Paradigm:揭开朝鲜黑客组织 Lazarus Group 威胁之谜
撰文:samczsun,Paradigm 研究合伙人
编译:Bright,Foresight News
二月的一个早晨,SEAL 911 群组的灯亮了,我们困惑地看着 Bybit 从他们的冷钱包中取出超过 10 亿美元的代币到一个全新的地址,然后迅速开始清算超过 2 亿美元的 LST。几分钟内,我们从 Bybit 团队和独立分析(多重签名,之前使用公开验证的 Safe Wallet 实现,现在使用新部署的未经验证的合约)确认,这实际上不是例行维护。有人发动了加密货币历史上最大的黑客攻击,而我们是坐在历史戏幕的最前排。
虽然团队的一部分成员(以及更广泛的侦查社区)开始追踪资金并向合作交易所发送通知,但团队的其他成员正在试图弄清楚到底发生了什么,以及是否有其他资金处于危险之中。幸运的是,识别肇事者很容易。在过去几年中,只有一个已知的威胁者成功从加密货币交易所窃取了数十亿美元:朝鲜,也称为 DPRK。
然而,除此之外,我们几乎没有什么可用的线索。由于朝鲜黑客的狡猾性格和他们自我隐匿的高超手段,不仅很难确定入侵的根本原因,而且甚至很难知道究竟是朝鲜内部的哪个特定团队应对此负责。我们唯一能依靠的就是现有的情报,这些情报表明朝鲜确实喜欢通过社会工程学来入侵加密货币交易所。因此,我们猜测朝鲜很可能入侵了 Bybit 的多重签名者,然后部署了一些恶意软件来干扰签名过程。
事实证明,这个猜测完全是无稽之谈。几天后我们就发现,朝鲜实际上已经破坏了 Safe Wallet 本身的基础设施,并部署了专门针对 Bybit 的恶意过载。这种复杂程度是任何人都未曾考虑或准备过的,这对市面上的许多安全模型来说是一个重大挑战。
朝鲜黑客对我们的行业构成了日益严重的威胁,我们无法击败一个我们不了解或不理解的敌人。关于朝鲜网络行动的各个方面,有大量记录在案的事件和文章,但很难将它们拼凑在一起。我希望这篇概述能让人们更全面地了解朝鲜的运作方式以及他们的策略和程序,从而让我们更容易实施正确的缓解措施。
组织结构
也许需要解决的最大误解就是如何对朝鲜的大量网络活动进行分类和命名。虽然口语中使用「Lazarus Group」一词来概括是可以接受的,但在详细讨论朝鲜的系统性网络威胁时,使用更严谨的说法会有所帮助。
首先,了解朝鲜的「组织结构图」会有所帮助。朝鲜最高层是朝鲜的执政党(也是唯一的执政党)——朝鲜劳动党 (WPK),朝鲜所有政府机构都受其领导。其中包括朝鲜人民军 (KPA) 和中央委员会。人民军内有总参谋部 (GSD),侦察总局 (RGB) 就设于此。中央委员会下属有军需工业部 (MID)。
RGB 负责几乎所有朝鲜网络战,包括加密货币行业观察到的几乎所有朝鲜活动。除了臭名昭著的 Lazarus Group,RGB 中出现的其他威胁行为者包括 AppleJeus、APT38、DangerousPassword 和 TraderTraitor。另一方面,MID 负责朝鲜的核导弹计划,是朝鲜 IT 工作者的主要来源,情报界将其称为 Contagious Interview 和 Wagemole。
拉撒路集团 (Lazarus Group)
拉撒路集团 (Lazarus Group) 是一个高度复杂的黑客组织,网络安全专家认为,历史上一些规模最大、破坏性最强的黑客攻击都是该组织所为。2016 年,Novetta 在分析索尼影视娱乐 (Sony) 黑客攻击事件时首次发现了 Lazarus Group。
2014 年,索尼正在制作动作喜剧片《刺杀金正恩》,其主要情节点是金正恩遭受羞辱以及随后的刺杀。可以理解,这并没有受到朝鲜政权的欢迎,朝鲜政权通过入侵索尼网络、窃取数 TB 的数据、泄露数百 GB 的机密或其他敏感信息并删除原件进行了报复。正如当时的首席执行官迈克尔·林顿所说,「干这种事的人不仅偷走了房子里的所有东西,他们还把房子烧毁了」。最终,索尼在这次攻击中的调查和补救费用至少为 1500 万美元,损失可能更多。
随后在 2016 年,一个与 Lazarus Group 极为相似的黑客入侵了孟加拉国银行,意图窃取近 10 亿美元。在一年的时间里,黑客努力对孟加拉国银行的员工进行社会工程学攻击,最终获得远程访问权限并在银行内部网络内移动,直至到达负责与 SWIFT 网络交互的计算机。从那时起,他们就等待绝佳的攻击机会:孟加拉国银行周四休周末,但纽约联邦储备银行周五休周末。孟加拉国当地时间周四晚上,威胁行为者利用其对 SWIFT 网络的访问权限向纽约联邦储备银行发送了 36 个单独的转账请求,当时是当地时间周四早上。在接下来的 24 小时内,纽约联邦储备银行将这些转账转发给菲律宾的黎刹商业银行 (RCBC),后者开始采取行动。随后,当孟加拉银行重新开门营业时,发现了黑客攻击事件,他们试图通知黎刹商业银行停止正在进行的交易,却发现黎刹商业银行因为农历新年放假已经关闭。
最后,2017 年,大规模的 WannaCry 2.0 勒索软件攻击摧毁了世界各地的行业,部分原因被归咎于 Lazarus Group 。据估计,WannaCry 造成了数十亿美元的损失,它利用了 NSA 最初开发的 Microsoft Windows 0day,不仅加密了本地设备,还传播到其他可访问的设备,最终感染了全球数十万台设备。幸运的是,由于安全研究员 Marcus Hutchins 在八小时内发现并激活了终止开关,最终损失被限制在了一定范围内。
纵观 Lazarus Group 的发展历程,他们展现出了极高的技术能力和执行力,而他们的目标之一就是为朝鲜政权创造收入。因此,他们将注意力转向加密货币行业只是时间问题。
衍生
随着时间的推移,随着 Lazarus Group 成为媒体描述朝鲜网络活动时喜欢使用的统称,网络安全行业为 Lazarus Group 和朝鲜的具体活动创造了更精确的名称。APT38 就是一个例子,它于 2016 年左右从 Lazarus Group 分离出来,专注于金融犯罪,首先针对银行(如孟加拉国银行),然后是加密货币。后来在 2018 年,一种名为 AppleJeus 的新威胁被发现正在传播针对加密货币用户的恶意软件。最后,早在 2018 年,当 OFAC 首次宣布对朝鲜人使用的两家幌子公司实施制裁时,冒充 IT 工作者的朝鲜人就已经渗透到科技行业。
朝鲜 IT 工作者
尽管最早有记录显示提到朝鲜 IT 工作者来自 2018 年 OFAC 制裁,但 Unit 42 的 2023 年报告进行了更详细的说明,并确定了两个不同的威胁行为者:Contagious Interview 和 Wagemole 。
据悉,Contagious Interview 会冒充知名公司的招聘人员,诱骗开发人员参与虚假的面试流程。随后,潜在候选人被指示克隆一个存储库进行本地调试,表面上是作为编码挑战,但实际上该存储库包含一个后门,执行后门会将受影响机器的控制权交给攻击者。该活动一直在进行中,最近一次记录是在 2024 年 8 月 11 日。
另一方面,Wagemole 特工的主要目标不是雇佣潜在受害者,而是被公司雇佣,在那里他们只是像普通工程师一样工作,尽管效率可能不高。话虽如此,有记录显示 IT 工作者利用他们的访问权限进行攻击,例如在 Munchables 事件中,一名与朝鲜活动有关联的员工利用他们对智能合约的特权访问权限窃取了所有资产。
Wagemole 特工的复杂程度各不相同,从千篇一律的简历模板和不愿参加视频通话,到高度定制的简历、深度伪造的视频面试以及驾驶执照和水电费账单等身份证明文件。在某些情况下,特工在受害组织中潜伏长达一年,然后利用他们的访问权限入侵其他系统和 / 或完全套现。
苹果耶稣(AppleJeus)
AppleJeus 主要专注于传播恶意软件,擅长进行复杂的供应链攻击。2023 年,3CX 供应链攻击使攻击者有可能感染 3CX VoIP 软件的 12 1200 多万用户,但后来发现 3CX 本身也受到了影响其上游供应商之一 Trading Technologies 13 的供应链攻击的攻击。
在加密货币行业,AppleJeus 最初通过分发包装成合法软件(例如交易软件或加密货币钱包)的恶意软件。然而,随着时间的推移,他们的策略发生了变化。2024 年 10 月,Radiant Capital 被一名冒充可信承包商的威胁行为者通过 Telegram 发送的恶意软件攻陷,Mandiant 将其归咎于 AppleJeus 。
危险密码(Dangerous Password)
Dangerous Password 负责对加密货币行业进行低复杂度的基于社会工程学的攻击。早在 2019 年,JPCERT/CC 就记录了 Dangerous Password 会发送带有诱人附件的钓鱼电子邮件供用户下载。前几年,Dangerous Password 负责冒充行业知名人士发送钓鱼电子邮件,主题为「稳定币和加密资产风险巨大」。
如今,Dangerous Password 仍在发送钓鱼邮件,但也已扩展到其他平台。例如,Radiant Capital 报告称,他们通过 Telegram 收到一条钓鱼消息,该消息来自冒充安全研究人员的人,该人分发了一个名为「Penpie_Hacking_Analysis_Report.zip」的文件。此外,用户报告称,有人冒充记者和投资者联系他们,要求使用一个不起眼的视频会议应用安排通话。与 Zoom 一样,这些应用程序会下载一次性安装程序,但运行时会将恶意软件安装在设备上。
交易者叛徒(TraderTraitor)
TraderTraitor 是针对加密货币行业最老练的朝鲜黑客,并对 Axie Infinity 和 Rain.com 等发起了黑客攻击。TraderTraitor 几乎只针对拥有大量储备的交易所和其他公司,并且不会对其目标部署零日漏洞,而是使用高度复杂的鱼叉式网络钓鱼技术对受害者进行攻击。在 Axie Infinity 黑客攻击案例中,TraderTraitor 通过 LinkedIn 联系了一位高级工程师,并成功说服他们接受一系列面试,然后发送了一份「提议」,从而投递了恶意软件。然后,在 WazirX 黑客攻击中,TraderTraitor 特工破坏了签名管道中一个尚未确定的组件,然后通过反复存款和取款耗尽交易所的热钱包,导致 WazirX 工程师进行从冷钱包到热钱包的重新平衡。当 WazirX 工程师试图签署交易以转移资金时,他们却被诱骗签署了一项交易,将冷钱包的控制权移交给 TraderTraitor。这与 2025 年 2 月针对 Bybit 的攻击非常相似,当时 TraderTraitor 首先通过社会工程攻击破坏了 Safe{Wallet} 基础设施,然后将恶意 JavaScript 部署到专门针对 Bybit 冷钱包的 Safe Wallet 前端。当 Bybit 去重新平衡他们的钱包时,恶意代码被激活,反而导致 Bybit 工程师签署一项交易,将冷钱包的控制权移交给 TraderTraitor。
保持安全
朝鲜已经展示了对付对手部署零日漏洞的能力,但目前还没有朝鲜对加密货币行业部署零日漏洞的记录或已知事件。因此,对于几乎所有朝鲜黑客的威胁来说,典型的安全建议都适用。
对于个人来说,要运用常识,警惕社交工程手段。例如,如果有人声称拥有一些高度机密的信息,并愿意与您分享,请谨慎行事。或者,如果有人对您施加时间压力,要求您下载并运行某些软件,请考虑他们是否试图让您陷入无法进行逻辑思考的境地。
对于组织而言,尽可能应用最小特权原则。尽量减少有权访问敏感系统的人数,并确保他们使用密码管理器和 2FA。保持个人设备和工作设备分开,并在工作设备上安装移动设备管理 (MDM) 和端点检测与响应 (EDR) 软件,以确保黑客入侵前的安全性和黑客入侵后的可见性。
不幸的是,对于大型交易所或其他高价值目标,TraderTraitor 即使不需要零日漏洞也能超出预期的进行破坏。因此,必须采取额外的预防措施,确保不存在单点故障,以免一次入侵就导致资金全部损失。
然而,即使一切都失败了,仍然还有希望。联邦调查局有一个专门跟踪和防止朝鲜入侵的部门,多年来一直在进行受害者通知,最近我很高兴能帮助该部门的特工与潜在的朝鲜目标建立联系。因此,为了做好最坏的准备,请确保您有公开的联系信息,或者您与生态系统中的足够多的人有联系(例如 SEAL 911),这样穿越社交图谱的消息就能以最快速度到达您手中。