原標題:《Demystifying the North Korean Threat》
作者: samczsun ,Paradigm 研究合伙人
編譯:Bright,bitget交易所
二月的一個早晨,SEAL 911 群組的燈亮了,我們困惑地看著 Bybit 從他們的冷錢包中取出超過 10 億美元的代幣到一個全新的地址,然后迅速開始清算超過 2 億美元的 LST。幾分鐘內(nèi),我們從 Bybit 團隊和獨立分析(多重簽名,之前使用公開驗證的 Safe Wallet 實現(xiàn),現(xiàn)在使用新部署的未經(jīng)驗證的合約)確認,這實際上不是例行維護。有人發(fā)動了加密貨幣歷史上最大的黑客攻擊,而我們是坐在歷史戲幕的最前排。
雖然團隊的一部分成員(以及更廣泛的偵查社區(qū))開始追蹤資金并向合作交易所發(fā)送通知,但團隊的其他成員正在試圖弄清楚到底發(fā)生了什么,以及是否有其他資金處于危險之中。幸運的是,識別肇事者很容易。在過去幾年中,只有一個已知的威脅者成功從加密貨幣交易所竊取了數(shù)十億美元:朝鮮,也稱為 DPRK。
然而,除此之外,我們幾乎沒有什么可用的線索。由于朝鮮黑客的狡猾性格和他們自我隱匿的高超手段,不僅很難確定入侵的根本原因,而且甚至很難知道究竟是朝鮮內(nèi)部的哪個特定團隊應(yīng)對此負責。我們唯一能依靠的就是現(xiàn)有的情報,這些情報表明朝鮮確實喜歡通過社會工程學(xué)來入侵加密貨幣交易所。因此,我們猜測朝鮮很可能入侵了 Bybit 的多重簽名者,然后部署了一些惡意軟件來干擾簽名過程。
事實證明,這個猜測完全是無稽之談。幾天后我們就發(fā)現(xiàn),朝鮮實際上已經(jīng)破壞了 Safe Wallet 本身的基礎(chǔ)設(shè)施,并部署了專門針對 Bybit 的惡意過載。這種復(fù)雜程度是任何人都未曾考慮或準備過的,這對市面上的許多安全模型來說是一個重大挑戰(zhàn)。
朝鮮黑客對我們的行業(yè)構(gòu)成了日益嚴重的威脅,我們無法擊敗一個我們不了解或不理解的敵人。關(guān)于朝鮮網(wǎng)絡(luò)行動的各個方面,有大量記錄在案的事件和文章,但很難將它們拼湊在一起。我希望這篇概述能讓人們更全面地了解朝鮮的運作方式以及他們的策略和程序,從而讓我們更容易實施正確的緩解措施。
組織結(jié)構(gòu)
也許需要解決的最大誤解就是如何對朝鮮的大量網(wǎng)絡(luò)活動進行分類和命名。雖然口語中使用「Lazarus Group」一詞來概括是可以接受的,但在詳細討論朝鮮的系統(tǒng)性網(wǎng)絡(luò)威脅時,使用更嚴謹?shù)恼f法會有所幫助。
首先,了解朝鮮的「組織結(jié)構(gòu)圖」會有所幫助。朝鮮最高層是朝鮮的執(zhí)政黨(也是唯一的執(zhí)政黨)——朝鮮勞動黨 (WPK),朝鮮所有政府機構(gòu)都受其領(lǐng)導(dǎo)。其中包括朝鮮人民軍 (KPA) 和中央委員會。人民軍內(nèi)有總參謀部 (GSD),偵察總局 (RGB) 就設(shè)于此。中央委員會下屬有軍需工業(yè)部 (MID)。
RGB 負責幾乎所有朝鮮網(wǎng)絡(luò)戰(zhàn),包括加密貨幣行業(yè)觀察到的幾乎所有朝鮮活動。除了臭名昭著的 Lazarus Group,RGB 中出現(xiàn)的其他威脅行為者包括 AppleJeus、APT38、DangerousPassword 和 TraderTraitor。另一方面,MID 負責朝鮮的核導(dǎo)彈計劃,是朝鮮 IT 工作者的主要來源,情報界將其稱為 Contagious Interview 和 Wagemole。
拉撒路集團 (Lazarus Group)
拉撒路集團 (Lazarus Group) 是一個高度復(fù)雜的黑客組織,網(wǎng)絡(luò)安全專家認為,歷史上一些規(guī)模最大、破壞性最強的黑客攻擊都是該組織所為。2016 年,Novetta 在分析索尼影視娛樂 (Sony) 黑客攻擊事件時首次發(fā)現(xiàn)了 Lazarus Group。
2014 年,索尼正在制作動作喜劇片《刺殺金正恩》,其主要情節(jié)點是金正恩遭受羞辱以及隨后的刺殺。可以理解,這并沒有受到朝鮮政權(quán)的歡迎,朝鮮政權(quán)通過入侵索尼網(wǎng)絡(luò)、竊取數(shù) TB 的數(shù)據(jù)、泄露數(shù)百 GB 的機密或其他敏感信息并刪除原件進行了報復(fù)。正如當時的首席執(zhí)行官邁克爾·林頓所說,「干這種事的人不僅偷走了房子里的所有東西,他們還把房子燒毀了」。最終,索尼在這次攻擊中的調(diào)查和補救費用至少為 1500 萬美元,損失可能更多。
隨后在 2016 年,一個與 Lazarus Group 極為相似的黑客入侵了孟加拉國銀行,意圖竊取近 10 億美元。在一年的時間里,黑客努力對孟加拉國銀行的員工進行社會工程學(xué)攻擊,最終獲得遠程訪問權(quán)限并在銀行內(nèi)部網(wǎng)絡(luò)內(nèi)移動,直至到達負責與 SWIFT 網(wǎng)絡(luò)交互的計算機。從那時起,他們就等待絕佳的攻擊機會:孟加拉國銀行周四休周末,但紐約聯(lián)邦儲備銀行周五休周末。孟加拉國當?shù)貢r間周四晚上,威脅行為者利用其對 SWIFT 網(wǎng)絡(luò)的訪問權(quán)限向紐約聯(lián)邦儲備銀行發(fā)送了 36 個單獨的轉(zhuǎn)賬請求,當時是當?shù)貢r間周四早上。在接下來的 24 小時內(nèi),紐約聯(lián)邦儲備銀行將這些轉(zhuǎn)賬轉(zhuǎn)發(fā)給菲律賓的黎剎商業(yè)銀行 (RCBC),后者開始采取行動。隨后,當孟加拉銀行重新開門營業(yè)時,發(fā)現(xiàn)了黑客攻擊事件,他們試圖通知黎剎商業(yè)銀行停止正在進行的交易,卻發(fā)現(xiàn)黎剎商業(yè)銀行因為農(nóng)歷新年放假已經(jīng)關(guān)閉。
最后,2017 年,大規(guī)模的 WannaCry 2.0 勒索軟件攻擊摧毀了世界各地的行業(yè),部分原因被歸咎于 Lazarus Group 。據(jù)估計,WannaCry 造成了數(shù)十億美元的損失,它利用了 NSA 最初開發(fā)的 Microsoft Windows 0day,不僅加密了本地設(shè)備,還傳播到其他可訪問的設(shè)備,最終感染了全球數(shù)十萬臺設(shè)備。幸運的是,由于安全研究員 Marcus Hutchins 在八小時內(nèi)發(fā)現(xiàn)并激活了終止開關(guān),最終損失被限制在了一定范圍內(nèi)。
縱觀 Lazarus Group 的發(fā)展歷程,他們展現(xiàn)出了極高的技術(shù)能力和執(zhí)行力,而他們的目標之一就是為朝鮮政權(quán)創(chuàng)造收入。因此,他們將注意力轉(zhuǎn)向加密貨幣行業(yè)只是時間問題。
衍生
隨著時間的推移,隨著 Lazarus Group 成為媒體描述朝鮮網(wǎng)絡(luò)活動時喜歡使用的統(tǒng)稱,網(wǎng)絡(luò)安全行業(yè)為 Lazarus Group 和朝鮮的具體活動創(chuàng)造了更精確的名稱。APT38 就是一個例子,它于 2016 年左右從 Lazarus Group 分離出來,專注于金融犯罪,首先針對銀行(如孟加拉國銀行),然后是加密貨幣。后來在 2018 年,一種名為 AppleJeus 的新威脅被發(fā)現(xiàn)正在傳播針對加密貨幣用戶的惡意軟件。最后,早在 2018 年,當 OFAC 首次宣布對朝鮮人使用的兩家幌子公司實施制裁時,冒充 IT 工作者的朝鮮人就已經(jīng)滲透到科技行業(yè)。
朝鮮 IT 工作者
盡管最早有記錄顯示提到朝鮮 IT 工作者來自 2018 年 OFAC 制裁,但 Unit 42 的 2023 年報告進行了更詳細的說明,并確定了兩個不同的威脅行為者:Contagious Interview 和 Wagemole 。
據(jù)悉,Contagious Interview 會冒充知名公司的招聘人員,誘騙開發(fā)人員參與虛假的面試流程。隨后,潛在候選人被指示克隆一個存儲庫進行本地調(diào)試,表面上是作為編碼挑戰(zhàn),但實際上該存儲庫包含一個后門,執(zhí)行后門會將受影響機器的控制權(quán)交給攻擊者。該活動一直在進行中,最近一次記錄是在 2024 年 8 月 11 日。
另一方面,Wagemole 特工的主要目標不是雇傭潛在受害者,而是被公司雇傭,在那里他們只是像普通工程師一樣工作,盡管效率可能不高。話雖如此,有記錄顯示 IT 工作者利用他們的訪問權(quán)限進行攻擊,例如在 Munchables 事件中,一名與朝鮮活動有關(guān)聯(lián)的員工利用他們對智能合約的特權(quán)訪問權(quán)限竊取了所有資產(chǎn)。
Wagemole 特工的復(fù)雜程度各不相同,從千篇一律的簡歷模板和不愿參加視頻通話,到高度定制的簡歷、深度偽造的視頻面試以及駕駛執(zhí)照和水電費賬單等身份證明文件。在某些情況下,特工在受害組織中潛伏長達一年,然后利用他們的訪問權(quán)限入侵其他系統(tǒng)和 / 或完全套現(xiàn)。
蘋果耶穌(AppleJeus)
AppleJeus 主要專注于傳播惡意軟件,擅長進行復(fù)雜的供應(yīng)鏈攻擊。2023 年,3CX 供應(yīng)鏈攻擊使攻擊者有可能感染 3CX VoIP 軟件的 12 1200 多萬用戶,但后來發(fā)現(xiàn) 3CX 本身也受到了影響其上游供應(yīng)商之一 Trading Technologies 13 的供應(yīng)鏈攻擊的攻擊。
在加密貨幣行業(yè),AppleJeus 最初通過分發(fā)包裝成合法軟件(例如交易軟件或加密貨幣錢包)的惡意軟件。然而,隨著時間的推移,他們的策略發(fā)生了變化。2024 年 10 月,Radiant Capital 被一名冒充可信承包商的威脅行為者通過 Telegram 發(fā)送的惡意軟件攻陷,Mandiant 將其歸咎于 AppleJeus 。
危險密碼(Dangerous Password)
Dangerous Password 負責對加密貨幣行業(yè)進行低復(fù)雜度的基于社會工程學(xué)的攻擊。早在 2019 年,JPCERT/CC 就記錄了 Dangerous Password 會發(fā)送帶有誘人附件的釣魚電子郵件供用戶下載。前幾年,Dangerous Password 負責冒充行業(yè)知名人士發(fā)送釣魚電子郵件,主題為「穩(wěn)定幣和加密資產(chǎn)風險巨大」。
如今,Dangerous Password 仍在發(fā)送釣魚郵件,但也已擴展到其他平臺。例如,Radiant Capital 報告稱,他們通過 Telegram 收到一條釣魚消息,該消息來自冒充安全研究人員的人,該人分發(fā)了一個名為「Penpie_Hacking_Analysis_Report.zip」的文件。此外,用戶報告稱,有人冒充記者和投資者聯(lián)系他們,要求使用一個不起眼的視頻會議應(yīng)用安排通話。與 Zoom 一樣,這些應(yīng)用程序會下載一次性安裝程序,但運行時會將惡意軟件安裝在設(shè)備上。
交易者叛徒(TraderTraitor)
TraderTraitor 是針對加密貨幣行業(yè)最老練的朝鮮黑客,并對 Axie Infinity 和 Rain.com 等發(fā)起了黑客攻擊。TraderTraitor 幾乎只針對擁有大量儲備的交易所和其他公司,并且不會對其目標部署零日漏洞,而是使用高度復(fù)雜的魚叉式網(wǎng)絡(luò)釣魚技術(shù)對受害者進行攻擊。在 Axie Infinity 黑客攻擊案例中,TraderTraitor 通過 LinkedIn 聯(lián)系了一位高級工程師,并成功說服他們接受一系列面試,然后發(fā)送了一份「提議」,從而投遞了惡意軟件。然后,在 WazirX 黑客攻擊中,TraderTraitor 特工破壞了簽名管道中一個尚未確定的組件,然后通過反復(fù)存款和取款耗盡交易所的熱錢包,導(dǎo)致 WazirX 工程師進行從冷錢包到熱錢包的重新平衡。當 WazirX 工程師試圖簽署交易以轉(zhuǎn)移資金時,他們卻被誘騙簽署了一項交易,將冷錢包的控制權(quán)移交給 TraderTraitor。這與 2025 年 2 月針對 Bybit 的攻擊非常相似,當時 TraderTraitor 首先通過社會工程攻擊破壞了 Safe{Wallet} 基礎(chǔ)設(shè)施,然后將惡意 JavaScript 部署到專門針對 Bybit 冷錢包的 Safe Wallet 前端。當 Bybit 去重新平衡他們的錢包時,惡意代碼被激活,反而導(dǎo)致 Bybit 工程師簽署一項交易,將冷錢包的控制權(quán)移交給 TraderTraitor。
保持安全
朝鮮已經(jīng)展示了對付對手部署零日漏洞的能力,但目前還沒有朝鮮對加密貨幣行業(yè)部署零日漏洞的記錄或已知事件。因此,對于幾乎所有朝鮮黑客的威脅來說,典型的安全建議都適用。
對于個人來說,要運用常識,警惕社交工程手段。例如,如果有人聲稱擁有一些高度機密的信息,并愿意與您分享,請謹慎行事。或者,如果有人對您施加時間壓力,要求您下載并運行某些軟件,請考慮他們是否試圖讓您陷入無法進行邏輯思考的境地。
對于組織而言,盡可能應(yīng)用最小特權(quán)原則。盡量減少有權(quán)訪問敏感系統(tǒng)的人數(shù),并確保他們使用密碼管理器和 2FA。保持個人設(shè)備和工作設(shè)備分開,并在工作設(shè)備上安裝移動設(shè)備管理 (MDM) 和端點檢測與響應(yīng) (EDR) 軟件,以確保黑客入侵前的安全性和黑客入侵后的可見性。
不幸的是,對于大型交易所或其他高價值目標,TraderTraitor 即使不需要零日漏洞也能超出預(yù)期的進行破壞。因此,必須采取額外的預(yù)防措施,確保不存在單點故障,以免一次入侵就導(dǎo)致資金全部損失。
然而,即使一切都失敗了,仍然還有希望。聯(lián)邦調(diào)查局有一個專門跟蹤和防止朝鮮入侵的部門,多年來一直在進行受害者通知,最近我很高興能幫助該部門的特工與潛在的朝鮮目標建立聯(lián)系。因此,為了做好最壞的準備,請確保您有公開的聯(lián)系信息,或者您與生態(tài)系統(tǒng)中的足夠多的人有聯(lián)系(例如 SEAL 911),這樣穿越社交圖譜的消息就能以最快速度到達您手中。
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。
