揭秘Lazarus Group：北韓駭客組織的驚天劫案與網路陰謀-web3资讯-ODAILY

原文來源：維基百科

原文編譯：Yobo，Foresight News

以下內容譯自維基百科詞條「Lazarus Group」正文：

Lazarus Group（也被稱為 “Guardians” 或 “Peace or Whois Team”）是一個由數量不明的人員組成的黑客組織，據稱受朝鮮政府操控。雖然人們對該組織了解有限，但自 2010 年以來，研究人員已將多起網路攻擊歸咎於他們。

該組織最初是一個犯罪團夥，如今因其攻擊意圖、造成的威脅，以及行動時使用的多種手段，已被認定為高級持續性威脅組織。網路安全機構給他們起了不少別稱，例如 “Hidden Cobra”（美國國土安全部用這個稱呼來指代朝鮮政府發起的惡意網絡活動），還有 “ZINC” 或 “Diamond Sleet”（微軟的叫法）。據該國叛逃者Kim Kuk-song 稱，該組織在朝鮮國內被稱為 “ 414 聯絡辦公室”。

Lazarus Group 與北韓聯繫緊密。美國司法部宣稱，該組織是北韓政府戰略的一部分，目的是「破壞全球網路安全… 並違反制裁規定獲取非法收入」。北韓透過進行網路行動能獲得許多好處，只需要維護一個非常精幹的小團隊就能構成「全球性」的不對稱威脅（尤其是針對南韓）。

發展歷程

該組織已知最早發動的攻擊是 2009 年至 2012 年的「特洛伊行動」。這是一場網路間諜活動，他們利用並不複雜的分散式阻斷服務攻擊（DDoS）技術，將位於首爾的韓國政府作為目標。 2011 年和 2013 年，他們也發動了攻擊。雖然不能確定，但 2007 年針對韓國的一次攻擊也有可能是他們所為。該組織的一次著名攻擊發生在 2014 年，目標是索尼影視。這次攻擊運用了更複雜的技術，也顯示出該組織隨著時間推移變得越來越成熟。

據報道， 2015 年，Lazarus Group 從厄瓜多爾的奧斯特羅銀行盜走 1,200 萬美元，也從越南的先鋒銀行盜走 100 萬美元。他們也將波蘭和墨西哥的銀行列為目標。 2016 年的銀行竊盜案中，他們對某銀行發動攻擊，成功盜走 8,100 萬美元，這起案件也被認為是該組織所為。 2017 年，有報告指出Lazarus Group 從台灣遠東國際商業銀行盜走 6,000 萬美元，不過實際被竊金額並不明確，且大部分資金已追回。

目前尚不清楚該組織的真正幕後黑手是誰，但媒體報告指出，該組織與北韓有密切關聯。 2017 年，卡巴斯基實驗室報告稱，Lazarus Group 傾向於專注間諜和滲透類網路攻擊，而其內部一個被卡巴斯基稱為 “Bluenoroff” 的子組織，則專門從事金融網絡攻擊。卡巴斯基在全球發現多起攻擊事件，並發現 Bluenoroff 與該國有直接的 IP 位址關聯。

不過，卡巴斯基也承認，代碼的重複使用可能是一種 “假旗行動”，目的是誤導調查人員，讓朝鮮背黑鍋，畢竟全球範圍內的“想哭” 蠕蟲網絡攻擊就抄襲了美國國家安全局的技術。這種勒索軟體利用了美國國家安全局的「永恆之藍」漏洞， 2017 年 4 月，一個名為「影子經紀人」的駭客組織將該漏洞公開。 2017 年，Symantec 報告稱，「WannaCry」攻擊極有可能是Lazarus Group 所為。

2009 年 “特洛伊行動”

Lazarus Group 的首次重大駭客事件發生在 2009 年 7 月 4 日，標誌著 “特洛伊行動” 的開始。這次攻擊利用「我的末日」和「推土機」惡意軟體，對美國和韓國的網站發動大規模但手法並不復雜的 DDoS 攻擊。這波攻擊針對約 36 個網站，並在主引導記錄（MBR）中植入 “獨立日紀念” 的文字。

2013 年韓國網路攻擊（「Operation 1 行動」/「黑暗首爾」行動）

隨著時間推移，該組織的攻擊手段愈發複雜；他們的技術和工具也更加成熟、有效。 2011 年 3 月的「十日雨」攻擊，目標是韓國的媒體、金融和關鍵基礎設施，採用了更複雜的 DDoS 攻擊，這些攻擊源自韓國國內被入侵的電腦。 2013 年 3 月 20 日，「黑暗首爾」行動展開，這是一次擦除資料的攻擊，目標是韓國的三家廣播公司、金融機構和一家網路服務供應商。當時，另外兩個自稱 “新羅馬網絡軍團” 和 “WhoIs 團隊” 的組織宣稱對此次攻擊負責，但研究人員當時並不知道背後主謀是Lazarus Group。如今，研究人員知道Lazarus Group 是這些破壞性攻擊的主導者。

2014 年底：索尼影視遭入侵

2014 年 11 月 24 日，Lazarus Group 的攻擊達到高潮。當天，Reddit 上出現一篇帖子，稱索尼影視被不明手段入侵，攻擊者自稱 “和平衛士”。大量資料被盜取，並在攻擊後的幾天逐漸洩露。一名自稱是該組織成員的人在接受採訪時表示，他們竊取索尼的資料已有一年多。

駭客得以存取尚未發行的電影、部分電影劇本、未來電影計畫、公司高層薪資資訊、電子郵件，以及約 4000 名員工的個人資訊。

2016 年初調查：「重磅炸彈行動」

以「重磅炸彈行動」為代號，由 Novetta 主導的多家安全公司組成聯盟，對不同網路安全事件中發現的惡意軟體樣本進行分析。利用這些數據，團隊分析了駭客的作案手法。他們透過程式碼復用模式，將Lazarus Group 與多起攻擊關聯起來。例如，他們使用了一種在網路上鮮為人知的加密演算法 ——「卡拉卡斯」密碼演算法。

2016 年某銀行網路竊盜案

2016 年 2 月發生了一起銀行竊盜案。安全駭客透過環球銀行金融電信協會（SWIFT）網路發出 35 條詐欺指令，試圖從某國中央銀行在紐約聯邦儲備銀行的帳戶非法轉移近 10 億美元。 35 條詐欺指令中有 5 條成功轉移了 1.01 億美元，其中 2,000 萬美元流向斯里蘭卡， 8,100 萬美元流向菲律賓。紐約聯邦儲備銀行因一條指令拼字錯誤而產生懷疑，阻止了其餘 30 筆交易，涉及金額 8.5 億美元。網路安全專家稱，這次攻擊的幕後黑手是來自某國的Lazarus Group。

2017 年 5 月 “WannaCry” 勒索軟體攻擊

「WannaCry」攻擊是一場大規模的勒索軟體網路攻擊， 2017 年 5 月 12 日，從英國國家醫療服務體系（NHS），到波音公司，甚至中國的一些大學，全球眾多機構都受到影響。這次攻擊持續了 7 小時 19 分鐘。歐洲刑警組織估計，這次攻擊影響了 150 個國家的近 20 萬台計算機，主要受影響的地區包括俄羅斯、印度、烏克蘭和台灣地區。這是最早的加密蠕蟲攻擊之一。加密蠕蟲是一類惡意軟體，可透過網路在電腦之間傳播，無需用戶直接操作即可感染—— 在這次攻擊中，它利用的是 TCP 連接埠 445 。電腦感染該病毒無需點擊惡意鏈接，惡意軟體可自動傳播，從一台電腦傳播到連接的印表機，再傳播到附近連接無線網路的其他電腦等。連接埠 445 的漏洞使得惡意軟體在內部網路中自由傳播，迅速感染數千台電腦。 “WannaCry” 攻擊是首次大規模使用加密蠕蟲的攻擊之一。

攻擊方式：該病毒利用了 Windows 作業系統的漏洞，然後加密電腦數據，要求支付約 300 美元價值的比特幣來獲取解密金鑰。為促使受害者付款，三天後贖金翻倍，如果一周內未支付，惡意軟體就會刪除加密的資料檔案。惡意軟體使用了微軟開發的一款名為 “Windows Crypto” 的合法軟體來加密檔案。加密完成後，檔案名稱會加上 “Wincry” 後綴，這就是「想哭」（WannaCry）名稱的由來。「Wincry」是加密的基礎，但惡意軟體也利用了另外兩個漏洞「永恆之藍」（EternalBlue）和「雙脈衝星」（DoublePulsar），使其成為加密蠕蟲。「永恆之藍」可自動透過網路傳播病毒，「雙脈衝星」則觸發病毒在受害者電腦上啟動。也就是說，「永恆之藍」將受感染的連結傳播到你的計算機，「雙脈衝星」替你點擊了它。

安全研究員Marcus Hutchins 從一家安全研究公司的朋友那裡收到該病毒樣本後，發現病毒中硬編碼了一個 “殺毒開關”，從而終止了這次攻擊。該惡意軟體會定期檢查某個特定網域是否已註冊，並且只有在該網域不存在時才會繼續進行加密操作。哈欽斯發現了這個檢查機制，隨後在協調世界時下午 3 點 03 分註冊了相關網域。惡意軟體立即停止傳播並感染新設備。這情況很值得玩味，也為追蹤病毒製作者提供了線索。通常情況下，阻止惡意軟體需要駭客和安全專家反覆較量數月時間，如此輕易地獲勝令人始料未及。這次攻擊還有一個不同尋常之處，那就是支付贖金後文件也無法恢復：駭客僅收到 16 萬美元贖金，這讓許多人認為他們的目的並非錢財。

「殺毒開關」輕易被破解以及贖金收益微薄，讓許多人相信這次攻擊是由國家支持的；其動機並非經濟補償，而是製造混亂。攻擊發生後，安全專家追蹤發現，「雙脈衝星」漏洞源自美國國家安全局，該漏洞最初是作為一種網路武器開發的。後來，「影子經紀人」駭客組織竊取了這個漏洞，先是試圖拍賣，但未能成功，最後乾脆免費公開。美國國家安全局隨後將漏洞資訊告知微軟，微軟於 2017 年 3 月 14 日發布了更新，距離攻擊發生不到一個月。但這還不夠，由於更新並非強制安裝，到 5 月 12 日時，大多數存在該漏洞的電腦仍未修復，導致這次攻擊造成了驚人的破壞。

後續影響：美國司法部和英國當局後來認定，「WannaCry」攻擊是北韓駭客組織Lazarus Group 所為。

2017 年加密貨幣攻擊事件

2018 年，Recorded Future 發布報告稱，Lazarus Group 與針對加密貨幣比特幣和門羅幣用戶的攻擊有關，這些攻擊主要針對韓國用戶。據報道，這些攻擊在技術上與先前使用 “想哭” 勒索軟體的攻擊以及針對索尼影視的攻擊相似。 Lazarus Group 駭客使用的手段之一是利用韓國文字處理軟體 Hangul（由 Hancom 開發）的漏洞。另一種手段是發送包含惡意軟體的魚叉式網路釣魚誘餌，目標是韓國學生和 Coinlink 等加密貨幣交易平台的用戶。

如果使用者開啟惡意軟體，其電子郵件地址和密碼就會被竊取。 Coinlink 否認其網站或使用者的電子郵件地址和密碼遭到駭客攻擊。該報告總結稱：「 2017 年末的這一系列攻擊表明，某國對加密貨幣的興趣有增無減，如今我們知道這種興趣涵蓋了包括挖礦、勒索軟體攻擊和直接盜竊等廣泛活動……」報告還指出，某國利用這些加密貨幣攻擊來規避國際金融制裁。

2017 年 2 月，某國駭客從韓國加密貨幣交易平台 Bithumb 偷走 700 萬美元。另一家韓國比特幣交易公司 Youbit 在 2017 年 4 月遭受一次攻擊後，同年 12 月又因 17% 的資產被盜，不得不申請破產。 Lazarus Group 和某國駭客被指是這些攻擊的幕後黑手。 2017 年 12 月，加密貨幣雲端挖礦市場 Nicehash 損失了 4,500 多枚比特幣。一項調查更新顯示，此次攻擊與Lazarus Group 有關。

2019 年 9 月攻擊事件

2019 年 9 月中旬，美國發佈公開警報，稱發現一種名為 “ElectricFish” 的新型惡意軟體。自 2019 年初以來，某國特工在全球實施了 5 起重大網路竊盜，其中包括成功從科威特一家機構盜走 4,900 萬美元。

2020 年底製藥公司攻擊事件

由於新冠疫情持續蔓延，製藥公司成為Lazarus Group 的主要目標。 Lazarus Group 成員利用魚叉式網路釣魚技術，偽裝成衛生官員，向製藥公司員工發送惡意連結。據信，多家大型製藥公司成為攻擊目標，但目前已確認的只有英瑞合資的阿斯特捷利康公司。路透社報道，眾多員工成為攻擊對象，其中許多人參與了新冠疫苗的研發工作。目前尚不清楚Lazarus Group 發動這些攻擊的目的，但可能包括：竊取敏感資訊獲利、實施敲詐勒索計劃，以及讓外國政權獲取新冠病毒相關的專有研究成果。阿斯特捷利康尚未對此事件發表評論，專家認為目前尚無敏感資料外洩。

2021 年 1 月針對網路安全研究人員的攻擊事件

2021 年 1 月，Google和微軟均公開報告稱，有一群來自某國的駭客透過社會工程學手段，對網路安全研究人員發動攻擊，微軟明確指出該攻擊由Lazarus Group 實施。

駭客在 Twitter、GitHub 和領英等平台創建多個用戶資料，偽裝成合法的軟體漏洞研究人員，與安全研究社群的其他人發布的貼文和內容互動。然後，他們會直接聯繫特定的安全研究人員，以合作研究為由，誘使受害者下載包含惡意軟體的文件，或訪問由駭客控制的網站上的部落格文章。

一些訪問了部落格文章的受害者稱，儘管他們使用的是已完全安裝補丁的谷歌 Chrome 瀏覽器，但計算機仍遭到入侵，這表明黑客可能利用了此前未知的 Chrome 零日漏洞進行攻擊；然而，谷歌在報告發佈時表示，無法確定具體的入侵方式。

2022 年 3 月鏈遊 Axie Infinity 攻擊事件

2022 年 3 月，Lazarus Group 被指從 Axie Infinity 遊戲使用的 Ronin 網路中竊取了價值 6.2 億美元的加密貨幣。聯邦調查局表示：「透過調查，我們確認Lazarus Group 和 APT 38 （與北韓有關聯的網路行為者）是此次竊盜的幕後黑手。」

2022 年 6 月 Horizon Bridge 攻擊事件

聯邦調查局證實，北韓惡意網路行為者組織Lazarus Group（也被稱為 APT 38）是 2022 年 6 月 24 日報的從 Harmony 的 Horizon 橋竊取 1 億美元虛擬貨幣事件的幕後黑手。

2023 年其他相關加密貨幣攻擊事件

區塊鏈安全平台 Immunefi 發布的一份報告稱，Lazarus Group 在 2023 年的加密貨幣駭客攻擊事件中，造成的損失超過 3 億美元，佔當年總損失的 17.6% 。

2023 年 6 月 Atomic Wallet 攻擊事件： 2023 年 6 月，Atomic Wallet 服務的用戶被盜走價值超過 1 億美元的加密貨幣，聯邦調查局隨後證實了這起事件。

2023 年 9 月Stake.com 駭客攻擊事件： 2023 年 9 月，聯邦調查局證實，線上賭場和博彩平台Stake.com 價值 4,100 萬美元的加密貨幣被盜，犯案者是Lazarus Group。

美國制裁措施

2022 年 4 月 14 日，美國財政部海外資產管制辦公室（OFAC）依據某國制裁條例第 510.214 條，將Lazarus Group 列入特別指定國民清單（SDN List）。

2024 年加密貨幣攻擊事件

根據印度媒體報道，當地一家名為 WazirX 的加密貨幣交易所遭到該組織攻擊，價值 2.349 億美元的加密資產被盜。

人員培養

據傳言，部分北韓駭客會被派往中國瀋陽進行專業培訓，學習如何將各類惡意軟體植入電腦、電腦網路和伺服器。在北韓內部，金策工業綜合大學、金日成綜合大學和萬景台大學承擔相關教育任務，這些大學從全國選拔最優秀的學生，讓他們接受為期六年的特殊教育。除大學教育外，「一些最優秀的程式設計師… 會被送到萬景台大學或 Mirim 學院深造」。

組織分支

Lazarus Group 被認為有兩個分支。

BlueNorOff

BlueNorOff（也稱為 APT 38、「星辰千里馬」、「BeagleBoyz」、「NICKEL GLADSTONE」）是一個受經濟利益驅使的組織，透過偽造環球銀行金融電信協會（SWIFT）指令進行非法資金轉移。 Mandiant 稱之為 APT 38 ，Crowdstrike 則稱之為「星辰千里馬」。

根據美國陸軍 2020 年的一份報告，BlueNorOff 約有 1700 名成員，他們專注於長期評估並利用敵方網路漏洞和系統，從事金融網路犯罪活動，為該國政權獲取經濟利益或控制相關係統。 2014 年至 2021 年間，他們的目標包括至少 13 個國家的 16 家機構，這些國家有孟加拉、智利、印度、墨西哥、巴基斯坦、菲律賓、韓國、台灣地區、土耳其和越南等。據信，這些非法所得被用於該國飛彈和核子技術的研發。

BlueNorOff 最臭名昭著的攻擊是 2016 年的某銀行盜竊案，他們試圖透過 SWIFT 網絡，從某國中央銀行在紐約聯邦儲備銀行的帳戶非法轉移近 10 億美元。在部分交易成功完成（2000 萬美元流向斯里蘭卡， 8100 萬美元流向菲律賓）後，紐約聯邦儲備銀行因一條指令拼寫錯誤產生懷疑，阻止了其餘交易。

與 BlueNorOff 相關的惡意軟件包括：「DarkComet」「Mimikatz」「Nestegg」「Macktruck」「想哭」「Whiteout」「Quickcafe」「Rawhide」「Smoothride」「TightVNC」「Sorrybrute」「Keylime」「Snapshot」「Mapmaker」「net.exe」「sysmon」「Bootwreck」「Cleantoad」「Closeshave」「Dyepack」「Hermes」「Twopence」「Electricfish」「Powerratankba」和「Powerspritz」等。

BlueNorOff 常用的手段包括：網路釣魚、設定後門、利用漏洞攻擊、水坑攻擊、利用過時且不安全的 Apache Struts 2 版本在系統上執行程式碼、策略性地入侵網站，以及存取 Linux 伺服器等。有報道稱，他們有時會與犯罪駭客合作。

AndAriel

AndAriel，也拼作 Andarial，還有別稱：沉默的千里馬（Silent Chollima）、黑暗首爾（Dark Seoul）、來福槍（Rifle）以及瓦松尼特（Wassonite），從邏輯上看，其特點是將韓國作為攻擊目標。安德里爾的別稱「沉默的千里馬」源自於該組織行事隱密的特質 [ 70 ]。韓國的任何機構都可能受到安德里爾的攻擊，目標包括政府部門、國防機構以及各類經濟標誌性實體。

根據美國陸軍 2020 年的一份報告，安德里爾組織約有 1600 名成員，他們的任務是進行偵察、評估網路漏洞，並繪製敵方網路地圖以便實施潛在攻擊。除韓國外，他們還將其他國家的政府、基礎設施和企業列為攻擊目標。攻擊手段包括：利用 ActiveX 控制、韓國軟體漏洞、水坑攻擊、魚叉式網路釣魚（宏病毒方式）、針對 IT 管理產品（如防毒軟體、專案管理軟體）進行攻擊，以及透過供應鏈（安裝程式和更新程式）發動攻擊。使用的惡意軟體有：雅利安（Aryan）、灰鴿子遠端控制木馬（Gh 0 st RAT）、Rifdoor、Phandoor 和安達拉特（Andarat）。

揭秘Lazarus Group：北韓駭客組織的驚天劫案與網路陰謀