北京时间 2 月 21 日晚 23:20，Bybit 被黑客窃取价值约 15 亿美元链上资产，事件发生后 4 小时，链上侦探 ZachXBT 提交了确凿证据，证实此次针对 Bybit 的攻击由朝鲜黑客组织 Lazarus Group 实施。这个臭名昭著的黑客团队又在加密乃至整个金融市场的历史上留下了浓重的一笔。

来源：维基百科

编译：Yobo，Foresight News

以下内容译自维基百科词条「Lazarus Group」正文：

Lazarus Group（也被称为 「Guardians」 或 「Peace or Whois Team」）是一个由数量不明的人员组成的黑客组织，据称受朝鲜政府操控。虽然人们对该组织了解有限，但自 2010 年以来，研究人员已将多起网络攻击归咎于他们。

该组织最初是一个犯罪团伙，如今因其攻击意图、造成的威胁，以及行动时使用的多种手段，已被认定为高级持续性威胁组织。网络安全机构给他们起了不少别称，比如 「Hidden Cobra」（美国国土安全部用这个称呼来指代朝鲜政府发起的恶意网络活动），还有 「ZINC」 或 「Diamond Sleet」（微软的叫法）。据该国叛逃者 Kim Kuk-song 称，该组织在朝鲜国内被称为 「414 联络办公室」。

Lazarus Group 与朝鲜联系紧密。美国司法部宣称，该组织是朝鲜政府战略的一部分，目的是 「破坏全球网络安全…… 并违反制裁规定获取非法收入」。朝鲜通过开展网络行动能获得诸多好处，仅需要维护一个非常精干的小团队就能构成「全球性」的不对称威胁（尤其是针对韩国）。

发展历程

该组织已知最早发动的攻击是 2009 年至 2012 年的 「特洛伊行动」。这是一场网络间谍活动，他们利用并不复杂的分布式拒绝服务攻击（DDoS）技术，将位于首尔的韩国政府作为目标。2011 年和 2013 年，他们也发动了攻击。虽然不能确定，但 2007 年针对韩国的一次攻击也有可能是他们所为。该组织的一次著名攻击发生在 2014 年，目标是索尼影视。这次攻击运用了更复杂的技术，也显示出该组织随着时间推移变得越来越成熟。

据报道，2015 年，Lazarus Group 从厄瓜多尔的奥斯特罗银行盗走 1200 万美元，还从越南的先锋银行盗走 100 万美元。他们还将波兰和墨西哥的银行列为目标。2016 年的银行盗窃案中，他们对某银行发动攻击，成功盗走 8100 万美元，这起案件也被认为是该组织所为。2017 年，有报道称 Lazarus Group 从台湾远东国际商业银行盗走 6000 万美元，不过实际被盗金额并不明确，而且大部分资金已追回。

目前尚不清楚该组织的真正幕后黑手是谁，但媒体报道指出，该组织与朝鲜有密切关联。2017 年，卡巴斯基实验室报告称，Lazarus Group 倾向于专注间谍和渗透类网络攻击，而其内部一个被卡巴斯基称为 「Bluenoroff」 的子组织，则专门从事金融网络攻击。卡巴斯基在全球发现多起攻击事件，并发现 Bluenoroff 与该国存在直接的 IP 地址关联。

不过，卡巴斯基也承认，代码的重复使用可能是一种 「假旗行动」，目的是误导调查人员，让朝鲜背黑锅，毕竟全球范围内的「想哭」 蠕虫网络攻击就抄袭了美国国家安全局的技术。这种勒索软件利用了美国国家安全局的 「永恒之蓝」 漏洞，2017 年 4 月，一个名为 「影子经纪人」 的黑客组织将该漏洞公开。2017 年，Symantec 报告称，「WannaCry」 攻击极有可能是 Lazarus Group 所为。

2009 年 「特洛伊行动」

Lazarus Group 的首次重大黑客事件发生在 2009 年 7 月 4 日，标志着 「特洛伊行动」 的开始。这次攻击利用 「我的末日」 和「推土机」 恶意软件，对美国和韩国的网站发起大规模但手法并不复杂的 DDoS 攻击。这波攻击针对约 36 个网站，并在主引导记录（MBR）中植入 「独立日纪念」 的文字。

2013 年韩国网络攻击（「Operation 1 行动」/「黑暗首尔」 行动）

随着时间推移，该组织的攻击手段愈发复杂；他们的技术和工具也更加成熟、有效。2011 年 3 月的 「十日雨」 攻击，目标是韩国的媒体、金融和关键基础设施，采用了更复杂的 DDoS 攻击，这些攻击源自韩国国内被入侵的计算机。2013 年 3 月 20 日，「黑暗首尔」 行动展开，这是一次擦除数据的攻击，目标是韩国的三家广播公司、金融机构和一家互联网服务提供商。当时，另外两个自称 「新罗马网络军团」 和 「WhoIs 团队」 的组织宣称对此次攻击负责，但研究人员当时并不知道背后主谋是 Lazarus Group。如今，研究人员知道 Lazarus Group 是这些破坏性攻击的主导者。

2014 年末：索尼影视遭入侵

2014 年 11 月 24 日，Lazarus Group 的攻击达到高潮。当天，Reddit 上出现一篇帖子，称索尼影视被不明手段入侵，攻击者自称 「和平卫士」。大量数据被盗取，并在攻击后的几天里逐渐泄露。一名自称是该组织成员的人在接受采访时表示，他们窃取索尼的数据已有一年多时间。

黑客得以访问尚未发行的电影、部分电影剧本、未来电影计划、公司高管薪资信息、电子邮件，以及约 4000 名员工的个人信息。

2016 年初调查：「重磅炸弹行动」

以 「重磅炸弹行动」 为代号，由 Novetta 牵头的多家安全公司组成联盟，对不同网络安全事件中发现的恶意软件样本进行分析。利用这些数据，该团队分析了黑客的作案手法。他们通过代码复用模式，将 Lazarus Group 与多起攻击关联起来。例如，他们使用了一种在互联网上鲜为人知的加密算法 ——「卡拉卡斯」 密码算法。

2016 年某银行网络盗窃案

2016 年 2 月发生了一起银行盗窃案。安全黑客通过环球银行金融电信协会（SWIFT）网络发出 35 条欺诈指令，试图从某国中央银行在纽约联邦储备银行的账户非法转移近 10 亿美元。35 条欺诈指令中有 5 条成功转移了 1.01 亿美元，其中 2000 万美元流向斯里兰卡，8100 万美元流向菲律宾。纽约联邦储备银行因一条指令拼写错误产生怀疑，阻止了其余 30 笔交易，涉及金额 8.5 亿美元。网络安全专家称，此次攻击的幕后黑手是来自某国的 Lazarus Group。

2017 年 5 月 「WannaCry」 勒索软件攻击

「WannaCry」 攻击是一场大规模的勒索软件网络攻击，2017 年 5 月 12 日，从英国国家医疗服务体系（NHS），到波音公司，甚至中国的一些大学，全球众多机构都受到影响。这次攻击持续了 7 小时 19 分钟。欧洲刑警组织估计，此次攻击影响了 150 个国家的近 20 万台计算机，主要受影响的地区包括俄罗斯、印度、乌克兰和台湾地区。这是最早的加密蠕虫攻击之一。加密蠕虫是一类恶意软件，可通过网络在计算机之间传播，无需用户直接操作即可感染 —— 在这次攻击中，它利用的是 TCP 端口 445。计算机感染该病毒无需点击恶意链接，恶意软件可自动传播，从一台计算机传播到连接的打印机，再传播到附近连接无线网络的其他计算机等。端口 445 的漏洞使得恶意软件能在内部网络中自由传播，迅速感染数千台计算机。「WannaCry」 攻击是首次大规模使用加密蠕虫的攻击之一。

攻击方式：该病毒利用了 Windows 操作系统的漏洞，然后加密计算机数据，要求支付约 300 美元价值的比特币来获取解密密钥。为促使受害者付款，三天后赎金翻倍，如果一周内未支付，恶意软件就会删除加密的数据文件。恶意软件使用了微软开发的一款名为 「Windows Crypto」 的合法软件来加密文件。加密完成后，文件名会加上 「Wincry」 后缀，这就是 「想哭」（WannaCry）名称的由来。「Wincry」 是加密的基础，但恶意软件还利用了另外两个漏洞 「永恒之蓝」（EternalBlue）和 「双脉冲星」（DoublePulsar），使其成为加密蠕虫。「永恒之蓝」 可自动通过网络传播病毒，「双脉冲星」 则触发病毒在受害者计算机上激活。也就是说，「永恒之蓝」 将受感染的链接传播到你的计算机，「双脉冲星」 替你点击了它。

安全研究员 Marcus Hutchins 从一家安全研究公司的朋友那里收到该病毒样本后，发现病毒中硬编码了一个 「杀毒开关」，从而终止了这次攻击。该恶意软件会定期检查某个特定域名是否已注册，只有在该域名不存在时才会继续进行加密操作。哈钦斯发现了这个检查机制，随后在协调世界时下午 3 点 03 分注册了相关域名。恶意软件立即停止传播并感染新设备。这一情况很值得玩味，也为追踪病毒制作者提供了线索。通常情况下，阻止恶意软件需要黑客和安全专家反复较量数月时间，如此轻易地获胜令人始料未及。这次攻击还有一个不同寻常之处，那就是支付赎金后文件也无法恢复：黑客仅收到 16 万美元赎金，这让很多人认为他们的目的并非钱财。

「杀毒开关」 轻易被破解以及赎金收益微薄，让很多人相信这次攻击是由国家支持的；其动机并非经济补偿，而是制造混乱。攻击发生后，安全专家追踪发现，「双脉冲星」 漏洞源自美国国家安全局，该漏洞最初是作为一种网络武器开发的。后来，「影子经纪人」 黑客组织窃取了这个漏洞，先是试图拍卖，但未能成功，最后干脆免费公开。美国国家安全局随后将该漏洞信息告知微软，微软于 2017 年 3 月 14 日发布了更新，距离攻击发生不到一个月。但这还不够，由于更新并非强制安装，到 5 月 12 日时，大多数存在该漏洞的计算机仍未修复，导致这次攻击造成了惊人的破坏。

后续影响：美国司法部和英国当局后来认定，「WannaCry」 攻击是朝鲜黑客组织 Lazarus Group 所为。

2017 年加密货币攻击事件

2018 年，Recorded Future 发布报告称，Lazarus Group 与针对加密货币比特币和门罗币用户的攻击有关，这些攻击主要针对韩国用户。据报道，这些攻击在技术上与此前使用 「想哭」 勒索软件的攻击以及针对索尼影视的攻击相似。Lazarus Group 黑客使用的手段之一是利用韩国文字处理软件 Hangul（由 Hancom 开发）的漏洞。另一种手段是发送包含恶意软件的鱼叉式网络钓鱼诱饵，目标是韩国学生和 Coinlink 等加密货币交易平台的用户。

如果用户打开恶意软件，其电子邮件地址和密码就会被盗取。Coinlink 否认其网站或用户的电子邮件地址和密码遭到黑客攻击。该报告总结称：「2017 年末的这一系列攻击表明，某国对加密货币的兴趣有增无减，如今我们知道这种兴趣涵盖了包括挖矿、勒索软件攻击和直接盗窃等广泛活动……」 报告还指出，某国利用这些加密货币攻击来规避国际金融制裁。

2017 年 2 月，某国黑客从韩国加密货币交易平台 Bithumb 盗走 700 万美元。另一家韩国比特币交易公司 Youbit 在 2017 年 4 月遭受一次攻击后，同年 12 月又因 17% 的资产被盗，不得不申请破产。Lazarus Group 和某国黑客被指是这些攻击的幕后黑手。2017 年 12 月，加密货币云挖矿市场 Nicehash 损失了 4500 多枚比特币。一项调查更新显示，此次攻击与 Lazarus Group 有关。

2019 年 9 月攻击事件

2019 年 9 月中旬，美国发布公开警报，称发现一种名为 「ElectricFish」 的新型恶意软件。自 2019 年初以来，某国特工在全球范围内实施了 5 起重大网络盗窃，其中包括成功从科威特一家机构盗走 4900 万美元。

2020 年末制药公司攻击事件

由于新冠疫情持续蔓延，制药公司成为 Lazarus Group 的主要目标。Lazarus Group 成员利用鱼叉式网络钓鱼技术，伪装成卫生官员，向制药公司员工发送恶意链接。据信，多家大型制药企业成为攻击目标，但目前已确认的只有英瑞合资的阿斯利康公司。据路透社报道，众多员工成为攻击对象，其中很多人参与了新冠疫苗的研发工作。目前尚不清楚 Lazarus Group 发动这些攻击的目的，但可能包括：窃取敏感信息获利、实施敲诈勒索计划，以及让外国政权获取新冠病毒相关的专有研究成果 。阿斯利康尚未对该事件发表评论，专家认为目前尚无敏感数据泄露。

2021 年 1 月针对网络安全研究人员的攻击事件

2021 年 1 月，谷歌和微软均公开报告称，有一群来自某国的黑客通过社会工程学手段，对网络安全研究人员发起攻击，微软明确指出该攻击由 Lazarus Group 实施。

黑客在 Twitter、GitHub 和领英等平台创建多个用户资料，伪装成合法的软件漏洞研究人员，与安全研究社区的其他人发布的帖子和内容互动。然后，他们会直接联系特定的安全研究人员，以合作研究为由，诱使受害者下载包含恶意软件的文件，或访问由黑客控制的网站上的博客文章。

一些访问了博客文章的受害者称，尽管他们使用的是已完全安装补丁的谷歌 Chrome 浏览器，但计算机仍遭到入侵，这表明黑客可能利用了此前未知的 Chrome 零日漏洞进行攻击；然而，谷歌在报告发布时表示，无法确定具体的入侵方式。

2022 年 3 月链游 Axie Infinity 攻击事件

2022 年 3 月，Lazarus Group 被指从 Axie Infinity 游戏使用的 Ronin 网络中窃取了价值 6.2 亿美元的加密货币。联邦调查局表示：「通过调查，我们确认 Lazarus Group 和 APT38（与朝鲜有关联的网络行为者）是此次盗窃的幕后黑手。」

2022 年 6 月 Horizon Bridge 攻击事件

联邦调查局证实，朝鲜恶意网络行为者组织 Lazarus Group（也被称为 APT38）是 2022 年 6 月 24 日报道的从 Harmony 的 Horizon 桥窃取 1 亿美元虚拟货币事件的幕后黑手。

2023 年其他相关加密货币攻击事件

区块链安全平台 Immunefi 发布的一份报告称，Lazarus Group 在 2023 年的加密货币黑客攻击事件中，造成的损失超过 3 亿美元，占当年总损失的 17.6%。

2023 年 6 月 Atomic Wallet 攻击事件：2023 年 6 月，Atomic Wallet 服务的用户被盗走价值超过 1 亿美元的加密货币，联邦调查局随后证实了这一事件。

2023 年 9 月 Stake.com 黑客攻击事件：2023 年 9 月，联邦调查局证实，在线赌场和博彩平台 Stake.com 价值 4100 万美元的加密货币被盗，作案者是 Lazarus Group。

美国制裁措施

2022 年 4 月 14 日，美国财政部海外资产控制办公室（OFAC）根据某国制裁条例第 510.214 条，将 Lazarus Group 列入特别指定国民清单（SDN List）。

2024 年加密货币攻击事件

据印度媒体报道，当地一家名为 WazirX 的加密货币交易所遭到该组织攻击，价值 2.349 亿美元的加密资产被盗。

人员培养

据传言，部分朝鲜黑客会被派往中国沈阳进行专业培训，学习如何将各类恶意软件植入计算机、计算机网络和服务器。在朝鲜内部，金策工业综合大学、金日成综合大学和万景台大学承担相关教育任务，这些大学从全国选拔最优秀的学生，让他们接受为期六年的特殊教育。除大学教育外，「一些最优秀的程序员…… 会被送到万景台大学或 Mirim 学院深造」。

组织分支

Lazarus Group 被认为有两个分支。

BlueNorOff

BlueNorOff（也被称为 APT38、「星辰千里马」、「BeagleBoyz」、「NICKEL GLADSTONE」）是一个受经济利益驱使的组织，通过伪造环球银行金融电信协会（SWIFT）指令进行非法资金转移。Mandiant 称其为 APT38，Crowdstrike 则称其为 「星辰千里马」。

根据美国陆军 2020 年的一份报告，BlueNorOff 约有 1700 名成员，他们专注于长期评估并利用敌方网络漏洞和系统，从事金融网络犯罪活动，为该国政权获取经济利益或控制相关系统。2014 年至 2021 年间，他们的目标包括至少 13 个国家的 16 家机构，这些国家有孟加拉国、智利、印度、墨西哥、巴基斯坦、菲律宾、韩国、台湾地区、土耳其和越南等。据信，这些非法所得被用于该国导弹和核技术的研发。

BlueNorOff 最臭名昭著的攻击是 2016 年的某银行盗窃案，他们试图通过 SWIFT 网络，从某国中央银行在纽约联邦储备银行的账户非法转移近 10 亿美元。部分交易成功完成（2000 万美元流向斯里兰卡，8100 万美元流向菲律宾）后，纽约联邦储备银行因一条指令拼写错误产生怀疑，阻止了其余交易。

与 BlueNorOff 相关的恶意软件包括：「DarkComet」「Mimikatz」「Nestegg」「Macktruck」「想哭」「Whiteout」「Quickcafe」「Rawhide」「Smoothride」「TightVNC」「Sorrybrute」「Keylime」「Snapshot」「Mapmaker」「net.exe」「sysmon」「Bootwreck」「Cleantoad」「Closeshave」「Dyepack」「Hermes」「Twopence」「Electricfish」「Powerratankba」 和 「Powerspritz」 等。

BlueNorOff 常用的手段包括：网络钓鱼、设置后门、利用漏洞攻击、水坑攻击、利用过时且不安全的 Apache Struts 2 版本在系统上执行代码、战略性地入侵网站，以及访问 Linux 服务器等。有报道称，他们有时会与犯罪黑客合作。

AndAriel

AndAriel，也拼作 Andarial，还有别称：沉默的千里马（Silent Chollima）、黑暗首尔（Dark Seoul）、来福枪（Rifle）以及瓦松尼特（Wassonite），从逻辑上看，其特点是将韩国作为攻击目标。安德里尔的别称 「沉默的千里马」 源于该组织行事隐秘的特性 [70]。韩国的任何机构都可能受到安德里尔的攻击，目标包括政府部门、国防机构以及各类经济标志性实体。

根据美国陆军 2020 年的一份报告，安德里尔组织约有 1600 名成员，他们的任务是进行侦察、评估网络漏洞，并绘制敌方网络地图以便实施潜在攻击 。除韩国外，他们还将其他国家的政府、基础设施和企业列为攻击目标。攻击手段包括：利用 ActiveX 控件、韩国软件漏洞、水坑攻击、鱼叉式网络钓鱼（宏病毒方式）、针对 IT 管理产品（如杀毒软件、项目管理软件）进行攻击，以及通过供应链（安装程序和更新程序）发动攻击。使用的恶意软件有：雅利安（Aryan）、灰鸽子远程控制木马（Gh0st RAT）、Rifdoor、Phandoor 和安达拉特（Andarat）。

相关人员遭起诉情况

2021 年 2 月，美国司法部起诉了朝鲜军事情报机构侦察总局的三名成员 —— 朴晋赫（Park Jin Hyok）、全昌赫（Jon Chang Hyok）和金一朴（Kim Il Park），指控他们参与了 Lazarus Group（Lazarus）的多起黑客攻击活动。朴晋赫早在 2018 年 9 月就已被起诉。这几名嫌疑人目前均未被美国拘押。此外，一名加拿大人和两名中国人也被指控为 Lazarus Group 充当资金转运者和洗钱者。