揭秘北韩骇客军团拉撒路Lazarus：键盘背后的Web3最大抢劫案！

来源：互联网更新时间：2025-02-26 00:00:00 小编：佚名

北京时间 2 月 21 日晚 23:20，Bybit 被骇客窃取价值约 15 亿美元链上资产，事件发生后 4 小时，链上侦探 ZachXBT 提交了确凿证据，证实此次针对 Bybit 的攻击由朝鲜骇客组织 Lazarus Group 实施。这个臭名昭著的骇客团队又在加密乃至整个金融市场的历史上留下了浓重的一笔。本文源自维基百科，由 Foresight News 整理、编译及撰稿。
（前情提要：Bybit 悬赏 10% 追回失窃资金、混币器 eXch 拒绝拦截被盗资产惹议）

以下内容译自维基百科词条「Lazarus Group」正文：

Lazarus Group（也被称为「Guardians」或「Peace or Whois Team」）是一个由数量不明的人员组成的骇客组织，据称受朝鲜政府操控。虽然人们对该组织了解有限，但自2010年以来，研究人员已将多起网路攻击归咎于他们。

该组织最初是一个犯罪团伙，如今因其攻击意图、造成的威胁，以及行动时使用的多种手段，已被认定为高阶持续性威胁组织。网路安全机构给他们起了不少别称，比如「Hidden Cobra」（美国国土安全部用这个称呼来指代朝鲜政府发起的恶意网路活动），还有「ZINC」或「Diamond Sleet」（微软的叫法）。据该国叛逃者 Kim Kuk-song 称，该组织在朝鲜国内被称为「414联络办公室」。

Lazarus Group 与朝鲜联络紧密。美国司法部宣称，该组织是朝鲜政府战略的一部分，目的是「破坏全球网路安全…… 并违反制裁规定获取非法收入」。朝鲜通过开展网路行动能获得诸多好处，仅需要维护一个非常精干的小团队就能构成「全球性」的不对称威胁（尤其是针对韩国）。

发展历程

该组织已知最早发动的攻击是 2009 年至 2012 年的「特洛伊行动」。这是一场网路间谍活动，他们利用并不复杂的分散式拒绝服务攻击（DDoS）技术，将位于首尔的韩国政府作为目标。2011 年和 2013 年，他们也发动了攻击。虽然不能确定，但 2007 年针对韩国的一次攻击也有可能是他们所为。该组织的一次著名攻击发生在 2014 年，目标是索尼影视。这次攻击运用了更复杂的技术，也显示出该组织随著时间推移变得越来越成熟。

据报导，2015年，Lazarus Group 从厄瓜多的奥斯特罗银行盗走1200万美元，还从越南的先锋银行盗走100万美元。他们还将波兰和墨西哥的银行列为目标。2016年的银行盗窃案中，他们对某银行发动攻击，成功盗走8100万美元，这起案件也被认为是该组织所为。2017年，有报导称 Lazarus Group 从台湾远东国际商业银行盗走6000万美元，不过实际被盗金额并不明确，而且大部分资金已追回。

目前尚不清楚该组织的真正幕后黑手是谁，但媒体报导指出，该组织与朝鲜有密切关联。2017年，卡巴斯基实验室报告称，Lazarus Group 倾向于专注间谍和渗透类网路攻击，而其内部一个被卡巴斯基称为「Bluenoroff」的子组织，则专门从事金融网路攻击。卡巴斯基在全球发现多起攻击事件，并发现Bluenoroff与该国存在直接的IP地址关联。

不过，卡巴斯基也承认，程式码的重复使用可能是一种「假旗行动」，目的是误导调查人员，让朝鲜背黑锅，毕竟全球范围内的「想哭」蠕虫网路攻击就抄袭了美国国家安全域性的技术。这种勒索软体利用了美国国家安全域性的「永恒之蓝」漏洞，2017年4月，一个名为「影子经纪人」的骇客组织将该漏洞公开。2017年，Symantec 报告称，「WannaCry」攻击极有可能是 Lazarus Group 所为。

2009年「特洛伊行动」

Lazarus Group 的首次重大骇客事件发生在2009年7月4日，标志著「特洛伊行动」的开始。这次攻击利用「我的末日」和「推土机」恶意软体，对美国和韩国的网站发起大规模但手法并不复杂的DDoS攻击。这波攻击针对约36个网站，并在主引导记录（MBR）中植入「独立日纪念」的文字。

2013年韩国网路攻击（「Operation 1 行动」/「黑暗首尔」行动）

随著时间推移，该组织的攻击手段愈发复杂；他们的技术和工具也更加成熟、有效。2011年3月的「十日雨」攻击，目标是韩国的媒体、金融和关键基础设施，采用了更复杂的DDoS攻击，这些攻击源自韩国国内被入侵的电脑。2013年3月20日，「黑暗首尔」行动展开，这是一次擦除资料的攻击，目标是韩国的三家广播公司、金融机构和一家网际网路服务提供商。当时，另外两个自称「新罗马网路军团」和「WhoIs团队」的组织宣称对此次攻击负责，但研究人员当时并不知道背后主谋是 Lazarus Group。如今，研究人员知道 Lazarus Group 是这些破坏性攻击的主导者。

2014年末：索尼影视遭入侵

2014年11月24日，Lazarus Group 的攻击达到高潮。当天，Reddit上出现一篇帖子，称索尼影视被不明手段入侵，攻击者自称「和平卫士」。大量资料被盗取，并在攻击后的几天里逐渐泄露。一名自称是该组织成员的人在接受采访时表示，他们窃取索尼的资料已有一年多时间。

骇客得以访问尚未发行的电影、部分电影剧本、未来电影计划、公司高管薪资资讯、电子邮件，以及约4000名员工的个人资讯。

2016年初调查：「重磅炸弹行动」

以「重磅炸弹行动」为代号，由Novetta牵头的多家安全公司组成联盟，对不同网路安全事件中发现的恶意软体样本进行分析。利用这些资料，该团队分析了骇客的作案手法。他们通过程式码复用模式，将 Lazarus Group 与多起攻击关联起来。例如，他们使用了一种在网际网路上鲜为人知的加密演算法——「卡拉卡斯」密码演算法。

2016年某银行网路盗窃案

2016年2月发生了一起银行盗窃案。安全骇客通过环球银行金融电信协会（SWIFT）网路发出35条欺诈指令，试图从某国中央银行在纽约联邦储备银行的帐户非法转移近10亿美元。35条欺诈指令中有5条成功转移了1.01亿美元，其中2000万美元流向斯里兰卡，8100万美元流向菲律宾。纽约联邦储备银行因一条指令拼写错误产生怀疑，阻止了其余30笔交易，涉及金额8.5亿美元。网路安全专家称，此次攻击的幕后黑手是来自某国的 Lazarus Group。

2017年5月「WannaCry」勒索软体攻击

「WannaCry」攻击是一场大规模的勒索软体网路攻击，2017年5月12日，从英国国家医疗服务体系（NHS），到波音公司，甚至中国的一些大学，全球众多机构都受到影响。这次攻击持续了7小时19分钟。欧洲刑警组织估计，此次攻击影响了150个国家的近20万台电脑，主要受影响的地区包括俄罗斯、印度、乌克兰和台湾地区。这是最早的加密蠕虫攻击之一。加密蠕虫是一类恶意软体，可通过网路在电脑之间传播，无需使用者直接操作即可感染 —— 在这次攻击中，它利用的是TCP埠445。电脑感染该病毒无需点选恶意连结，恶意软体可自动传播，从一台电脑传播到连线的印表机，再传播到附近连线无线网路的其他电脑等。埠445的漏洞使得恶意软体能在内部网路中自由传播，迅速感染数千台电脑。「WannaCry」攻击是首次大规模使用加密蠕虫的攻击之一。

攻击方式：该病毒利用了Windows作业系统的漏洞，然后加密电脑资料，要求支付约300美元价值的比特币来获取解密金钥。为促使受害者付款，三天后赎金翻倍，如果一周内未支付，恶意软体就会删除加密的资料档案。恶意软体使用了微软开发的一款名为「Windows Crypto」的合法软体来加密档案。加密完成后，档名会加上「Wincry」字尾，这就是「想哭」（WannaCry）名称的由来。「Wincry」是加密的基础，但恶意软体还利用了另外两个漏洞「永恒之蓝」（EternalBlue）和「双脉冲星」（DoublePulsar），使其成为加密蠕虫。「永恒之蓝」可自动通过网路传播病毒，「双脉冲星」则触发病毒在受害者电脑上启用。也就是说，「永恒之蓝」将受感染的连结传播到你的电脑，「双脉冲星」替你点选了它。

安全研究员 Marcus Hutchins 从一家安全研究公司的朋友那里收到该病毒样本后，发现病毒中硬编码了一个「防毒开关」，从而终止了这次攻击。该恶意软体会定期检查某个特定域名是否已注册，只有在该域名不存在时才会继续进行加密操作。哈钦斯发现了这个检查机制，随后在协调世界时下午3点03分注册了相关域名。恶意软体立即停止传播并感染新装置。这一情况很值得玩味，也为追踪病毒制作者提供了线索。通常情况下，阻止恶意软体需要骇客和安全专家反复较量数月时间，如此轻易地获胜令人始料未及。这次攻击还有一个不同寻常之处，那就是支付赎金后文件也无法恢复：骇客仅收到16万美元赎金，这让很多人认为他们的目的并非钱财。

「防毒开关」轻易被破解以及赎金收益微薄，让很多人相信这次攻击是由国家支援的；其动机并非经济补偿，而是制造混乱。攻击发生后，安全专家追踪发现，「双脉冲星」漏洞源自美国国家安全域性，该漏洞最初是作为一种网路武器开发的。后来，「影子经纪人」骇客组织窃取了这个漏洞，先是试图拍卖，但未能成功，最后干脆免费公开。美国国家安全域性随后将该漏洞资讯告知微软，微软于2017年3月14日释出了更新，距离攻击发生不到一个月。但这还不够，由于更新并非强制安装，到5月12日时，大多数存在该漏洞的电脑仍未修复，导致这次攻击造成了惊人的破坏。

后续影响：美国司法部和英国当局后来认定，「WannaCry」攻击是朝鲜骇客组织 Lazarus Group 所为。

2017年加密货币攻击事件

2018年，Recorded Future释出报告称，Lazarus Group 与针对加密货币比特币和门罗币使用者的攻击有关，这些攻击主要针对韩国使用者。据报导，这些攻击在技术上与此前使用「想哭」勒索软体的攻击以及针对索尼影视的攻击相似。Lazarus Group 骇客使用的手段之一是利用韩国文书处理软体Hangul（由Hancom开发）的漏洞。另一种手段是传送包含恶意软体的鱼叉式网路钓鱼诱饵，目标是韩国学生和Coinlink等加密货币交易平台的使用者。

如果使用者开启恶意软体，其电子邮件地址和密码就会被盗取。Coinlink否认其网站或使用者的电子邮件地址和密码遭到骇客攻击。该报告总结称：「2017年末的这一系列攻击表明，某国对加密货币的兴趣有增无减，如今我们知道这种兴趣涵盖了包括挖矿、勒索软体攻击和直接盗窃等广泛活动……」报告还指出，某国利用这些加密货币攻击来规避国际金融制裁。

2017年2月，某国骇客从韩国加密货币交易平台Bithumb盗走700万美元。另一家韩国比特币交易公司Youbit在2017年4月遭受一次攻击后，同年12月又因17%的资产被盗，不得不申请破产。Lazarus Group 和某国骇客被指是这些攻击的幕后黑手。2017年12月，加密货币云挖矿市场Nicehash损失了4500多枚比特币。一项调查更新显示，此次攻击与 Lazarus Group 有关。

2019年9月攻击事件

2019年9月中旬，美国发布公开警报，称发现一种名为「ElectricFish」的新型恶意软体。自2019年初以来，某国特工在全球范围内实施了5起重大网路盗窃，其中包括成功从科威特一家机构盗走4900万美元。

2020年末制药公司攻击事件

由于新冠疫情持续蔓延，制药公司成为 Lazarus Group 的主要目标。Lazarus Group 成员利用鱼叉式网路钓鱼技术，伪装成卫生官员，向制药公司员工传送恶意连结。据信，多家大型制药企业成为攻击目标，但目前已确认的只有英瑞合资的阿斯利康公司。据路透社报导，众多员工成为攻击物件，其中很多人参与了新冠疫苗的研发工作。目前尚不清楚 Lazarus Group 发动这些攻击的目的，但可能包括：窃取敏感资讯获利、实施敲诈勒索计划，以及让外国政权获取新冠病毒相关的专有研究成果。阿斯利康尚未对该事件发表评论，专家认为目前尚无敏感资料泄露。

2021年1月针对网路安全研究人员的攻击事件

2021年1月，Google和微软均公开报告称，有一群来自某国的骇客通过社会工程学手段，对网路安全研究人员发起攻击，微软明确指出该攻击由 Lazarus Group 实施。

骇客在Twitter、GitHub和领英等平台建立多个使用者资料，伪装成合法的软体漏洞研究人员，与安全研究社群的其他人释出的帖子和内容互动。然后，他们会直接联络特定的安全研究人员，以合作研究为由，诱使受害者下载包含恶意软体的档案，或访问由骇客控制的网站上的部落格文章。

一些访问了部落格文章的受害者称，尽管他们使用的是已完全安装更新的GoogleChrome浏览器，但电脑仍遭到入侵，这表明骇客可能利用了此前未知的Chrome零日漏洞进行攻击；然而，Google在报告发布时表示，无法确定具体的入侵方式。

2022年3月链游Axie Infinity攻击事件

2022年3月，Lazarus Group 被指从Axie Infinity游戏使用的Ronin网路中窃取了价值6.2亿美元的加密货币。联邦调查局表示：「通过调查，我们确认 Lazarus Group 和APT38（与朝鲜有关联的网路行为者）是此次盗窃的幕后黑手。」

2022年6月Horizon Bridge攻击事件

联邦调查局证实，朝鲜恶意网路行为者组织 Lazarus Group（也被称为APT38）是2022年6月24日报导的从Harmony的Horizon桥窃取1亿美元虚拟货币事件的幕后黑手。

2023年其他相关加密货币攻击事件

区块链安全平台Immunefi释出的一份报告称，Lazarus Group 在2023年的加密货币骇客攻击事件中，造成的损失超过3亿美元，占当年总损失的17.6%。

2023年6月Atomic Wallet攻击事件：2023年6月，Atomic Wallet服务的使用者被盗走价值超过1亿美元的加密货币，联邦调查局随后证实了这一事件。

2023年9月 Stake.com 骇客攻击事件：2023年9月，联邦调查局证实，线上赌场和博彩平台 Stake.com 价值4100万美元的加密货币被盗，作案者是 Lazarus Group。

美国制裁措施

2022年4月14日，美国财政部海外资产控制办公室（OFAC）根据某国制裁条例第510.214条，将 Lazarus Group 列入特别指定国民清单（SDN List）。

2024年加密货币攻击事件

据印度媒体报导，当地一家名为WazirX的加密货币交易所遭到该组织攻击，价值2.349亿美元的加密资产被盗。

人员培养

据传言，部分朝鲜骇客会被派往中国沈阳进行专业培训，学习如何将各类恶意软体植入电脑、电脑网路和伺服器。在朝鲜内部，金策工业综合大学、金日成综合大学和万景台大学承担相关教育任务，这些大学从全国选拔最优秀的学生，让他们接受为期六年的特殊教育。除大学教育外，「一些最优秀的程式员…… 会被送到万景台大学或Mirim学院深造」。

组织分支

Lazarus Group 被认为有两个分支。

BlueNorOff

BlueNorOff（也被称为APT38、「星辰千里马」、「BeagleBoyz」、「NICKEL GLADSTONE」）是一个受经济利益驱使的组织，通过伪造环球银行金融电信协会（SWIFT）指令进行非法资金转移。Mandiant称其为APT38，Crowdstrike则称其为「星辰千里马」。

根据美国陆军2020年的一份报告，BlueNorOff约有1700名成员，他们专注于长期评估并利用敌方网路漏洞和系统，从事金融网路犯罪活动，为该国政权获取经济利益或控制相关系统。2014年至2021年间，他们的目标包括至少13个国家的16家机构，这些国家有孟加拉国、智利、印度、墨西哥、巴基斯坦、菲律宾、韩国、台湾地区、土耳其和越南等。据信，这些非法所得被用于该国导弹和核技术的研发。

BlueNorOff最臭名昭著的攻击是2016年的某银行盗窃案，他们试图通过SWIFT网路，从某国中央银行在纽约联邦储备银行的帐户非法转移近10亿美元。部分交易成功完成（2000万美元流向斯里兰卡，8100万美元流向菲律宾）后，纽约联邦储备银行因一条指令拼写错误产生怀疑，阻止了其余交易。

与BlueNorOff相关的恶意软体包括：「DarkComet」「Mimikatz」「Nestegg」「Macktruck」「想哭」「Whiteout」「Quickcafe」「Rawhide」「Smoothride」「TightVNC」「Sorrybrute」「Keylime」「Snapshot」「Mapmaker」「net.exe」「sysmon」「Bootwreck」「Cleantoad」「Closeshave」「Dyepack」「Hermes」「Twopence」「Electricfish」「Powerratankba」和「Powerspritz」等。

BlueNorOff常用的手段包括：网路钓鱼、设定后门、利用漏洞攻击、水坑攻击、利用过时且不安全的Apache Struts 2版本在系统上执行程式码、战略性地入侵网站，以及访问Linux伺服器等。有报导称，他们有时会与犯罪骇客合作。

AndAriel

AndAriel，也拼作Andarial，还有别称：沉默的千里马（Silent Chollima）、黑暗首尔（Dark Seoul）、来福枪（Rifle）以及瓦松尼特（Wassonite），从逻辑上看，其特点是将韩国作为攻击目标。安德里尔的别称「沉默的千里马」源于该组织行事隐秘的特性[70]。韩国的任何机构都可能受到安德里尔的攻击，目标包括政府部门、国防机构以及各类经济标志性实体。

根据美国陆军2020年的一份报告，安德里尔组织约有1600名成员，他们的任务是进行侦察、评估网路漏洞，并绘制敌方网路地图以便实施潜在攻击。除韩国外，他们还将其他国家的政府、基础设施和企业列为攻击目标。攻击手段包括：利用ActiveX控制元件、韩国软体漏洞、水坑攻击、鱼叉式网路钓鱼（巨集病毒方式）、针对IT管理产品（如防毒软体、专案管理软体）进行攻击，以及通过供应链（安装程式和更新程式）发动攻击。使用的恶意软体有：雅利安（Aryan）、灰鸽子远端控制木马（Gh0st RAT）、Rifdoor、Phandoor和安达拉特（Andarat）。