以下内容译自维基百科词条「Lazarus Group」正文:
Lazarus Group(也被称为「Guardians」或「Peace or Whois Team」)是一个由数量不明的人员组成的黑客组织,据称受朝鲜政府操控。虽然人们对该组织了解有限,但自 2010 年以来,研究人员已将多起网络攻击归咎于他们。
该组织最初是一个犯罪团伙,如今因其攻击意图、造成的威胁,以及行动时使用的多种手段,已被认定为高级持续性威胁组织。网络安全机构给他们起了不少别称,比如「Hidden Cobra」(美国国土安全部用这个称呼来指代朝鲜政府发起的恶意网络活动),还有「ZINC」或「Diamond Sleet」(微软的叫法)。据该国叛逃者 Kim Kuk-song 称,该组织在朝鲜国内被称为「414 联络办公室」。
Lazarus Group 与朝鲜联系紧密。美国司法部宣称,该组织是朝鲜政府战略的一部分,目的是「破坏全球网络安全…… 并违反制裁规定获取非法收入」。朝鲜通过开展网络行动能获得诸多好处,仅需要维护一个非常精干的小团队就能构成「全球性」的不对称威胁(尤其是针对韩国)。
发展历程
该组织已知最早发动的攻击是 2009 年至 2012 年的「特洛伊行动」。这是一场网络间谍活动,他们利用并不复杂的分布式拒绝服务攻击(DDoS)技术,将位于首尔的韩国政府作为目标。2011 年和 2013 年,他们也发动了攻击。虽然不能确定,但 2007 年针对韩国的一次攻击也有可能是他们所为。该组织的一次著名攻击发生在 2014 年,目标是索尼影视。这次攻击运用了更复杂的技术,也显示出该组织随着时间推移变得越来越成熟。
据报道,2015 年,Lazarus Group 从厄瓜多尔的奥斯特罗银行盗走 1200 万美元,还从越南的先锋银行盗走 100 万美元。他们还将波兰和墨西哥的银行列为目标。2016 年的银行盗窃案中,他们对某银行发动攻击,成功盗走 8100 万美元,这起案件也被认为是该组织所为。2017 年,有报道称 Lazarus Group 从台湾远东国际商业银行盗走 6000 万美元,不过实际被盗金额并不明确,而且大部分资金已追回。
目前尚不清楚该组织的真正幕后黑手是谁,但媒体报道指出,该组织与朝鲜有密切关联。2017 年,卡巴斯基实验室报告称,Lazarus Group 倾向于专注间谍和渗透类网络攻击,而其内部一个被卡巴斯基称为「Bluenoroff」的子组织,则专门从事金融网络攻击。卡巴斯基在全球发现多起攻击事件,并发现 Bluenoroff 与该国存在直接的 IP 地址关联。
不过,卡巴斯基也承认,代码的重复使用可能是一种「假旗行动」,目的是误导调查人员,让朝鲜背黑锅,毕竟全球范围内的「想哭」蠕虫网络攻击就抄袭了美国国家安全局的技术。这种勒索软件利用了美国国家安全局的「永恒之蓝」漏洞,2017 年 4 月,一个名为「影子经纪人」的黑客组织将该漏洞公开。2017 年,Symantec 报告称,「WannaCry」攻击极有可能是 Lazarus Group 所为。
2009 年「特洛伊行动」
Lazarus Group 的首次重大黑客事件发生在 2009 年 7 月 4 日,标志着「特洛伊行动」的开始。这次攻击利用「我的末日」和「推土机」恶意软件,对美国和韩国的网站发起大规模但手法并不复杂的 DDoS 攻击。这波攻击针对约 36 个网站,并在主引导记录(MBR)中植入「独立日纪念」的文字。
2013 年韩国网络攻击(「Operation 1 行动」/「黑暗首尔」行动)
随着时间推移,该组织的攻击手段愈发复杂;他们的技术和工具也更加成熟、有效。2011 年 3 月的「十日雨」攻击,目标是韩国的媒体、金融和关键基础设施,采用了更复杂的 DDoS 攻击,这些攻击源自韩国国内被入侵的计算机。2013 年 3 月 20 日,「黑暗首尔」行动展开,这是一次擦除数据的攻击,目标是韩国的三家广播公司、金融机构和一家互联网服务提供商。当时,另外两个自称「新罗马网络军团」和「WhoIs 团队」的组织宣称对此次攻击负责,但研究人员当时并不知道背后主谋是 Lazarus Group。如今,研究人员知道 Lazarus Group 是这些破坏性攻击的主导者。
2014 年末:索尼影视遭入侵
2014 年 11 月 24 日,Lazarus Group 的攻击达到高潮。当天,Reddit 上出现一篇帖子,称索尼影视被不明手段入侵,攻击者自称「和平卫士」。大量数据被盗取,并在攻击后的几天里逐渐泄露。一名自称是该组织成员的人在接受采访时表示,他们窃取索尼的数据已有一年多时间。
黑客得以访问尚未发行的电影、部分电影剧本、未来电影计划、公司高管薪资信息、电子邮件,以及约 4000 名员工的个人信息。
2016 年初调查:「重磅炸弹行动」
以「重磅炸弹行动」为代号,由 Novetta 牵头的多家安全公司组成联盟,对不同网络安全事件中发现的恶意软件样本进行分析。利用这些数据,该团队分析了黑客的作案手法。他们通过代码复用模式,将 Lazarus Group 与多起攻击关联起来。例如,他们使用了一种在互联网上鲜为人知的加密算法——「卡拉卡斯」密码算法。
2016 年某银行网络盗窃案
2016 年 2 月发生了一起银行盗窃案。安全黑客通过环球银行金融电信协会(SWIFT)网络发出 35 条欺诈指令,试图从某国中央银行在纽约联邦储备银行的账户非法转移近 10 亿美元。35 条欺诈指令中有 5 条成功转移了 1.01 亿美元,其中 2000 万美元流向斯里兰卡,8100 万美元流向菲律宾。纽约联邦储备银行因一条指令拼写错误产生怀疑,阻止了其余 30 笔交易,涉及金额 8.5 亿美元。网络安全专家称,此次攻击的幕后黑手是来自某国的 Lazarus Group。
2017 年 5 月「WannaCry」勒索软件攻击
「WannaCry」攻击是一场大规模的勒索软件网络攻击,2017 年 5 月 12 日,从英国国家医疗服务体系(NHS),到波音公司,甚至中国的一些大学,全球众多机构都受到影响。这次攻击持续了 7 小时 19 分钟。欧洲刑警组织估计,此次攻击影响了 150 个国家的近 20 万台计算机,主要受影响的地区包括俄罗斯、印度、乌克兰和台湾地区。这是最早的加密蠕虫攻击之一。加密蠕虫是一类恶意软件,可通过网络在计算机之间传播,无需用户直接操作即可感染——在这次攻击中,它利用的是 TCP 端口 445。计算机感染该病毒无需点击恶意链接,恶意软件可自动传播,从一台计算机传播到连接的打印机,再传播到附近连接无线网络的其他计算机等。端口 445 的漏洞使得恶意软件能在内部网络中自由传播,迅速感染数千台计算机。「WannaCry」攻击是首次大规模使用加密蠕虫的攻击之一。
攻击方式:该病毒利用了 Windows 操作系统的漏洞,然后加密计算机数据,要求支付约 300 美元价值的比特币来获取解密密钥。为促使受害者付款,三天后赎金翻倍,如果一周内未支付,恶意软件就会删除加密的数据文件。恶意软件使用了微软开发的一款名为「Windows Crypto」的合法软件来加密文件。加密完成后,文件名会加上「Wincry」后缀,这就是「想哭」(WannaCry)名称的由来。「Wincry」是加密的基础,但恶意软件还利用了另外两个漏洞「永恒之蓝」(EternalBlue)和「双脉冲星」(DoublePulsar),使其成为加密蠕虫。「永恒之蓝」可自动通过网络传播病毒,「双脉冲星」则触发病毒在受害者计算机上激活。也就是说,「永恒之蓝」将受感染的链接传播到你的计算机,「双脉冲星」替你点击了它。
安全研究员 Marcus Hutchins 从一家安全研究公司的朋友那里收到该病毒样本后,发现病毒中硬编码了一个「杀毒开关」,从而终止了这次攻击。该恶意软件会定期检查某个特定域名是否已注册,只有在该域名不存在时才会继续进行加密操作。哈钦斯发现了这个检查机制,随后在协调世界时下午 3 点 03 分注册了相关域名。恶意软件立即停止传播并感染新设备。这一情况很值得玩味,也为追踪病毒制作者提供了线索。通常情况下,阻止恶意软件需要黑客和安全专家反复较量数月时间,如此轻易地获胜令人始料未及。这次攻击还有一个不同寻常之处,那就是支付赎金后文件也无法恢复:黑客仅收到 16 万美元赎金,这让很多人认为他们的目的并非钱财。
「杀毒开关」轻易被破解以及赎金收益微薄,让很多人相信这次攻击是由国家支持的;其动机并非经济补偿,而是制造混乱。攻击发生后,安全专家追踪发现,「双脉冲星」漏洞源自美国国家安全局,该漏洞最初是作为一种网络武器开发的。后来,「影子经纪人」黑客组织窃取了这个漏洞,先是试图拍卖,但未能成功,最后干脆免费公开。美国国家安全局随后将该漏洞信息告知微软,微软于 2017 年 3 月 14 日发布了更新,距离攻击发生不到一个月。但这还不够,由于更新并非强制安装,到 5 月 12 日时,大多数存在该漏洞的计算机仍未修复,导致这次攻击造成了惊人的破坏。
后续影响:美国司法部和英国当局后来认定,「WannaCry」攻击是朝鲜黑客组织 Lazarus Group 所为。
2017 年加密货币攻击事件
2018 年,Recorded Future 发布报告称,Lazarus Group 与针对加密货币比特币和门罗币用户的攻击有关,这些攻击主要针对韩国用户。据报道,这些攻击在技术上与此前使用「想哭」勒索软件的攻击以及针对索尼影视的攻击相似。Lazarus Group 黑客使用的手段之一是利用韩国文字处理软件 Hangul(由 Hancom 开发)的漏洞。另一种手段是发送包含恶意软件的鱼叉式网络钓鱼诱饵,目标是韩国学生和 Coinlink 等加密货币交易平台的用户。
如果用户打开恶意软件,其电子邮件地址和密码就会被盗取。Coinlink 否认其网站或用户的电子邮件地址和密码遭到黑客攻击。该报告总结称:「2017 年末的这一系列攻击表明,某国对加密货币的兴趣有增无减,如今我们知道这种兴趣涵盖了包括挖矿、勒索软件攻击和直接盗窃等广泛活动……」报告还指出,某国利用这些加密货币攻击来规避国际金融制裁。
2017 年 2 月,某国黑客从韩国加密货币交易平台 Bithumb 盗走 700 万美元。另一家韩国比特币交易公司 Youbit 在 2017 年 4 月遭受一次攻击后,同年 12 月又因 17% 的资产被盗,不得不申请破产。Lazarus Group 和某国黑客被指是这些攻击的幕后黑手。2017 年 12 月,加密货币云挖矿市场 Nicehash 损失了 4500 多枚比特币。一项调查更新显示,此次攻击与 Lazarus Group 有关。
2019 年 9 月攻击事件
2019 年 9 月中旬,美国发布公开警报,称发现一种名为「ElectricFish」的新型恶意软件。自 2019 年初以来,某国特工在全球范围内实施了 5 起重大网络盗窃,其中包括成功从科威特一家机构盗走 4900 万美元。
2020 年末制药公司攻击事件
由于新冠疫情持续蔓延,制药公司成为 Lazarus Group 的主要目标。Lazarus Group 成员利用鱼叉式网络钓鱼技术,伪装成卫生官员,向制药公司员工发送恶意链接。据信,多家大型制药企业成为攻击目标,但目前已确认的只有英瑞合资的阿斯利康公司。据路透社报道,众多员工成为攻击对象,其中很多人参与了新冠疫苗的研发工作。目前尚不清楚 Lazarus Group 发动这些攻击的目的,但可能包括:窃取敏感信息获利、实施敲诈勒索计划,以及让外国政权获取新冠病毒相关的专有研究成果。阿斯利康尚未对该事件发表评论,专家认为目前尚无敏感数据泄露。
2021 年 1 月针对网络安全研究人员的攻击事件
2021 年 1 月,谷歌和微软均公开报告称,有一群来自某国的黑客通过社会工程学手段,对网络安全研究人员发起攻击,微软明确指出该攻击由 Lazarus Group 实施。
黑客在 Twitter、GitHub 和领英等平台创建多个用户资料,伪装成合法的软件漏洞研究人员,与安全研究社区的其他人发布的帖子和内容互动。然后,他们会直接联系特定的安全研究人员,以合作研究为由,诱使受害者下载包含恶意软件的文件,或访问由黑客控制的网站上的博客文章。
一些访问了博客文章的受害者称,尽管他们使用的是已完全安装补丁的谷歌 Chrome 浏览器,但计算机仍遭到入侵,这表明黑客可能利用了此前未知的 Chrome 零日漏洞进行攻击;然而,谷歌在报告发布时表示,无法确定具体的入侵方式。
2022 年 3 月链游 Axie Infinity 攻击事件
2022 年 3 月,Lazarus Group 被指从 Axie Infinity 游戏使用的 Ronin 网络中窃取了价值 6.2 亿美元的加密货币。联邦调查局表示:「通过调查,我们确认 Lazarus Group 和 APT38(与朝鲜有关联的网络行为者)是此次盗窃的幕后黑手。」
2022 年 6 月 Horizon Bridge 攻击事件
联邦调查局证实,朝鲜恶意网络行为者组织 Lazarus Group(也被称为 APT38)是 2022 年 6 月 24 日报道的从 Harmony 的 Horizon 桥窃取 1 亿美元虚拟货币事件的幕后黑手。
2023 年其他相关加密货币攻击事件
区块链安全平台 Immunefi 发布的一份报告称,Lazarus Group 在 2023 年的加密货币黑客攻击事件中,造成的损失超过 3 亿美元,占当年总损失的 17.6%。
2023 年 6 月 Atomic Wallet 攻击事件:2023 年 6 月,Atomic Wallet 服务的用户被盗走价值超过 1 亿美元的加密货币,联邦调查局随后证实了这一事件。
2023 年 9 月 Stake.com 黑客攻击事件:2023 年 9 月,联邦调查局证实,在线赌场和博彩平台 Stake.com 价值 4100 万美元的加密货币被盗,作案者是 Lazarus Group。
美国制裁措施
2022 年 4 月 14 日,美国财政部海外资产控制办公室(OFAC)根据某国制裁条例第 510.214 条,将 Lazarus Group 列入特别指定国民清单(SDN List)。
2024 年加密货币攻击事件
据印度媒体报道,当地一家名为 WazirX 的加密货币交易所遭到该组织攻击,价值 2.349 亿美元的加密资产被盗。
人员培养
据传言,部分朝鲜黑客会被派往中国沈阳进行专业培训,学习如何将各类恶意软件植入计算机、计算机网络和服务器。在朝鲜内部,金策工业综合大学、金日成综合大学和万景台大学承担相关教育任务,这些大学从全国选拔最优秀的学生,让他们接受为期六年的特殊教育。除大学教育外,「一些最优秀的程序员…… 会被送到万景台大学或 Mirim 学院深造」。
组织分支
Lazarus Group 被认为有两个分支。
·BlueNorOff
BlueNorOff(也被称为 APT38、「星辰千里马」、「BeagleBoyz」、「NICKEL GLADSTONE」)是一个受经济利益驱使的组织,通过伪造环球银行金融电信协会(SWIFT)指令进行非法资金转移。Mandiant 称其为 APT38,Crowdstrike 则称其为「星辰千里马」。
根据美国陆军 2020 年的一份报告,BlueNorOff 约有 1700 名成员,他们专注于长期评估并利用敌方网络漏洞和系统,从事金融网络犯罪活动,为该国政权获取经济利益或控制相关系统。2014 年至 2021 年间,他们的目标包括至少 13 个国家的 16 家机构,这些国家有孟加拉国、智利、印度、墨西哥、巴基斯坦、菲律宾、韩国、台湾地区、土耳其和越南等。据信,这些非法所得被用于该国导弹和核技术的研发。
BlueNorOff 最臭名昭著的攻击是 2016 年的某银行盗窃案,他们试图通过 SWIFT 网络,从某国中央银行在纽约联邦储备银行的账户非法转移近 10 亿美元。部分交易成功完成(2000 万美元流向斯里兰卡,8100 万美元流向菲律宾)后,纽约联邦储备银行因一条指令拼写错误产生怀疑,阻止了其余交易。
与 BlueNorOff 相关的恶意软件包括:「DarkComet」「Mimikatz」「Nestegg」「Macktruck」「想哭」「Whiteout」「Quickcafe」「Rawhide」「Smoothride」「TightVNC」「Sorrybrute」「Keylime」「Snapshot」「Mapmaker」「net.exe」「sysmon」「Bootwreck」「Cleantoad」「Closeshave」「Dyepack」「Hermes」「Twopence」「Electricfish」「Powerratankba」和「Powerspritz」等。
BlueNorOff 常用的手段包括:网络钓鱼、设置后门、利用漏洞攻击、水坑攻击、利用过时且不安全的 Apache Struts 2 版本在系统上执行代码、战略性地入侵网站,以及访问 Linux 服务器等。有报道称,他们有时会与犯罪黑客合作。
· AndAriel
AndAriel,也拼作 Andarial,还有别称:沉默的千里马(Silent Chollima)、黑暗首尔(Dark Seoul)、来福枪(Rifle)以及瓦松尼特(Wassonite),从逻辑上看,其特点是将韩国作为攻击目标。安德里尔的别称「沉默的千里马」源于该组织行事隐秘的特性 [70]。韩国的任何机构都可能受到安德里尔的攻击,目标包括政府部门、国防机构以及各类经济标志性实体。
根据美国陆军 2020 年的一份报告,安德里尔组织约有 1600 名成员,他们的任务是进行侦察、评估网络漏洞,并绘制敌方网络地图以便实施潜在攻击。除韩国外,他们还将其他国家的政府、基础设施和企业列为攻击目标。攻击手段包括:利用 ActiveX 控件、韩国软件漏洞、水坑攻击、鱼叉式网络钓鱼(宏病毒方式)、针对 IT 管理产品(如杀毒软件、项目管理软件)进行攻击,以及通过供应链(安装程序和更新程序)发动攻击。使用的恶意软件有:雅利安(Aryan)、灰鸽子远程控制木马(Gh0st RAT)、Rifdoor、Phandoor 和安达拉特(Andarat)。
相关人员遭起诉情况
2021 年 2 月,美国司法部起诉了朝鲜军事情报机构侦察总局的三名成员——朴晋赫(Park Jin Hyok)、全昌赫(Jon Chang Hyok)和金一朴(Kim Il Park),指控他们参与了 Lazarus Group(Lazarus)的多起黑客攻击活动。朴晋赫早在 2018 年 9 月就已被起诉。这几名嫌疑人目前均未被美国拘押。此外,一名加拿大人和两名中国人也被指控为 Lazarus Group 充当资金转运者和洗钱者。
原文链接