從索尼到 Bybit:Lazarus Group 如何成為加密領(lǐng)域的超級反派
作者:YohanYun來源:cointelegraph翻譯:善歐巴,金色財經(jīng)
自2017年以來,LazarusGroup已竊取了超過60億美元的Crypto,成為業(yè)內(nèi)最臭名昭著的黑客集團。
LazarusGroup并非偶爾涉足黑客世界,它經(jīng)常是重大Crypto盜竊案件的主要嫌疑人。這個由朝鮮政府支持的集團通過從交易所竊取數(shù)十億美元、欺騙開發(fā)者并繞過行業(yè)中最復(fù)雜的安全措施,已成為全球最具威脅性的黑客組織之一。
2025年2月21日,它實現(xiàn)了至今為止最大的盜竊——從Crypto交易所Bybit竊取創(chuàng)紀錄的14億美元。加密偵探ZachXBT在將Bybit攻擊與Phémex交易所8500萬美元的黑客事件關(guān)聯(lián)后,確認Lazarus是主要嫌疑人。他還將黑客攻擊與BingX和Poloniex的漏洞事件聯(lián)系起來,進一步增加了指向朝鮮網(wǎng)絡(luò)軍隊的證據(jù)。
根據(jù)安全公司Elliptic的數(shù)據(jù),自2017年以來,Lazarus集團已從Crypto行業(yè)盜取約60億美元。聯(lián)合國安理會的一項研究報告指出,這些被盜資金據(jù)信用于資助朝鮮的武器計劃。
作為歷史上最為活躍的網(wǎng)絡(luò)犯罪組織之一,該組織的涉嫌操作人員和手段揭示了一個高度復(fù)雜的跨國運營,旨在為朝鮮政權(quán)服務(wù)。誰在幕后操控Lazarus?它是如何成功實施Bybit黑客攻擊的?它還采用了哪些方法,造成了持續(xù)的威脅?
Jon專門開發(fā)并傳播惡意Crypto應(yīng)用程序,滲透交易所和金融機構(gòu),實施大規(guī)模盜竊。Kim則負責分發(fā)惡意軟件、協(xié)調(diào)與加密相關(guān)的盜竊活動,并策劃了虛假的MarineChain*I*C*O。Lazarus集團的最大黑客事件是如何發(fā)生的
據(jù)朝鮮官方媒體報道,就在Bybit黑客攻擊發(fā)生前幾周,朝鮮領(lǐng)導(dǎo)人金正恩視察了一處核材料生產(chǎn)設(shè)施,并呼吁擴展該國的核武庫,超越當前的生產(chǎn)計劃。
2月15日,美國、韓國和日本發(fā)表聯(lián)合聲明,重申他們致力于朝鮮無核化。平壤迅速在2月18日駁斥該聲明,稱其“荒謬”,并再次誓言增強核力量。
三天后,Lazarus集團再次出手。
在安全圈內(nèi),Lazarus的作案手法通常能在官方調(diào)查確認其參與之前就被識別出來。
“在Bybit的ETH剛剛轉(zhuǎn)出后的幾分鐘內(nèi),我就能自信地在私下里說,這與朝鮮有關(guān),因為他們在鏈上的指紋和TTP(戰(zhàn)術(shù)、技術(shù)和程序)過于獨特。”——加密保險公司FairsideNetwork的調(diào)查負責人Fantasy在接受Cointelegraph采訪時表示。
“他們會將ERC-20資產(chǎn)拆分到多個錢包,立即以次優(yōu)方式拋售Tokens,導(dǎo)致高額交易費或滑點,然后再將ETH以大額、整齊的數(shù)額轉(zhuǎn)入新創(chuàng)建的錢包。”
在Bybit攻擊事件中,黑客精心策劃了一次復(fù)雜的網(wǎng)絡(luò)釣魚攻擊,以突破Bybit的安全系統(tǒng),并欺騙交易所授權(quán)轉(zhuǎn)移401,000枚Ethereum(ETH),價值14億美元,到他們控制的錢包。根據(jù)Blockchain取證公司Chainalysis的分析,攻擊者通過偽裝成Bybit錢包管理系統(tǒng)的假冒版本,直接獲取了交易所資產(chǎn)的訪問權(quán)限。
資金被盜后,黑客立即啟動了*洗*錢操作,將資產(chǎn)分散到多個中間錢包。Chainalysis的調(diào)查人員發(fā)現(xiàn),部分被盜資金被轉(zhuǎn)換為Bitcoin(BTC)和Dai(DAI),利用DEX、跨鏈橋以及無KYC的Tokens兌換服務(wù),例如eXch——盡管整個行業(yè)對Bybit黑客事件進行了干預(yù),該平臺仍拒絕凍結(jié)與該攻擊相關(guān)的*非*法資金。eXch否認為朝鮮*洗*錢。
盡管這些高調(diào)的盜竊事件占據(jù)了頭條新聞,朝鮮黑客也掌握了長期詐騙的技巧——這種策略提供了穩(wěn)定的現(xiàn)金流,而不是依賴一次性的意外收獲。
他們針對每個人、任何東西,任何金額。具體來說,Lazarus專注于這些大型復(fù)雜的黑客攻擊,如Bybit、Phemex和Alphapo,但他們也有較小的團隊,進行低價值和更多手動密集的工作,如惡意的[或]假招聘面試。
微軟威脅情報部門已確認一個名為“SapphireSleet”的朝鮮威脅小組,稱其為Crypto盜竊和公司滲透的關(guān)鍵玩家。該名字延續(xù)了微軟基于天氣的分類法,“sleet”表示與朝鮮的聯(lián)系。除此之外,這個小組更廣為人知的是Bluenoroff,Lazarus的一個子小組。
他們偽裝成風險資本家和招聘人員,誘使受害者參與虛假的工作面試和投資*騙*局,部署惡意軟件來竊取加密錢包和財務(wù)數(shù)據(jù),在六個月內(nèi)賺取超過1000萬美元。
朝鮮還將成千上萬的IT人員部署到俄羅斯、中國及其他地區(qū),利用AI生成的個人資料和被盜身份獲得高薪技術(shù)職位。一旦進入,這些黑客就會盜取知識產(chǎn)權(quán)、勒索雇主,并將收益匯入政權(quán)。微軟泄露的朝鮮數(shù)據(jù)庫揭示了虛假的簡歷、欺詐賬戶和支付記錄,揭示了一個復(fù)雜的操作,使用AI增強的圖像、變聲軟件和身份盜竊來滲透全球企業(yè)。
2024年8月,ZachXBT揭露了一個由21名朝鮮開發(fā)者組成的網(wǎng)絡(luò),他們通過將自己嵌入加密初創(chuàng)公司,每月賺取50萬美元。
2024年12月,圣路易斯的一個聯(lián)邦法院解封了對14名朝鮮國籍人士的起訴書,指控他們違反制裁、進行電匯欺詐、*洗*錢和身份盜竊。
這些人曾在朝鮮控制的公司YanbianSilverstar和VolasysSilverstar工作,這些公司在中國和俄羅斯運作,騙取公司聘用他們進行遠程工作。
在六年內(nèi),這些工作人員至少賺取了8800萬美元,其中一些被要求為政權(quán)每月賺取10,000美元。
迄今為止,朝鮮的網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略仍然是世界上最復(fù)雜和最有利可圖的行動之一,據(jù)稱將數(shù)十億美元轉(zhuǎn)入政權(quán)的武器計劃。盡管執(zhí)法機關(guān)、情報機構(gòu)和Blockchain調(diào)查人員的審查力度不斷增加,Lazarus集團及其子小組仍在不斷適應(yīng),完善其戰(zhàn)術(shù)以逃避偵測,并維持*非*法的收入來源。
隨著創(chuàng)紀錄的加密盜竊、對全球科技公司的深入滲透以及日益擴大的IT操作員網(wǎng)絡(luò),朝鮮的網(wǎng)絡(luò)操作已經(jīng)成為長期的國家安全威脅。美國政府的多機構(gòu)打擊行動,包括聯(lián)邦起訴和數(shù)百萬美元的懸賞,標志著對破壞平壤金融管道的努力正在加劇。
但正如歷史所證明的那樣,Lazarus是無情的;朝鮮網(wǎng)絡(luò)軍隊帶來的威脅遠未結(jié)束。