大家應該都很熟悉,臭名昭著的朝鮮黑客組織。該帖子在發佈後迅速引起社交媒體熱議,原因無他,朝鮮黑客正通過虛假身份偽裝成互聯網開發者、工程師等身份潛入項目/企業並對其進行各類攻擊,從而盜取其資金,致使項目「英年早逝」。
戰績可查——朝鮮最大幕後黑手 Lazarus Group
作為朝鮮最大的黑客組織,近年來每次出現的大額黑客事件都有他們的身影,依靠各種黑客技術從各大機構/企業盜取巨量加密資產,甚至一舉登上比特幣持倉政府實體排行榜第三的席位,超越不丹、薩爾瓦多 2 大 BTC 鑽石手,持倉數量僅次於美國和英國。
相關參考:《Lazarus Group 比特幣持倉鏈上前三,朝鮮也來加密戰略儲備?》
而事實上,Lazarus Group 的盜竊活動遠非加密行業,其「業務」廣泛,也包括竊取銀行資金、敏感數據、商業機密、軍事情報和勒索贖金等。也有人表示,Lazarus Group 的操作有時並非為了錢,也會盜取的官方技術/數據等支持朝鮮科技發展,並試圖製造混亂支持地緣政治目標。
對於加密世界,Lazarus Group 近四年的操作戰績如下:
2022 年:Axie Infinity 被盜超 6 億美元加密資產
具體為:該黑客通過 LinkedIn 和 WhatsApp 聯繫了 Axie Infinity 開發商 Sky Mavis 的工程師,利用新工作機會引誘其參與面試。在經過多輪面試後,該工程師獲得了一份薪酬極其豐厚的工作並收到了虛假 Offer,這份虛假 Offer 是以 PDF 文件的形式發送的,工程師下載了該 PDF 文件後,其內置木馬滲透到 Ronin 的系統中,之後該黑客通過接管 Ronin 網絡驗證器而盜取資金。
2023 年:Poloniex 和 HTX 被盜超 2 億美元
Poloniex 和 HTX 被盜原因為私鑰洩露,黑客通過高級持久威脅(APT)手段長期滲透並監控 Poloniex,後獲取熱錢包訪問權限。APT 攻擊的特點包括高度隱蔽性、目標明確、持續性強和攻擊手段先進。
兩平臺均與孫宇晨有關(可以判定當時孫哥被盯上了)。
2024 年:DMM Bitcoin(3 億美元)和 WazirX(2.3 億美元)被盜超 5 億美元
2024 年 5 月份,日本加密交易所 DMM Bitcoin 檢測到錢包中不當流出 4502.9 枚比特幣。日本金融廳要求 DMM 調查被盜原因並給出客戶賠償方案。 後續發佈官方聲明稱,該交易所被盜系 TraderTraitor 通過社交工程攻擊,偽裝成 LinkedIn 招聘人員,誘騙負責管理 DMM 交易的 Ginco Inc. 員工下載惡意程序代碼,進而控制交易請求,將資金轉移至黑客錢包。DMM 也承諾補償客戶,但因財務壓力於 2024 年 12 月關閉,此後 DMM 將客戶賬戶及資產將於 2025 年 3 月 8 日遷移至 SBI VC Trade。
2024 年 7 月份,印度交易平臺 WazirX 遭遇黑客攻擊,被盜金額約 2.3 億美元。調查報告顯示,被盜原因為 WazirX 的一個多重簽名錢包遭受網絡攻擊,攻擊者利用 Liminal 界面與實際交易數據之間的「顯示不一致」(discrepancy),誘導 WazirX 的 3 名簽名者和 Liminal 的 1 名簽名者批准一個看似正常的交易(例如一次普通的 USDT 轉賬)。實際上,這個交易包含惡意負載,升級了錢包的智能合約,使其邏輯被篡改。篡改後攻擊者獲得完全控制權,無需 WazirX 的密鑰即可轉移所有資金。
2025 年:Bybit 被盜 15 億美元
2025 年 2 月份,Bybit 被盜 15 億美元,也是史上金額最大的加密盜竊案。具體為,具有系統發佈權限的開發人員電腦設備被入侵,攻擊者上傳更改了 Safe 在 AWS S 3 bucket 中的一個 javascript 代碼文件,該文件包含惡意邏輯,僅針對 Bybit 的以太坊 Safe 錢包以及一個未知錢包(推測是攻擊者測試驗證所用),從而完成對 Safe{wallet} 前端界面的入侵。隨後 Bybit 在開展正常的冷熱錢包代幣轉移過程中,所有 Safe{wallet} 用戶所看到及使用的,都是被植入了惡意代碼的 Safe{wallet} 前端,因此 Bybit 多籤參與人看到 Safe{Wallet} 前端界面展示信息完全正常。最終黑客欺騙了多個(3 個)簽名人,最終通過惡意交易獲取多籤錢包控制權,完成攻擊。
以上均為 Lazarus Group 參與和間接參與的黑客盜取事件,金額巨大,且手法專業,很多被盜事件並非安全漏洞或人為失誤,但在 Lazarus Group 的長期監控下依舊丟了資金,Lazarus Group 可以說是無孔不入。
CZ 助力警示,Lazarus Group 常見的詐騙方式
帖子發佈後,CZ 也很快轉發了該帖子,並列出了一些常見的朝鮮黑客詐騙方式:
1、假扮成求職者,試圖在企業謀得職位。這讓黑客得以近距離接觸攻擊目標,這些黑客尤其青睞開發、安全和財務職位;
2、假扮成僱主,試圖面試/聘用你的員工。在面試過程中,他們會稱 Zoom 出現問題,並向面試者發送「更新後」鏈接,其中包含會控制員工設備的病毒。或者他們會向員工提出一個編程問題,然後發送一些「示例代碼」;
3、偽裝成用戶。在客戶支持請求中向你發送鏈接,該鏈接指向的頁面會下載某種病毒;
4、通過賄賂企業員工和外包供應商來獲取數據。數月前,印度一家主要的外包服務公司遭到黑客攻擊,導致一家美國主要交易所的用戶數據洩露,用戶資產損失超過 4 億美元(或為 Coinbase)。
最後,CZ 呼籲企業需要培訓員工不要下載未知文件,且應仔細篩查應聘者。
這些攻擊不僅適用於企業,個人在遇到同類情況也需要提高警惕,比如看到陌生人的鏈接、共享屏幕等,尤其加密行業,很多人被攻擊後的轉帳時會遇到剪貼板劫持(Clipboard Hijacking)或地址替換病毒(Address Poisoning via Clipper Malware),也是我們可能遇到的最常用的攻擊方式:當用戶複製錢包地址(BTC、ETH、SOL 地址)時,軟件會自動將其替換為攻擊者控制的相似地址,這些替換地址往往開頭和結尾幾乎相同(例如,前 4-6 位和後 4-6 位字符一致),導致你轉帳到黑客控制的地址。
此外,社交媒體上收到的陌生人鏈接也需要謹慎,該鏈接很可能包含病毒。
一份黑名單——朝鮮黑客的相關數據和應對方法
目前,lazarus.group 網站更新了 63 名黑客的名單,每個黑客的照片背景和狀態都不同,這些黑客身份偏向開發者、智能合約工程師、軟件工程師(針對 Web 3、區塊鏈和後端開發),但名單上的信息並非自身真實信息,大概率是 Lazarus Group 團隊黑客偽造的檔案,或是 Lazarus Group 的成員或關聯者,很多名單人員現仍在企業任職。
界面列出他們的曾用名、社交賬號(郵件、推特、電話號等)、Github 賬號、就職記錄、捕捉到的圖片甚至還包括加密錢包地址,還提供更詳細的「簡歷」分析(如 LinkedIn 偽造痕跡、IP 異常等)。這些數據可以幫助 HR 和企業快速檢測出面試者和員工是否存在風險。
此外,該網址還推出了驗證求職者賬號的功能,包括 X、Github、TG、DC、網址和郵件驗證(免費)。
而 SEAL 推出的 SEAL Frameworks 也可以幫助你更好地瞭解安全相關的知識。文件提到:
朝鮮 IT 工作者通常使用虛假身份為外國公司從事遠程信息技術工作,朝鮮 IT 工作者是該國政權的重要收入來源,尤其是對其武器計劃而言。他們從事各種 IT 工作(但不限於 IT),經常偽裝身份和地點,以獲得自由職業合同併產生收入,這些收入會匯回朝鮮。這些工作者主要駐紮在中國和俄羅斯,部分分佈在亞洲、非洲和拉丁美洲的一些地區。
文件內容顯示,朝鮮還運營著一個「facilitators」網絡,以幫助他們掩蓋身份並促使達成遠程線上辦公,facilitators 出借其數字和物理身份賺錢,他們的客戶大多都是朝鮮黑客。
自 2010 年至今,朝鮮 IT 工作者的數量增多,地域分佈更廣泛,活動也更多樣化,其主要目標為:
-通過遠程 IT 工作為朝鮮政權創造穩定收入;
-為朝鮮的 IT 相關業務(走私和洗錢)構建支持網絡;
-獲取西方公司的技術、基礎設施以及身份信息(包括個人和公司、數字和物理身份信息);
-洩露公司機密(有意或無意);
-敲詐勒索(勒索軟件和敲詐);
-避免制裁(朝鮮實體被禁止接受來自西方國家的任何形式的付款);
-黑客攻擊(建立對基礎設施的永久訪問權限,以便立足或滲透);
-惡意軟件(感染高價值目標以備日後盜竊)。
目前,活躍在不同公司和政府機構的朝鮮黑客估計總數在 2000 至 15000 之間。但這個數字包括同一行為者重複使用的多個身份或非活躍賬戶。SEAL 估算所有 Web 3 開發人員中,約有 3-5%是朝鮮人,任一時刻都至少有 200-300 個與朝鮮相關的賬戶在積極尋求 Web 3 公司的就業機會。
SEAL Frameworks 也給出了一些建議,當企業發現員工與 Lazarus Group 有染時:
-不要立即解僱他們,在確保組織安全的同時,保持正常表現,以避免打草驚蛇。
-立即停止所有付款,如被懷疑,可以以「財務問題」等為由拖延時間。
-系統性地撤銷對代碼庫、雲基礎設施和內部系統的所有訪問權限。同時,收集所有可用數據(如客戶身份驗證文件、加密貨幣地址、電子郵件、簡歷)以供報告。
-對所有代碼貢獻進行全面的安全審計,密切關注依賴項、構建文件(持續集成/持續部署)以及潛在的後門。
-安全風險完全消失後,以商業相關的原因(如縮減規模、改變方向)終止他們的合同,並向執法部門報告此事。
持續更新的黑名單——短期有效還是長期利好
對於 lazarus.group 的公開名單行為:大部分人認為該名單能幫助企業更好地識別存在風險的員工或面試者,或許可以減少黑客事件發生的次數。
公開黑客相關數據在短期內或許可以起到一些作用,但長期來,由於該名單是公開可見的,黑客發現自己在上榜後很可能修改公開賬號信息和個人信息,SEAL 對此的回覆是很多人還是會習慣性使用某些慣用賬號從而露出馬腳。目前在 AI 深度偽造技術加持下,黑客或許可以更新所有的個人信息,甚至改頭換面,所以名單的推出只會讓黑客偽裝地更加隱秘且不易察覺,畢竟加密行業很多人是線上辦公的。
