據記者瞭解,與其他黑客組織相比,Lazarus 不僅實力強勁,是世界上最賺錢的加密貨幣黑客集團,而且還有國家級背景參與其中……
原文標題:《起底 Lazarus:加密世界最成功的竊賊》
文章來源:公衆號 區塊鏈新金融
作者:Neo
黑客攻擊再度席捲了加密世界。
近日,多起加密貨幣交易所遭到黑客洗劫的消息傳遍了幣圈。據統計,開年以來,包括 DragonEx、BiKi、Cryptopia、Etbox 等多家交易所都已經接連淪陷。
根據調查,衆多網絡安全公司發現,在盜竊問題頻發的背後,隱藏着一個名爲 Lazarus 的黑客組織。
而據記者瞭解,與其他黑客組織相比,Lazarus 不僅實力強勁,是世界上最賺錢的加密貨幣黑客集團,而且還有國家級背景參與其中……
始末
3 月 24 日,加密交易平臺排名前 20 的 DragonEx (龍網)交易所遭受黑客入侵,BTC、ETH、EOS 等 20 餘種主流數字資產被盜。
據統計,此次被盜,該交易所共損失約 600 萬美元的數字資產,且已經有超過 90 萬美元的資產流入了交易所。
龍網交易所的被盜引發了市場對安全問題的高度關注,不少安全團隊都對此進行了溯源分析。針對龍網遭受的攻擊,降維安全實驗室分析認爲,本次攻擊是有組織並且有預謀的,是專門針對交易所高級技術人員或管理人員的專業級攻擊。
其主要過程爲:通過運營和模擬正常的量化軟件,以高利潤和高收益通過交易所對外的客服誘惑交易所高層使用,量化軟件中隱藏有關鍵的加密後門。一旦軟件被傳遞到關鍵人電腦上運行就會進行一序列滲透和黑客動作。
降維安全室進一步表示,在收到多個交易所遭受相同攻擊的反饋之後發現,有證據顯示,攻擊者可能和索尼影業遭黑客攻擊事件以及 2016 年孟加拉國銀行數據泄露事件等有關。而無論是以上哪種事件,矛頭都直指 Lazarus。
昨日,經 360 安全大腦確認,有關 DrangonEx 交易所遭受黑客攻擊事件,正是黑客組織 Lazarus 所爲。
根據 360 安全大腦的分析,該組織於 2018 年 10 月開始籌備攻擊,在經歷了長達半年時間的運營後,以釣魚的方式向大量交易所官方人員推薦,從而引誘交易所人員上鉤。
實際上,在龍網被盜之後,Lazarus 仍沒有停止其攻城略地的步伐。
在研究分析過程中,360 安全大腦發現,不僅僅是龍網,包括 OKEx 等知名交易所,都遭受到了 Lazarus 的侵襲。
加密世界最成功的竊賊
實際上,對於 Lazarus 來說,以百萬美元爲單位的盜竊只是小打小鬧,今年的幾次攻擊行動也只是 Lazarus 在加密世界顯現的冰山一角。
早在 2017 年底,就有報告稱 Lazarus 盯上了加密貨幣。
當時,美國網絡安全公司 Secureworks 的反威脅部門公佈了一份報告稱,Lazarus 的網絡犯罪集團正在進行一項計劃——竊取比特幣行業內部人士的在線信息。
2018 年 1 月,日本數字交易所 Coincheck 遭受了黑客攻擊,據統計,黑客盜取了價值 580 億日元(5.3 億美元)的 NEM 幣,這一數額大於 2014 年從 Mt.Gox 失竊的比特幣價值。而這一盜竊案的幕後黑手,就被質疑是 Lazarus 所爲。
2018 年 10 月,The Next Web 一份報告指出,Lazarus 已經設法竊取了超過 5 億美元的數字貨幣。
而根據當時卡巴斯基實驗室發佈安全報告,在數字貨幣的擁有者面臨的五大主要威脅中,Lazarus 黑客組織赫然在列。
今年 3 月中旬,聯合國安理會朝鮮制裁委員會專家小組在公開的報告中引用了網絡安全機構 Group-IB 的調查數據。
報告顯示:2017 年 1 月至 2018 年 9 月之間,共有 14 起加密貨幣交易所竊案發生,損失金額高達 8.82 億美元。這其中,Lazarus 製造了五起加密貨幣竊案,5 次攻擊獲利總額高達 5.71 億美元。其他 9 次攻擊未能確認攻擊者。
這也意味着,從 2017 年起,截至 2018 年 9 月,在加密貨幣交易所被盜的這一段歷史進程中,Lazarus 佔據了總分額的 58%,可謂是留下了濃墨重彩的痕跡。
不僅如此,嚐到甜頭的 Lazarus 並沒有因此而偃旗息鼓,反而更加猖獗。
近日,網絡安全和反病毒公司卡巴斯基實驗室發佈了一份新報告。報告稱,Lazarus 黑客集團採用新方法繼續進行加密攻擊。
該報告顯示,自去年 11 月以來,黑客組織 Lazarus 積極開展新業務,使用 PowerShell 管理和控制 Windows 和 macOS 惡意軟件。這也意味着,隨着時間的推移,Lazarus 的作案手段也愈發「高明」。
國家級 APT 黑客組織
說起 Lazarus 的攻擊活動,最早可以追溯到 2007 年,不過由於其身份的隱祕,再加上活動範圍並不廣泛,所以,一開始,Lazarus 並沒有引起人們的注意。
2014 年,索尼影業推出了一部名爲《刺殺金正恩》(《The Interview》)的喜劇電影,正是由於這部影片,讓隱蔽的 Lazarus 開始浮出水面。
當時,在影片上映之前,就已經引起了朝鮮方的強烈反對,與此同時,一個自稱爲「和平守衛隊」的黑客團隊在竊取了 11TB 的敏感數據之後向索尼影業發佈了一封「警告信」。
信中寫道:「我們已向索尼管理層提出了明確要求,但他們拒絕接受」、「如果想擺脫我們,就乖乖照我們說的做。立即停止播放恐怖主義影片,它將破壞地區和平,引發戰爭!」
毫無疑問,這支和平守衛隊的立場已經非常明確,爲此,不少安全機構都認爲其隸屬於朝鮮。
2016 年 2 月 4 日,孟加拉國銀行數據泄露事件爆發。當時,黑客組織從孟加拉國央行手中偷走了 8100 萬美元,而這也創造了有史以來最大的銀行搶劫案,以及當時全球範圍內已知的最大規模的金融網絡犯罪案。
而經過多家網絡安全公司介入調查發現,最終矛頭都對準了 Lazarus。而最重要的發現是,這次行動中一段用於消除攻擊證據的底層代碼和 2014 年黑客攻擊索尼影業時使用的代碼完全相同。
在這兩次行動之後,徹底揭開了 Lazarus 的神祕面紗。之後,隨着 2017 年美國國防承包商、美國能源部門、「Wannacry」勒索病毒及英國、韓國等比特幣交易所被攻擊等事件接連爆發,這也讓 Lazarus 泄露的蛛絲馬跡越來越多。
而據逃到韓國的朝鮮前官員、互聯網安全專家 Kim Heung-Kwang 證實,Lazarus 確實隸屬於朝鮮。
如此一來,真相已經水落石出。聲名在外、臭名昭著的 Lazarus (T-APT-15)組織,其實是來自朝鮮的 APT 組織,有着國家作爲背景,難怪 Lazarus 能夠如此「功勳卓越」。
現如今,隨着加密貨幣的發展,Lazarus 對加密貨幣的興趣已經越來越濃厚,黑客攻擊也越來越多。正如諸多安全機構所建議,黑客攻擊顯然無法杜絕,但只有交易所自身做好防護措施,才能讓黑客不再有機可乘。
繁體中文
简体中文
English
日本語
Español