拉撒路集團是誰?數十億美元搶劫背後的黑客
拉撒路集團是與朝鮮政府相關的黑客組織,自2009年以來活躍於網絡空間,涉嫌多起重大網絡攻擊,包括2016年孟加拉國中央銀行盜竊案和2022年Ronin Network攻擊事件,累計竊取數十億美元資金。
詐騙與黑客
關鍵要點
- Lazarus是朝鮮國家支持的黑客團隊,負責實施價值數十億美元的網絡搶劫。他們的業務為該國的導彈和核計劃提供資金。
- Lazarus利用定製惡意軟件、零日漏洞和魚叉式網絡釣魚攻擊金融機構、加密貨幣交易所和政府機構。
- 其中著名的攻擊包括2025年15億美元的Bybit黑客事件、2022年6.25億美元的Ronin Bridge攻擊以及2016年1.01億美元的孟加拉國中央銀行盜竊案。
- 該組織使用誤導、後門、反取證技術和擦除器來隱藏其蹤跡並保持對受感染網絡的長期訪問。
2025年2月21日的Bybit加密貨幣攻擊再次將臭名昭著的拉撒路集團推上了風口浪尖,他們被“歸功於”對加密貨幣企業一系列毀滅性的攻擊。據區塊鏈分析公司Elliptic稱,自2017年以來,拉撒路集團已經從加密行業竊取了大約60億美元,難怪他們被冠以“加密界超級惡棍”的稱號。
作為歷史上最活躍的網絡犯罪組織之一,拉撒路集團採用先進的黑客手法,並且常常有白領前線人員配合行動,這表明他們得到了國家級的全面支持。
這引發了人們對拉撒路集團的深刻疑問,包括他們如何執行復雜的Bybit攻擊以及其他類似的黑客行動,以及加密貨幣組織如何抵禦這一日益增長的威脅。本文將深入探討這些問題及更多內容。
Lazarus集團的起源和背景
Lazarus 是來自朝鮮民主主義人民共和國(DPRK,朝鮮)的威脅行為者,以網絡間諜和非法斂財活動而臭名昭著。
自2009年以來,該組織就活躍在網絡空間,與朝鮮政府的偵察總局(RGB)——該國主要情報機構有關聯。作為一個高級持續性威脅組織(APT),他們以在全球範圍內針對金融機構、加密貨幣交易所、SWIFT系統端點、賭場和ATM機發動複雜的跨平臺攻擊而聞名。
該組織與朝鮮情報機構的聯繫表明,他們受到國家的庇護。這意味著他們可以無視當地執法部門的干預,繼續從事非法活動。他們的行動不僅僅是為了獲取情報,還旨在為國家的導彈和核武器計劃籌集資金。
美國聯邦調查局(FBI)將拉撒路集團稱為“由朝鮮政府支持的黑客組織”。朝鮮叛逃者金國鬆透露,該單位在朝鮮內部被稱為414聯絡辦公室。
多年來,拉撒路集團顯著提升了其戰術的複雜性、效率以及活動規模。
你知道嗎?
微軟威脅情報部門曾識別出一個名為“Sapphire Sleet”(藍寶石冰雹)的黑客團隊,作為與朝鮮有關的威脅組織,深度參與了加密貨幣盜竊和企業滲透。‘Sleet’(冰雹)一詞象徵著該組織的朝鮮背景。
Lazarus 集團如何運作?
由於國家的贊助,Lazarus 擁有執行復雜網絡攻擊所需的資源和專業知識。他們執行多層次的行動,包括開發和部署定製惡意軟件,以及利用零日漏洞。“零日漏洞”指的是軟件或硬件中開發者尚未知曉的安全漏洞,這意味著沒有任何補丁或防禦措施可用。
拉撒路集團的標誌性特點之一,是創建專門定製的惡意軟件,例如MagicRAT和QuiteRAT,專門用來滲透和控制目標系統。他們還擅長利用之前未知的安全漏洞,在修補措施發佈前率先攻破系統。
社會工程學也是他們策略中的關鍵組成部分。這涉及到黑客利用人類情感,誘騙用戶執行特定操作,比如洩露關鍵數據。拉撒路集團經常發起魚叉式網絡釣魚攻擊,發送偽造郵件給毫無戒備的目標,冒充合法網絡誘導目標洩露機密信息。
他們的適應性和不斷進化的技術,使得拉撒路集團成為全球網絡安全領域中一個持續存在且極具威脅的對手。
Lazarus集團的頂級搶劫案
多年來,發生了一系列涉及 Lazarus 組織的網絡攻擊。以下是該團伙實施的一些重大搶劫案:
拉撒路集團的重大盜竊案
1.Bybit(2025年2月)
Bybit,一家總部位於迪拜的加密貨幣交易所, 遭遇大規模安全漏洞2025 年 2 月,損失了 15 億美元的數字資產,成為迄今為止最嚴重的加密貨幣盜竊案。
此次攻擊針對的是 Bybit 高管用來執行欺詐交易的 SafeWallet 接口。被盜資金主要是以太幣,很快就分散到多個錢包中, 通過不同平臺進行清算。 Bybit首席執行官周本向用戶保證,其他冷錢包仍然安全,提款也正常進行。
包括 Elliptic 和 Arkham Intelligence 在內的區塊鏈分析公司追蹤了被盜資產,後來將這次攻擊歸咎於朝鮮國家支持的 Lazarus Group。此次違規事件引發了Bybit的一波提款潮,促使該交易所獲得過橋貸款以彌補損失。
2.WazirX(2024 年 7 月)
2024年7月,印度最大的加密貨幣交易所WazirX遭遇重大安全漏洞,損失約2.349億美元數字資產。此次攻擊被歸咎於朝鮮的Lazarus,涉及複雜的網絡釣魚技術和API漏洞利用。
黑客操縱了WazirX的多重簽名錢包系統,獲得了對冷熱錢包的未經授權訪問。這次入侵導致交易活動暫停,還引發了法律糾紛,包括競爭對手CoinSwitch提起的一場試圖追回965萬美元資金的訴訟。
2025年1月,新加坡高等法院批准了WazirX的重組計劃,允許公司與債權人磋商資產回收策略。
3.Stake.com(2023 年 9 月)
2023年9月,Lazarus入侵了加密貨幣博彩平臺Stake.com,通過竊取和利用私鑰,成功盜走了4100萬美元,涉及多個區塊鏈網絡。
美國FBI確認該盜竊案由Lazarus執行,他們追蹤到了被盜資金流向,以太坊、BNB智能鏈和Polygon網絡上都有蹤跡。
4.CoinEx(2023年9月)
2023年9月,全球加密貨幣交易所CoinEx報告稱發生了未經授權的交易,損失估計為5400萬美元。
區塊鏈分析師ZachXBT的調查顯示,此次攻擊與Stake.com攻擊有相似的錢包模式和鏈上行為,表明這是Lazarus策劃的協同攻擊行動。
5.CoinsPaid 和 Alphapo(2023 年 7 月)
2023年7月22日,CoinsPaid遭遇精心策劃的網絡攻擊,損失3730萬美元。黑客在幾個月前就開始實施賄賂和假招聘活動,瞄準公司關鍵人員。
在攻擊期間,網絡活動異常激增,涉及超過15萬個不同的IP地址。儘管遭受重大財務損失,CoinsPaid的內部團隊迅速加固系統,確保客戶資金未受影響並可正常使用。
同一天,Alphapo,一個為多個在線平臺提供服務的中心化加密支付提供商,也在7月23日遭遇安全漏洞。最初報告估計損失約2300萬美元,但後續調查揭示,實際被盜金額超過6000萬美元。區塊鏈分析人員將此次攻擊歸咎於Lazarus,指出被盜資金流經多個地址和區塊鏈網絡。
6.Harmony Horizon Bridge(2022年6月)
2022年6月,Lazarus利用Harmony Horizon Bridge的漏洞實施攻擊。通過社交工程手段攻破多籤錢包系統,盜取了大約1億美元,這突顯了跨鏈橋的安全風險(用於在以太坊、比特幣和BNB智能鏈等網絡之間轉移資產)。
攻擊者利用安全薄弱點,掌控了用於授權交易的多籤錢包。此漏洞讓他們能夠轉走價值1億美元的各種加密貨幣。被盜資產通過Tornado Cash混幣器清洗,進一步增加追蹤難度。Elliptic是最早將此次攻擊歸因於Lazarus的公司之一,該評估後來在2023年1月得到了FBI的確認。
7.Ronin Bridge(2022年3月)
2022年3月,支持Axie Infinity遊戲的Ronin Bridge遭到重大攻擊,拉撒路集團盜走了大約6.25億美元的加密貨幣。
Ronin網絡設有九個驗證節點,至少需要五個簽名才能授權交易。攻擊者成功獲取了五個私鑰,得以批准未經授權的提款。
黑客利用一份帶有惡意軟件的偽造工作邀請PDF,誘騙Sky Mavis公司員工打開,進而入侵公司內部系統。這讓攻擊者在網絡內橫向移動,最終控制了由Sky Mavis管理的四個驗證節點以及由Axie DAO(去中心化自治組織)管理的額外一個節點。
Lazarus結合社會工程與技術實力,成功實施了Ronin Bridge攻擊。
8.Atomic Wallet(2022)
在2022年期間,去中心化加密貨幣存儲應用Atomic Wallet的用戶接連成為Lazarus攻擊的受害者。
黑客部署了定製惡意軟件,入侵個人錢包,造成損失估計在3500萬至1億美元之間。Elliptic通過追蹤被盜資金流向,確認此次攻擊與Lazarus以往的行動模式高度一致。
9.Bithumb交易所(2017年7月)
2017年7月,Lazarus對韓國最大的加密貨幣交易所之一Bithumb發動了魚叉式網絡釣魚攻擊。
他們成功滲透了Bithumb的內部系統,竊取了大約700萬美元的加密貨幣。這次事件成為該組織早期在加密行業中的一次引人注目的入侵案例。
10.Youbit交易所(2017年4月和12月)
2017年,Lazarus兩次重創了韓國的Youbit交易所。第一次攻擊發生在4月,黑客使用惡意軟件和網絡釣魚手段攻破交易所,導致鉅額資產損失。
第二次攻擊發生在12月,造成Youbit交易所17%的總資產被盜。這兩次連續打擊讓交易所最終被迫宣佈破產,凸顯了Lazarus的網絡攻擊給數字資產平臺帶來的毀滅性影響。
其他重大搶劫案
1. WannaCry(2017 年 5 月)
WannaCry勒索軟件攻擊是一次波及全球的大規模網絡安全事件。2017年5月12日,WannaCry勒索蠕蟲感染了150多個國家超過20萬臺計算機。主要受害者包括FedEx、本田、日產,以及英國國家醫療服務系統(NHS),NHS因系統癱瘓不得不改道救護車。
一位安全研究人員發現了“關閉開關”,暫時阻止了攻擊。但許多系統仍然被鎖定,受害者要麼支付贖金,要麼設法恢復數據。WannaCry利用了名為“EternalBlue”的漏洞,這個漏洞最初由美國國家安全局(NSA)開發。
該漏洞後來被黑客組織Shadow Brokers竊取並洩露。WannaCry主要針對舊版、未打補丁的Microsoft Windows系統,導致其迅速傳播並造成大規模破壞。這次攻擊突顯了定期軟件更新和網絡安全意識的重要性。
2.孟加拉國銀行(2016年2月)
2016年2月,孟加拉國中央銀行遭遇重大網絡盜竊,黑客試圖從其在紐約聯邦儲備銀行的賬戶中竊取近10億美元。後來確認,Lazarus集團是幕後黑手。
黑客在2015年1月通過帶有惡意附件的電子郵件滲透銀行系統,觀察銀行操作,最終通過SWIFT網絡發起了35筆欺詐性轉賬請求。
雖然大多數轉賬被攔截,但仍有五筆成功,導致總計1.01億美元被盜,其中8100萬美元流入菲律賓賬戶。一筆轉賬中的拼寫錯誤引發了懷疑,阻止了完整的劫掠計劃。
雖然大多數交易被封鎖,但仍有 5 筆交易成功,總金額達 1.01 億美元,其中 8100 萬美元到達菲律賓賬戶。一份轉賬請求中的一個印刷錯誤引起了懷疑,阻止了全面的搶劫。
3.索尼影業(2014年11月)
2014年11月,索尼影業娛樂公司遭到“和平守護者”(Guardians of Peace)發動的重大網絡攻擊,該組織與Lazarus集團有關聯。
黑客入侵了索尼的網絡,竊取了大量機密數據,包括未上映的電影、敏感員工信息和內部通信記錄。
該組織還部署了惡意軟件,導致約70%的索尼電腦癱瘓。此次入侵造成的財務損失相當慘重,索尼報告的損失約為1500萬美元,但其他估算表明恢復成本可能超過8500萬美元。
此次攻擊的動機是報復索尼計劃上映的電影《刺殺金正恩》(The Interview),這部喜劇片描繪了刺殺朝鮮領導人金正恩的情節。
儘管朝鮮否認參與,美國政府仍正式將此次攻擊歸咎於Lazarus集團,突顯了該組織執行復雜網絡行動的能力以及由此帶來的重大地緣政治影響。
你可知道? 2024 年 8 月,ZachXBT 透露,21 名朝鮮開發商已滲透到加密初創公司,每月收入 50 萬美元。
FBI 確定了重大網絡攻擊背後的主要 Lazarus Group 黑客
FBI已公開確認三名涉嫌Lazarus集團成員的北朝鮮黑客身份。
2018年9月,FBI指控北朝鮮國民Park Jin Hyok,他與Lazarus集團有關聯,被指控參與多次重大網絡攻擊。Park據稱曾在朝鮮的前線公司Chosun Expo Joint Venture工作,該公司是Lazarus集團的掩護實體。他與2014年的索尼影業攻擊和2016年孟加拉國中央銀行盜竊案(盜取8100萬美元)有直接關聯。
FBI還指控Park參與了2017年WannaCry 2.0勒索軟件攻擊,該攻擊嚴重干擾了包括英國NHS在內的醫院運作。調查人員通過相似的惡意代碼、被盜憑證存儲方式以及掩蓋朝鮮與中國IP地址的代理服務追蹤到了他的身份。
2021年2月,美國司法部還起訴了Jon Chang Hyok和Kim Il,指控他們參與全球網絡犯罪活動。Jon負責開發和傳播惡意加密貨幣應用程序,用於滲透金融機構;Kim則負責協調惡意軟件傳播、加密貨幣盜竊以及虛假的Marine Chain首次代幣發行(ICO)詐騙項目。
這些指控揭示了Lazarus集團內部的運作模式,以及他們如何利用技術與社會工程手段實現大規模網絡犯罪。
Lazarus Group 使用的常見策略
Lazarus 集團採用多種複雜的策略來實施網絡攻擊,包括破壞、誤導、反取證和保護技術:
破壞
Lazarus集團利用分佈式拒絕服務攻擊(DDoS)和帶有時間觸發器的數據擦除惡意軟件進行破壞。例如,Trojan KILLMBR在設定日期刪除目標系統的數據,而QDDOS惡意軟件在感染後擦除文件。另一個工具DESTOVER既能充當後門,也能擦除數據,這些策略旨在癱瘓系統,使其無法恢復。
誤導
Lazarus集團經常偽裝成虛假組織,如“GOP”(和平守護者)、“WhoAmI”和“New Romanic Army”,讓這些假組織宣稱對攻擊負責,掩蓋真實身份。他們還會篡改惡意代碼,嵌入假旗幟,例如在KLIPOD後門中使用羅馬化的俄文單詞,試圖誤導調查人員。
後門
Lazarus依靠後門維持對被攻陷系統的持久訪問,比如在釣魚攻擊中使用Manuscrypt(NukeSped)後門,以及針對防禦目標部署的BLINDINGCAN和COPPERHEDGE植入程序。
反取證技術
Lazarus集團採用多種反取證手段來掩蓋痕跡,包括:
- 組件分離:在Blunoroff子組織的行動中,將惡意軟件拆解成多個部分,阻礙分析。
- 命令行工具:許多攻擊依賴命令行後門和安裝程序,要求特定參數才能運行。例如,Nestegg框架的安裝程序需要密碼作為參數。
- 數據擦除:Lazarus使用擦除工具清除攻擊痕跡,如DESTOVER在Blunoroff行動中曾被發現。
- 日誌刪除:Lazarus刪除預取數據、事件日誌和主文件表(MFT)記錄,以清除取證證據。
通過結合這些技術,Lazarus 可以有效地擾亂目標、誤導歸因工作並隱藏其活動。
如何防禦Lazarus集團的攻擊
防禦Lazarus集團帶來的威脅需要全面的安全策略。組織必須實施多層防護措施,保護其數字資產免受複雜的網絡攻擊。
關鍵防禦措施包括:
- DDoS防護:組織應部署強大的緩解策略,防止服務中斷和潛在的數據洩露。主動識別和中和此類攻擊至關重要。
- 威脅情報:利用威脅情報可以幫助檢測和應對網絡威脅,包括勒索軟件和DDoS攻擊。保持對Lazarus集團戰術不斷變化的瞭解至關重要。
- 資產保護:金融機構、加密貨幣交易所等高價值目標必須保護關鍵數字資產,特別是SWIFT系統端點、ATM機和銀行基礎設施。
- 持續威脅監控:持續監控網絡基礎設施,及時發現並緩解潛在入侵。安全團隊必須確保所有系統都定期更新最新補丁,以減少漏洞。
- 多層次安全解決方案:採用包括行為分析、機器學習和漏洞防護在內的先進安全解決方案,提高對目標攻擊的防禦能力。帶有沙箱集成和勒索軟件防護功能的工具增加了額外防護層。
- 實時防護:面對複雜攻擊時,需要具備實時防護能力。應使用跨代技術在網絡中的任何地方檢測目標攻擊,及時採取適當防禦措施。
與Lazarus集團這樣的高級威脅行為者的鬥爭不是一次性的防禦,而是一場需要持續預防、檢測和快速響應的長期戰鬥。
最終,抵禦Lazarus集團需要警惕、先進的安全工具以及企業對持續改進的承諾。只有通過這些集體努力,企業和機構才能保護資產、維護信任,並始終領先於網絡犯罪分子。
聲明:
- 本文轉載自 [CoinTelegraph]。所有版權歸原作者所有 [Dilip Kumar Patairya]。若對本次轉載有異議,請聯繫 Gate Learn 團隊,他們會及時處理。
- 免責聲明:本文所表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
- Gate Learn 團隊將文章翻譯成其他語言。除非另有說明,否則禁止複製、分發或抄襲翻譯文章。
Artigos relacionados
什麼是穩定幣 USDT?
拉撒路集團是誰?數十億美元搶劫背後的黑客
Lazarus集團的起源和背景
你知道嗎?
Lazarus 集團如何運作?
Lazarus集團的頂級搶劫案
FBI 確定了重大網絡攻擊背後的主要 Lazarus Group 黑客
Lazarus Group 使用的常見策略
如何防禦Lazarus集團的攻擊
詐騙與黑客
關鍵要點
- Lazarus是朝鮮國家支持的黑客團隊,負責實施價值數十億美元的網絡搶劫。他們的業務為該國的導彈和核計劃提供資金。
- Lazarus利用定製惡意軟件、零日漏洞和魚叉式網絡釣魚攻擊金融機構、加密貨幣交易所和政府機構。
- 其中著名的攻擊包括2025年15億美元的Bybit黑客事件、2022年6.25億美元的Ronin Bridge攻擊以及2016年1.01億美元的孟加拉國中央銀行盜竊案。
- 該組織使用誤導、後門、反取證技術和擦除器來隱藏其蹤跡並保持對受感染網絡的長期訪問。
2025年2月21日的Bybit加密貨幣攻擊再次將臭名昭著的拉撒路集團推上了風口浪尖,他們被“歸功於”對加密貨幣企業一系列毀滅性的攻擊。據區塊鏈分析公司Elliptic稱,自2017年以來,拉撒路集團已經從加密行業竊取了大約60億美元,難怪他們被冠以“加密界超級惡棍”的稱號。
作為歷史上最活躍的網絡犯罪組織之一,拉撒路集團採用先進的黑客手法,並且常常有白領前線人員配合行動,這表明他們得到了國家級的全面支持。
這引發了人們對拉撒路集團的深刻疑問,包括他們如何執行復雜的Bybit攻擊以及其他類似的黑客行動,以及加密貨幣組織如何抵禦這一日益增長的威脅。本文將深入探討這些問題及更多內容。
Lazarus集團的起源和背景
Lazarus 是來自朝鮮民主主義人民共和國(DPRK,朝鮮)的威脅行為者,以網絡間諜和非法斂財活動而臭名昭著。
自2009年以來,該組織就活躍在網絡空間,與朝鮮政府的偵察總局(RGB)——該國主要情報機構有關聯。作為一個高級持續性威脅組織(APT),他們以在全球範圍內針對金融機構、加密貨幣交易所、SWIFT系統端點、賭場和ATM機發動複雜的跨平臺攻擊而聞名。
該組織與朝鮮情報機構的聯繫表明,他們受到國家的庇護。這意味著他們可以無視當地執法部門的干預,繼續從事非法活動。他們的行動不僅僅是為了獲取情報,還旨在為國家的導彈和核武器計劃籌集資金。
美國聯邦調查局(FBI)將拉撒路集團稱為“由朝鮮政府支持的黑客組織”。朝鮮叛逃者金國鬆透露,該單位在朝鮮內部被稱為414聯絡辦公室。
多年來,拉撒路集團顯著提升了其戰術的複雜性、效率以及活動規模。
你知道嗎?
微軟威脅情報部門曾識別出一個名為“Sapphire Sleet”(藍寶石冰雹)的黑客團隊,作為與朝鮮有關的威脅組織,深度參與了加密貨幣盜竊和企業滲透。‘Sleet’(冰雹)一詞象徵著該組織的朝鮮背景。
Lazarus 集團如何運作?
由於國家的贊助,Lazarus 擁有執行復雜網絡攻擊所需的資源和專業知識。他們執行多層次的行動,包括開發和部署定製惡意軟件,以及利用零日漏洞。“零日漏洞”指的是軟件或硬件中開發者尚未知曉的安全漏洞,這意味著沒有任何補丁或防禦措施可用。
拉撒路集團的標誌性特點之一,是創建專門定製的惡意軟件,例如MagicRAT和QuiteRAT,專門用來滲透和控制目標系統。他們還擅長利用之前未知的安全漏洞,在修補措施發佈前率先攻破系統。
社會工程學也是他們策略中的關鍵組成部分。這涉及到黑客利用人類情感,誘騙用戶執行特定操作,比如洩露關鍵數據。拉撒路集團經常發起魚叉式網絡釣魚攻擊,發送偽造郵件給毫無戒備的目標,冒充合法網絡誘導目標洩露機密信息。
他們的適應性和不斷進化的技術,使得拉撒路集團成為全球網絡安全領域中一個持續存在且極具威脅的對手。
Lazarus集團的頂級搶劫案
多年來,發生了一系列涉及 Lazarus 組織的網絡攻擊。以下是該團伙實施的一些重大搶劫案:
拉撒路集團的重大盜竊案
1.Bybit(2025年2月)
Bybit,一家總部位於迪拜的加密貨幣交易所, 遭遇大規模安全漏洞2025 年 2 月,損失了 15 億美元的數字資產,成為迄今為止最嚴重的加密貨幣盜竊案。
此次攻擊針對的是 Bybit 高管用來執行欺詐交易的 SafeWallet 接口。被盜資金主要是以太幣,很快就分散到多個錢包中, 通過不同平臺進行清算。 Bybit首席執行官周本向用戶保證,其他冷錢包仍然安全,提款也正常進行。
包括 Elliptic 和 Arkham Intelligence 在內的區塊鏈分析公司追蹤了被盜資產,後來將這次攻擊歸咎於朝鮮國家支持的 Lazarus Group。此次違規事件引發了Bybit的一波提款潮,促使該交易所獲得過橋貸款以彌補損失。
2.WazirX(2024 年 7 月)
2024年7月,印度最大的加密貨幣交易所WazirX遭遇重大安全漏洞,損失約2.349億美元數字資產。此次攻擊被歸咎於朝鮮的Lazarus,涉及複雜的網絡釣魚技術和API漏洞利用。
黑客操縱了WazirX的多重簽名錢包系統,獲得了對冷熱錢包的未經授權訪問。這次入侵導致交易活動暫停,還引發了法律糾紛,包括競爭對手CoinSwitch提起的一場試圖追回965萬美元資金的訴訟。
2025年1月,新加坡高等法院批准了WazirX的重組計劃,允許公司與債權人磋商資產回收策略。
3.Stake.com(2023 年 9 月)
2023年9月,Lazarus入侵了加密貨幣博彩平臺Stake.com,通過竊取和利用私鑰,成功盜走了4100萬美元,涉及多個區塊鏈網絡。
美國FBI確認該盜竊案由Lazarus執行,他們追蹤到了被盜資金流向,以太坊、BNB智能鏈和Polygon網絡上都有蹤跡。
4.CoinEx(2023年9月)
2023年9月,全球加密貨幣交易所CoinEx報告稱發生了未經授權的交易,損失估計為5400萬美元。
區塊鏈分析師ZachXBT的調查顯示,此次攻擊與Stake.com攻擊有相似的錢包模式和鏈上行為,表明這是Lazarus策劃的協同攻擊行動。
5.CoinsPaid 和 Alphapo(2023 年 7 月)
2023年7月22日,CoinsPaid遭遇精心策劃的網絡攻擊,損失3730萬美元。黑客在幾個月前就開始實施賄賂和假招聘活動,瞄準公司關鍵人員。
在攻擊期間,網絡活動異常激增,涉及超過15萬個不同的IP地址。儘管遭受重大財務損失,CoinsPaid的內部團隊迅速加固系統,確保客戶資金未受影響並可正常使用。
同一天,Alphapo,一個為多個在線平臺提供服務的中心化加密支付提供商,也在7月23日遭遇安全漏洞。最初報告估計損失約2300萬美元,但後續調查揭示,實際被盜金額超過6000萬美元。區塊鏈分析人員將此次攻擊歸咎於Lazarus,指出被盜資金流經多個地址和區塊鏈網絡。
6.Harmony Horizon Bridge(2022年6月)
2022年6月,Lazarus利用Harmony Horizon Bridge的漏洞實施攻擊。通過社交工程手段攻破多籤錢包系統,盜取了大約1億美元,這突顯了跨鏈橋的安全風險(用於在以太坊、比特幣和BNB智能鏈等網絡之間轉移資產)。
攻擊者利用安全薄弱點,掌控了用於授權交易的多籤錢包。此漏洞讓他們能夠轉走價值1億美元的各種加密貨幣。被盜資產通過Tornado Cash混幣器清洗,進一步增加追蹤難度。Elliptic是最早將此次攻擊歸因於Lazarus的公司之一,該評估後來在2023年1月得到了FBI的確認。
7.Ronin Bridge(2022年3月)
2022年3月,支持Axie Infinity遊戲的Ronin Bridge遭到重大攻擊,拉撒路集團盜走了大約6.25億美元的加密貨幣。
Ronin網絡設有九個驗證節點,至少需要五個簽名才能授權交易。攻擊者成功獲取了五個私鑰,得以批准未經授權的提款。
黑客利用一份帶有惡意軟件的偽造工作邀請PDF,誘騙Sky Mavis公司員工打開,進而入侵公司內部系統。這讓攻擊者在網絡內橫向移動,最終控制了由Sky Mavis管理的四個驗證節點以及由Axie DAO(去中心化自治組織)管理的額外一個節點。
Lazarus結合社會工程與技術實力,成功實施了Ronin Bridge攻擊。
8.Atomic Wallet(2022)
在2022年期間,去中心化加密貨幣存儲應用Atomic Wallet的用戶接連成為Lazarus攻擊的受害者。
黑客部署了定製惡意軟件,入侵個人錢包,造成損失估計在3500萬至1億美元之間。Elliptic通過追蹤被盜資金流向,確認此次攻擊與Lazarus以往的行動模式高度一致。
9.Bithumb交易所(2017年7月)
2017年7月,Lazarus對韓國最大的加密貨幣交易所之一Bithumb發動了魚叉式網絡釣魚攻擊。
他們成功滲透了Bithumb的內部系統,竊取了大約700萬美元的加密貨幣。這次事件成為該組織早期在加密行業中的一次引人注目的入侵案例。
10.Youbit交易所(2017年4月和12月)
2017年,Lazarus兩次重創了韓國的Youbit交易所。第一次攻擊發生在4月,黑客使用惡意軟件和網絡釣魚手段攻破交易所,導致鉅額資產損失。
第二次攻擊發生在12月,造成Youbit交易所17%的總資產被盜。這兩次連續打擊讓交易所最終被迫宣佈破產,凸顯了Lazarus的網絡攻擊給數字資產平臺帶來的毀滅性影響。
其他重大搶劫案
1. WannaCry(2017 年 5 月)
WannaCry勒索軟件攻擊是一次波及全球的大規模網絡安全事件。2017年5月12日,WannaCry勒索蠕蟲感染了150多個國家超過20萬臺計算機。主要受害者包括FedEx、本田、日產,以及英國國家醫療服務系統(NHS),NHS因系統癱瘓不得不改道救護車。
一位安全研究人員發現了“關閉開關”,暫時阻止了攻擊。但許多系統仍然被鎖定,受害者要麼支付贖金,要麼設法恢復數據。WannaCry利用了名為“EternalBlue”的漏洞,這個漏洞最初由美國國家安全局(NSA)開發。
該漏洞後來被黑客組織Shadow Brokers竊取並洩露。WannaCry主要針對舊版、未打補丁的Microsoft Windows系統,導致其迅速傳播並造成大規模破壞。這次攻擊突顯了定期軟件更新和網絡安全意識的重要性。
2.孟加拉國銀行(2016年2月)
2016年2月,孟加拉國中央銀行遭遇重大網絡盜竊,黑客試圖從其在紐約聯邦儲備銀行的賬戶中竊取近10億美元。後來確認,Lazarus集團是幕後黑手。
黑客在2015年1月通過帶有惡意附件的電子郵件滲透銀行系統,觀察銀行操作,最終通過SWIFT網絡發起了35筆欺詐性轉賬請求。
雖然大多數轉賬被攔截,但仍有五筆成功,導致總計1.01億美元被盜,其中8100萬美元流入菲律賓賬戶。一筆轉賬中的拼寫錯誤引發了懷疑,阻止了完整的劫掠計劃。
雖然大多數交易被封鎖,但仍有 5 筆交易成功,總金額達 1.01 億美元,其中 8100 萬美元到達菲律賓賬戶。一份轉賬請求中的一個印刷錯誤引起了懷疑,阻止了全面的搶劫。
3.索尼影業(2014年11月)
2014年11月,索尼影業娛樂公司遭到“和平守護者”(Guardians of Peace)發動的重大網絡攻擊,該組織與Lazarus集團有關聯。
黑客入侵了索尼的網絡,竊取了大量機密數據,包括未上映的電影、敏感員工信息和內部通信記錄。
該組織還部署了惡意軟件,導致約70%的索尼電腦癱瘓。此次入侵造成的財務損失相當慘重,索尼報告的損失約為1500萬美元,但其他估算表明恢復成本可能超過8500萬美元。
此次攻擊的動機是報復索尼計劃上映的電影《刺殺金正恩》(The Interview),這部喜劇片描繪了刺殺朝鮮領導人金正恩的情節。
儘管朝鮮否認參與,美國政府仍正式將此次攻擊歸咎於Lazarus集團,突顯了該組織執行復雜網絡行動的能力以及由此帶來的重大地緣政治影響。
你可知道? 2024 年 8 月,ZachXBT 透露,21 名朝鮮開發商已滲透到加密初創公司,每月收入 50 萬美元。
FBI 確定了重大網絡攻擊背後的主要 Lazarus Group 黑客
FBI已公開確認三名涉嫌Lazarus集團成員的北朝鮮黑客身份。
2018年9月,FBI指控北朝鮮國民Park Jin Hyok,他與Lazarus集團有關聯,被指控參與多次重大網絡攻擊。Park據稱曾在朝鮮的前線公司Chosun Expo Joint Venture工作,該公司是Lazarus集團的掩護實體。他與2014年的索尼影業攻擊和2016年孟加拉國中央銀行盜竊案(盜取8100萬美元)有直接關聯。
FBI還指控Park參與了2017年WannaCry 2.0勒索軟件攻擊,該攻擊嚴重干擾了包括英國NHS在內的醫院運作。調查人員通過相似的惡意代碼、被盜憑證存儲方式以及掩蓋朝鮮與中國IP地址的代理服務追蹤到了他的身份。
2021年2月,美國司法部還起訴了Jon Chang Hyok和Kim Il,指控他們參與全球網絡犯罪活動。Jon負責開發和傳播惡意加密貨幣應用程序,用於滲透金融機構;Kim則負責協調惡意軟件傳播、加密貨幣盜竊以及虛假的Marine Chain首次代幣發行(ICO)詐騙項目。
這些指控揭示了Lazarus集團內部的運作模式,以及他們如何利用技術與社會工程手段實現大規模網絡犯罪。
Lazarus Group 使用的常見策略
Lazarus 集團採用多種複雜的策略來實施網絡攻擊,包括破壞、誤導、反取證和保護技術:
破壞
Lazarus集團利用分佈式拒絕服務攻擊(DDoS)和帶有時間觸發器的數據擦除惡意軟件進行破壞。例如,Trojan KILLMBR在設定日期刪除目標系統的數據,而QDDOS惡意軟件在感染後擦除文件。另一個工具DESTOVER既能充當後門,也能擦除數據,這些策略旨在癱瘓系統,使其無法恢復。
誤導
Lazarus集團經常偽裝成虛假組織,如“GOP”(和平守護者)、“WhoAmI”和“New Romanic Army”,讓這些假組織宣稱對攻擊負責,掩蓋真實身份。他們還會篡改惡意代碼,嵌入假旗幟,例如在KLIPOD後門中使用羅馬化的俄文單詞,試圖誤導調查人員。
後門
Lazarus依靠後門維持對被攻陷系統的持久訪問,比如在釣魚攻擊中使用Manuscrypt(NukeSped)後門,以及針對防禦目標部署的BLINDINGCAN和COPPERHEDGE植入程序。
反取證技術
Lazarus集團採用多種反取證手段來掩蓋痕跡,包括:
- 組件分離:在Blunoroff子組織的行動中,將惡意軟件拆解成多個部分,阻礙分析。
- 命令行工具:許多攻擊依賴命令行後門和安裝程序,要求特定參數才能運行。例如,Nestegg框架的安裝程序需要密碼作為參數。
- 數據擦除:Lazarus使用擦除工具清除攻擊痕跡,如DESTOVER在Blunoroff行動中曾被發現。
- 日誌刪除:Lazarus刪除預取數據、事件日誌和主文件表(MFT)記錄,以清除取證證據。
通過結合這些技術,Lazarus 可以有效地擾亂目標、誤導歸因工作並隱藏其活動。
如何防禦Lazarus集團的攻擊
防禦Lazarus集團帶來的威脅需要全面的安全策略。組織必須實施多層防護措施,保護其數字資產免受複雜的網絡攻擊。
關鍵防禦措施包括:
- DDoS防護:組織應部署強大的緩解策略,防止服務中斷和潛在的數據洩露。主動識別和中和此類攻擊至關重要。
- 威脅情報:利用威脅情報可以幫助檢測和應對網絡威脅,包括勒索軟件和DDoS攻擊。保持對Lazarus集團戰術不斷變化的瞭解至關重要。
- 資產保護:金融機構、加密貨幣交易所等高價值目標必須保護關鍵數字資產,特別是SWIFT系統端點、ATM機和銀行基礎設施。
- 持續威脅監控:持續監控網絡基礎設施,及時發現並緩解潛在入侵。安全團隊必須確保所有系統都定期更新最新補丁,以減少漏洞。
- 多層次安全解決方案:採用包括行為分析、機器學習和漏洞防護在內的先進安全解決方案,提高對目標攻擊的防禦能力。帶有沙箱集成和勒索軟件防護功能的工具增加了額外防護層。
- 實時防護:面對複雜攻擊時,需要具備實時防護能力。應使用跨代技術在網絡中的任何地方檢測目標攻擊,及時採取適當防禦措施。
與Lazarus集團這樣的高級威脅行為者的鬥爭不是一次性的防禦,而是一場需要持續預防、檢測和快速響應的長期戰鬥。
最終,抵禦Lazarus集團需要警惕、先進的安全工具以及企業對持續改進的承諾。只有通過這些集體努力,企業和機構才能保護資產、維護信任,並始終領先於網絡犯罪分子。
聲明:
- 本文轉載自 [CoinTelegraph]。所有版權歸原作者所有 [Dilip Kumar Patairya]。若對本次轉載有異議,請聯繫 Gate Learn 團隊,他們會及時處理。
- 免責聲明:本文所表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
- Gate Learn 團隊將文章翻譯成其他語言。除非另有說明,否則禁止複製、分發或抄襲翻譯文章。
Artigos relacionados