Lazarus Group（也被称为「Guardians」或「Peace or Whois Team」）是一个由数量不明的人员组成的黑客组织，据称受朝鲜政府操控。虽然人们对该组织了解有限，但自 2010 年以来，研究人员已将多起网络攻击归咎于他们。

该组织最初是一个犯罪团伙，如今因其攻击意图、造成的威胁，以及行动时使用的多种手段，已被认定为高级持续性威胁组织。网络安全机构给他们起了不少别称，比如「Hidden Cobra」（美国国土安全部用这个称呼来指代朝鲜政府发起的恶意网络活动），还有「ZINC」或「Diamond Sleet」（微软的叫法）。据该国叛逃者 Kim Kuk-song 称，该组织在朝鲜国内被称为「414 联络办公室」。

Lazarus Group 与朝鲜联系紧密。美国司法部宣称，该组织是朝鲜政府战略的一部分，目的是「破坏全球网络安全…… 并违反制裁规定获取非法收入」。朝鲜通过开展网络行动能获得诸多好处，仅需要维护一个非常精干的小团队就能构成「全球性」的不对称威胁（尤其是针对韩国）。

该组织已知最早发动的攻击是 2009 年至 2012 年的「特洛伊行动」。这是一场网络间谍活动，他们利用并不复杂的分布式拒绝服务攻击（DDoS）技术，将位于首尔的韩国政府作为目标。2011 年和 2013 年，他们也发动了攻击。虽然不能确定，但 2007 年针对韩国的一次攻击也有可能是他们所为。该组织的一次著名攻击发生在 2014 年，目标是索尼影视。这次攻击运用了更复杂的技术，也显示出该组织随着时间推移变得越来越成熟。

据报道，2015 年，Lazarus Group 从厄瓜多尔的奥斯特罗银行盗走 1200 万美元，还从越南的先锋银行盗走 100 万美元。他们还将波兰和墨西哥的银行列为目标。2016 年的银行盗窃案中，他们对某银行发动攻击，成功盗走 8100 万美元，这起案件也被认为是该组织所为。2017 年，有报道称 Lazarus Group 从台湾远东国际商业银行盗走 6000 万美元，不过实际被盗金额并不明确，而且大部分资金已追回。

目前尚不清楚该组织的真正幕后黑手是谁，但媒体报道指出，该组织与朝鲜有密切关联。2017 年，卡巴斯基实验室报告称，Lazarus Group 倾向于专注间谍和渗透类网络攻击，而其内部一个被卡巴斯基称为「Bluenoroff」的子组织，则专门从事金融网络攻击。卡巴斯基在全球发现多起攻击事件，并发现 Bluenoroff 与该国存在直接的 IP 地址关联。

不过，卡巴斯基也承认，代码的重复使用可能是一种「假旗行动」，目的是误导调查人员，让朝鲜背黑锅，毕竟全球范围内的「想哭」蠕虫网络攻击就抄袭了美国国家安全局的技术。这种勒索软件利用了美国国家安全局的「永恒之蓝」漏洞，2017 年 4 月，一个名为「影子经纪人」的黑客组织将该漏洞公开。2017 年，Symantec 报告称，「WannaCry」攻击极有可能是 Lazarus Group 所为。

2014 年 11 月 24 日，Lazarus Group 的攻击达到高潮。当天，Reddit 上出现一篇帖子，称索尼影视被不明手段入侵，攻击者自称「和平卫士」。大量数据被盗取，并在攻击后的几天里逐渐泄露。一名自称是该组织成员的人在接受采访时表示，他们窃取索尼的数据已有一年多时间。

黑客得以访问尚未发行的电影、部分电影剧本、未来电影计划、公司高管薪资信息、电子邮件，以及约 4000 名员工的个人信息。

「WannaCry」攻击是一场大规模的勒索软件网络攻击，2017 年 5 月 12 日，从英国国家医疗服务体系（NHS），到波音公司，甚至一些大学，全球众多机构都受到影响。这次攻击持续了 7 小时 19 分钟。欧洲刑警组织估计，此次攻击影响了 150 个国家的近 20 万台计算机，主要受影响的地区包括俄罗斯、印度、乌克兰和台湾地区。这是最早的加密蠕虫攻击之一。

加密蠕虫是一类恶意软件，可通过网络在计算机之间传播，无需用户直接操作即可感染 —— 在这次攻击中，它利用的是 TCP 端口 445。计算机感染该病毒无需点击恶意链接，恶意软件可自动传播，从一台计算机传播到连接的打印机，再传播到附近连接无线网络的其他计算机等。端口 445 的漏洞使得恶意软件能在内部网络中自由传播，迅速感染数千台计算机。「WannaCry」攻击是首次大规模使用加密蠕虫的攻击之一。

2018 年，Recorded Future 发布报告称，Lazarus Group 与针对加密货币比特币和门罗币用户的攻击有关，这些攻击主要针对韩国用户。据报道，这些攻击在技术上与此前使用「想哭」勒索软件的攻击以及针对索尼影视的攻击相似。Lazarus Group 黑客使用的手段之一是利用韩国文字处理软件 Hangul（由 Hancom 开发）的漏洞。另一种手段是发送包含恶意软件的鱼叉式网络钓鱼诱饵，目标是韩国学生和 Coinlink 等加密货币交易平台的用户。

如果用户打开恶意软件，其电子邮件地址和密码就会被盗取。Coinlink 否认其网站或用户的电子邮件地址和密码遭到黑客攻击。该报告总结称：「2017 年末的这一系列攻击表明，某国对加密货币的兴趣有增无减，如今我们知道这种兴趣涵盖了包括挖矿、勒索软件攻击和直接盗窃等广泛活动……」报告还指出，某国利用这些加密货币攻击来规避国际金融制裁。

2017 年 2 月，某国黑客从韩国加密货币交易平台 Bithumb 盗走 700 万美元。另一家韩国比特币交易公司 Youbit 在 2017 年 4 月遭受一次攻击后，同年 12 月又因 17% 的资产被盗，不得不申请破产。

2021 年 1 月，谷歌和微软均公开报告称，有一群来自某国的黑客通过社会工程学手段，对网络安全研究人员发起攻击，微软明确指出该攻击由 Lazarus Group 实施。

黑客在 Twitter、GitHub 和领英等平台创建多个用户资料，伪装成合法的软件漏洞研究人员，与安全研究社区的其他人发布的帖子和内容互动。然后，他们会直接联系特定的安全研究人员，以合作研究为由，诱使受害者下载包含恶意软件的文件，或访问由黑客控制的网站上的博客文章。

一些访问了博客文章的受害者称，尽管他们使用的是已完全安装补丁的谷歌 Chrome 浏览器，但计算机仍遭到入侵，这表明黑客可能利用了此前未知的 Chrome 零日漏洞进行攻击；然而，谷歌在报告发布时表示，无法确定具体的入侵方式。

区块链安全平台 Immunefi 发布的一份报告称，Lazarus Group 在 2023 年的加密货币黑客攻击事件中，造成的损失超过 3 亿美元，占当年总损失的 17.6%。

2023 年 6 月 Atomic Wallet 攻击事件：2023 年 6 月，Atomic Wallet 服务的用户被盗走价值超过 1 亿美元的加密货币，联邦调查局随后证实了这一事件。

2023 年 9 月 Stake.com 黑客攻击事件：2023 年 9 月，联邦调查局证实，在线赌场和博彩平台 Stake.com 价值 4100 万美元的加密货币被盗，作案者是 Lazarus Group。

昨晚，一场突如其来的黑天鹅事件「暴击」市场。老牌加密交易所 Bybit 遭遇黑客攻击，近 15 亿美元的资产被盗，其中主要为 ETH，约合 401,347 枚。

消息传出后，比特币应声下跌，一度跌破 95,000 美元关口；本就疲软的以太坊短线暴跌 5% 至 2,615 美元，截至发稿时回升至 2,666 美元的水平。

Bybit 团队反应迅速，CEO Ben Zhou 临危不乱开启直播，向用户承诺平台绝不会关闭提币通道。他表示，即使资金无法完全追回，Bybit 也有能力全额赔付用户损失。

根据 10x Research 统计数据，此次 Bybit 交易所被盗的 14.6 亿美元是加密交易所历史上规模最大的黑客攻击事件，第二大加密盗窃案是 2021 年 Poly Network 的 6.11 亿美元。此外，链上侦探 ZachXBT 已提交确凿证据，确认朝鲜黑客组织 Lazarus Group 是此次攻击的幕后黑手。

黑客地址的动向成为关注焦点。链上数据显示，Bybit 黑客地址目前已成为全球第 14 大 ETH 持有者，持有约 0.42% 的以太坊总供应量，超过了 Fidelity、V 神 (Vitalik Buterin)，甚至是以太坊基金会持有量的 2 倍以上。

展望未来，网络安全领域将面临越来越严峻的挑战。Lazarus Group 的活动及其不断进化的攻击手段提醒我们，全球网络安全必须保持高度警觉和灵活应对。未来，各国需携手合作，共享情报资源，以应对跨国网络犯罪。

此外，政府和企业需投资先进的安全技术，加强网络防御体系，预防潜在威胁。建立完善的应急预案，确保在网络攻击发生时，能迅速有效地应对和恢复。这些措施不仅能提升网络防御能力，也能减少因人为因素导致的安全漏洞。普及网络安全知识，提高民众的防范意识，是构建安全网络环境的基础之一。在法律层面，制定并实施强有力的法律法规，对网络犯罪进行严厉打击，震慑潜在攻击者，是必要之举。

只有通过这些综合措施，我们才能在未来构建一个更加安全、稳定的网络环境，为全球数字化发展保驾护航。同时，随着技术不断进步和创新的加速，我们也有望看到更多前沿技术的应用，使网络安全领域不断发展。