原標(biāo)題:《Demystifying the North Korean Threat》
作者: samczsun ,Paradigm 研究合伙人
編譯:Bright,bitget交易所
二月的一個(gè)早晨,SEAL 911 群組的燈亮了,我們困惑地看著 Bybit 從他們的冷錢包中取出超過 10 億美元的代幣到一個(gè)全新的地址,然后迅速開始清算超過 2 億美元的 LST。幾分鐘內(nèi),我們從 Bybit 團(tuán)隊(duì)和獨(dú)立分析(多重簽名,之前使用公開驗(yàn)證的 Safe Wallet 實(shí)現(xiàn),現(xiàn)在使用新部署的未經(jīng)驗(yàn)證的合約)確認(rèn),這實(shí)際上不是例行維護(hù)。有人發(fā)動(dòng)了加密貨幣歷史上最大的黑客攻擊,而我們是坐在歷史戲幕的最前排。
雖然團(tuán)隊(duì)的一部分成員(以及更廣泛的偵查社區(qū))開始追蹤資金并向合作交易所發(fā)送通知,但團(tuán)隊(duì)的其他成員正在試圖弄清楚到底發(fā)生了什么,以及是否有其他資金處于危險(xiǎn)之中。幸運(yùn)的是,識(shí)別肇事者很容易。在過去幾年中,只有一個(gè)已知的威脅者成功從加密貨幣交易所竊取了數(shù)十億美元:朝鮮,也稱為 DPRK。
然而,除此之外,我們幾乎沒有什么可用的線索。由于朝鮮黑客的狡猾性格和他們自我隱匿的高超手段,不僅很難確定入侵的根本原因,而且甚至很難知道究竟是朝鮮內(nèi)部的哪個(gè)特定團(tuán)隊(duì)?wèi)?yīng)對此負(fù)責(zé)。我們唯一能依靠的就是現(xiàn)有的情報(bào),這些情報(bào)表明朝鮮確實(shí)喜歡通過社會(huì)工程學(xué)來入侵加密貨幣交易所。因此,我們猜測朝鮮很可能入侵了 Bybit 的多重簽名者,然后部署了一些惡意軟件來干擾簽名過程。
事實(shí)證明,這個(gè)猜測完全是無稽之談。幾天后我們就發(fā)現(xiàn),朝鮮實(shí)際上已經(jīng)破壞了 Safe Wallet 本身的基礎(chǔ)設(shè)施,并部署了專門針對 Bybit 的惡意過載。這種復(fù)雜程度是任何人都未曾考慮或準(zhǔn)備過的,這對市面上的許多安全模型來說是一個(gè)重大挑戰(zhàn)。
朝鮮黑客對我們的行業(yè)構(gòu)成了日益嚴(yán)重的威脅,我們無法擊敗一個(gè)我們不了解或不理解的敵人。關(guān)于朝鮮網(wǎng)絡(luò)行動(dòng)的各個(gè)方面,有大量記錄在案的事件和文章,但很難將它們拼湊在一起。我希望這篇概述能讓人們更全面地了解朝鮮的運(yùn)作方式以及他們的策略和程序,從而讓我們更容易實(shí)施正確的緩解措施。
組織結(jié)構(gòu)
也許需要解決的最大誤解就是如何對朝鮮的大量網(wǎng)絡(luò)活動(dòng)進(jìn)行分類和命名。雖然口語中使用「Lazarus Group」一詞來概括是可以接受的,但在詳細(xì)討論朝鮮的系統(tǒng)性網(wǎng)絡(luò)威脅時(shí),使用更嚴(yán)謹(jǐn)?shù)恼f法會(huì)有所幫助。
首先,了解朝鮮的「組織結(jié)構(gòu)圖」會(huì)有所幫助。朝鮮最高層是朝鮮的執(zhí)政黨(也是唯一的執(zhí)政黨)——朝鮮勞動(dòng)黨 (WPK),朝鮮所有政府機(jī)構(gòu)都受其領(lǐng)導(dǎo)。其中包括朝鮮人民軍 (KPA) 和中央委員會(huì)。人民軍內(nèi)有總參謀部 (GSD),偵察總局 (RGB) 就設(shè)于此。中央委員會(huì)下屬有軍需工業(yè)部 (MID)。
RGB 負(fù)責(zé)幾乎所有朝鮮網(wǎng)絡(luò)戰(zhàn),包括加密貨幣行業(yè)觀察到的幾乎所有朝鮮活動(dòng)。除了臭名昭著的 Lazarus Group,RGB 中出現(xiàn)的其他威脅行為者包括 AppleJeus、APT38、DangerousPassword 和 TraderTraitor。另一方面,MID 負(fù)責(zé)朝鮮的核導(dǎo)彈計(jì)劃,是朝鮮 IT 工作者的主要來源,情報(bào)界將其稱為 Contagious Interview 和 Wagemole。
拉撒路集團(tuán) (Lazarus Group)
拉撒路集團(tuán) (Lazarus Group) 是一個(gè)高度復(fù)雜的黑客組織,網(wǎng)絡(luò)安全專家認(rèn)為,歷史上一些規(guī)模最大、破壞性最強(qiáng)的黑客攻擊都是該組織所為。2016 年,Novetta 在分析索尼影視娛樂 (Sony) 黑客攻擊事件時(shí)首次發(fā)現(xiàn)了 Lazarus Group。
2014 年,索尼正在制作動(dòng)作喜劇片《刺殺金正恩》,其主要情節(jié)點(diǎn)是金正恩遭受羞辱以及隨后的刺殺。可以理解,這并沒有受到朝鮮政權(quán)的歡迎,朝鮮政權(quán)通過入侵索尼網(wǎng)絡(luò)、竊取數(shù) TB 的數(shù)據(jù)、泄露數(shù)百 GB 的機(jī)密或其他敏感信息并刪除原件進(jìn)行了報(bào)復(fù)。正如當(dāng)時(shí)的首席執(zhí)行官邁克爾·林頓所說,「干這種事的人不僅偷走了房子里的所有東西,他們還把房子燒毀了」。最終,索尼在這次攻擊中的調(diào)查和補(bǔ)救費(fèi)用至少為 1500 萬美元,損失可能更多。
隨后在 2016 年,一個(gè)與 Lazarus Group 極為相似的黑客入侵了孟加拉國銀行,意圖竊取近 10 億美元。在一年的時(shí)間里,黑客努力對孟加拉國銀行的員工進(jìn)行社會(huì)工程學(xué)攻擊,最終獲得遠(yuǎn)程訪問權(quán)限并在銀行內(nèi)部網(wǎng)絡(luò)內(nèi)移動(dòng),直至到達(dá)負(fù)責(zé)與 SWIFT 網(wǎng)絡(luò)交互的計(jì)算機(jī)。從那時(shí)起,他們就等待絕佳的攻擊機(jī)會(huì):孟加拉國銀行周四休周末,但紐約聯(lián)邦儲(chǔ)備銀行周五休周末。孟加拉國當(dāng)?shù)貢r(shí)間周四晚上,威脅行為者利用其對 SWIFT 網(wǎng)絡(luò)的訪問權(quán)限向紐約聯(lián)邦儲(chǔ)備銀行發(fā)送了 36 個(gè)單獨(dú)的轉(zhuǎn)賬請求,當(dāng)時(shí)是當(dāng)?shù)貢r(shí)間周四早上。在接下來的 24 小時(shí)內(nèi),紐約聯(lián)邦儲(chǔ)備銀行將這些轉(zhuǎn)賬轉(zhuǎn)發(fā)給菲律賓的黎剎商業(yè)銀行 (RCBC),后者開始采取行動(dòng)。隨后,當(dāng)孟加拉銀行重新開門營業(yè)時(shí),發(fā)現(xiàn)了黑客攻擊事件,他們試圖通知黎剎商業(yè)銀行停止正在進(jìn)行的交易,卻發(fā)現(xiàn)黎剎商業(yè)銀行因?yàn)檗r(nóng)歷新年放假已經(jīng)關(guān)閉。
最后,2017 年,大規(guī)模的 WannaCry 2.0 勒索軟件攻擊摧毀了世界各地的行業(yè),部分原因被歸咎于 Lazarus Group 。據(jù)估計(jì),WannaCry 造成了數(shù)十億美元的損失,它利用了 NSA 最初開發(fā)的 Microsoft Windows 0day,不僅加密了本地設(shè)備,還傳播到其他可訪問的設(shè)備,最終感染了全球數(shù)十萬臺(tái)設(shè)備。幸運(yùn)的是,由于安全研究員 Marcus Hutchins 在八小時(shí)內(nèi)發(fā)現(xiàn)并激活了終止開關(guān),最終損失被限制在了一定范圍內(nèi)。
縱觀 Lazarus Group 的發(fā)展歷程,他們展現(xiàn)出了極高的技術(shù)能力和執(zhí)行力,而他們的目標(biāo)之一就是為朝鮮政權(quán)創(chuàng)造收入。因此,他們將注意力轉(zhuǎn)向加密貨幣行業(yè)只是時(shí)間問題。
衍生
隨著時(shí)間的推移,隨著 Lazarus Group 成為媒體描述朝鮮網(wǎng)絡(luò)活動(dòng)時(shí)喜歡使用的統(tǒng)稱,網(wǎng)絡(luò)安全行業(yè)為 Lazarus Group 和朝鮮的具體活動(dòng)創(chuàng)造了更精確的名稱。APT38 就是一個(gè)例子,它于 2016 年左右從 Lazarus Group 分離出來,專注于金融犯罪,首先針對銀行(如孟加拉國銀行),然后是加密貨幣。后來在 2018 年,一種名為 AppleJeus 的新威脅被發(fā)現(xiàn)正在傳播針對加密貨幣用戶的惡意軟件。最后,早在 2018 年,當(dāng) OFAC 首次宣布對朝鮮人使用的兩家幌子公司實(shí)施制裁時(shí),冒充 IT 工作者的朝鮮人就已經(jīng)滲透到科技行業(yè)。
朝鮮 IT 工作者
盡管最早有記錄顯示提到朝鮮 IT 工作者來自 2018 年 OFAC 制裁,但 Unit 42 的 2023 年報(bào)告進(jìn)行了更詳細(xì)的說明,并確定了兩個(gè)不同的威脅行為者:Contagious Interview 和 Wagemole 。
據(jù)悉,Contagious Interview 會(huì)冒充知名公司的招聘人員,誘騙開發(fā)人員參與虛假的面試流程。隨后,潛在候選人被指示克隆一個(gè)存儲(chǔ)庫進(jìn)行本地調(diào)試,表面上是作為編碼挑戰(zhàn),但實(shí)際上該存儲(chǔ)庫包含一個(gè)后門,執(zhí)行后門會(huì)將受影響機(jī)器的控制權(quán)交給攻擊者。該活動(dòng)一直在進(jìn)行中,最近一次記錄是在 2024 年 8 月 11 日。
另一方面,Wagemole 特工的主要目標(biāo)不是雇傭潛在受害者,而是被公司雇傭,在那里他們只是像普通工程師一樣工作,盡管效率可能不高。話雖如此,有記錄顯示 IT 工作者利用他們的訪問權(quán)限進(jìn)行攻擊,例如在 Munchables 事件中,一名與朝鮮活動(dòng)有關(guān)聯(lián)的員工利用他們對智能合約的特權(quán)訪問權(quán)限竊取了所有資產(chǎn)。
Wagemole 特工的復(fù)雜程度各不相同,從千篇一律的簡歷模板和不愿參加視頻通話,到高度定制的簡歷、深度偽造的視頻面試以及駕駛執(zhí)照和水電費(fèi)賬單等身份證明文件。在某些情況下,特工在受害組織中潛伏長達(dá)一年,然后利用他們的訪問權(quán)限入侵其他系統(tǒng)和 / 或完全套現(xiàn)。
蘋果耶穌(AppleJeus)
AppleJeus 主要專注于傳播惡意軟件,擅長進(jìn)行復(fù)雜的供應(yīng)鏈攻擊。2023 年,3CX 供應(yīng)鏈攻擊使攻擊者有可能感染 3CX VoIP 軟件的 12 1200 多萬用戶,但后來發(fā)現(xiàn) 3CX 本身也受到了影響其上游供應(yīng)商之一 Trading Technologies 13 的供應(yīng)鏈攻擊的攻擊。
在加密貨幣行業(yè),AppleJeus 最初通過分發(fā)包裝成合法軟件(例如交易軟件或加密貨幣錢包)的惡意軟件。然而,隨著時(shí)間的推移,他們的策略發(fā)生了變化。2024 年 10 月,Radiant Capital 被一名冒充可信承包商的威脅行為者通過 Telegram 發(fā)送的惡意軟件攻陷,Mandiant 將其歸咎于 AppleJeus 。
危險(xiǎn)密碼(Dangerous Password)
Dangerous Password 負(fù)責(zé)對加密貨幣行業(yè)進(jìn)行低復(fù)雜度的基于社會(huì)工程學(xué)的攻擊。早在 2019 年,JPCERT/CC 就記錄了 Dangerous Password 會(huì)發(fā)送帶有誘人附件的釣魚電子郵件供用戶下載。前幾年,Dangerous Password 負(fù)責(zé)冒充行業(yè)知名人士發(fā)送釣魚電子郵件,主題為「穩(wěn)定幣和加密資產(chǎn)風(fēng)險(xiǎn)巨大」。
如今,Dangerous Password 仍在發(fā)送釣魚郵件,但也已擴(kuò)展到其他平臺(tái)。例如,Radiant Capital 報(bào)告稱,他們通過 Telegram 收到一條釣魚消息,該消息來自冒充安全研究人員的人,該人分發(fā)了一個(gè)名為「Penpie_Hacking_Analysis_Report.zip」的文件。此外,用戶報(bào)告稱,有人冒充記者和投資者聯(lián)系他們,要求使用一個(gè)不起眼的視頻會(huì)議應(yīng)用安排通話。與 Zoom 一樣,這些應(yīng)用程序會(huì)下載一次性安裝程序,但運(yùn)行時(shí)會(huì)將惡意軟件安裝在設(shè)備上。
交易者叛徒(TraderTraitor)
TraderTraitor 是針對加密貨幣行業(yè)最老練的朝鮮黑客,并對 Axie Infinity 和 Rain.com 等發(fā)起了黑客攻擊。TraderTraitor 幾乎只針對擁有大量儲(chǔ)備的交易所和其他公司,并且不會(huì)對其目標(biāo)部署零日漏洞,而是使用高度復(fù)雜的魚叉式網(wǎng)絡(luò)釣魚技術(shù)對受害者進(jìn)行攻擊。在 Axie Infinity 黑客攻擊案例中,TraderTraitor 通過 LinkedIn 聯(lián)系了一位高級(jí)工程師,并成功說服他們接受一系列面試,然后發(fā)送了一份「提議」,從而投遞了惡意軟件。然后,在 WazirX 黑客攻擊中,TraderTraitor 特工破壞了簽名管道中一個(gè)尚未確定的組件,然后通過反復(fù)存款和取款耗盡交易所的熱錢包,導(dǎo)致 WazirX 工程師進(jìn)行從冷錢包到熱錢包的重新平衡。當(dāng) WazirX 工程師試圖簽署交易以轉(zhuǎn)移資金時(shí),他們卻被誘騙簽署了一項(xiàng)交易,將冷錢包的控制權(quán)移交給 TraderTraitor。這與 2025 年 2 月針對 Bybit 的攻擊非常相似,當(dāng)時(shí) TraderTraitor 首先通過社會(huì)工程攻擊破壞了 Safe{Wallet} 基礎(chǔ)設(shè)施,然后將惡意 JavaScript 部署到專門針對 Bybit 冷錢包的 Safe Wallet 前端。當(dāng) Bybit 去重新平衡他們的錢包時(shí),惡意代碼被激活,反而導(dǎo)致 Bybit 工程師簽署一項(xiàng)交易,將冷錢包的控制權(quán)移交給 TraderTraitor。
保持安全
朝鮮已經(jīng)展示了對付對手部署零日漏洞的能力,但目前還沒有朝鮮對加密貨幣行業(yè)部署零日漏洞的記錄或已知事件。因此,對于幾乎所有朝鮮黑客的威脅來說,典型的安全建議都適用。
對于個(gè)人來說,要運(yùn)用常識(shí),警惕社交工程手段。例如,如果有人聲稱擁有一些高度機(jī)密的信息,并愿意與您分享,請謹(jǐn)慎行事。或者,如果有人對您施加時(shí)間壓力,要求您下載并運(yùn)行某些軟件,請考慮他們是否試圖讓您陷入無法進(jìn)行邏輯思考的境地。
對于組織而言,盡可能應(yīng)用最小特權(quán)原則。盡量減少有權(quán)訪問敏感系統(tǒng)的人數(shù),并確保他們使用密碼管理器和 2FA。保持個(gè)人設(shè)備和工作設(shè)備分開,并在工作設(shè)備上安裝移動(dòng)設(shè)備管理 (MDM) 和端點(diǎn)檢測與響應(yīng) (EDR) 軟件,以確保黑客入侵前的安全性和黑客入侵后的可見性。
不幸的是,對于大型交易所或其他高價(jià)值目標(biāo),TraderTraitor 即使不需要零日漏洞也能超出預(yù)期的進(jìn)行破壞。因此,必須采取額外的預(yù)防措施,確保不存在單點(diǎn)故障,以免一次入侵就導(dǎo)致資金全部損失。
然而,即使一切都失敗了,仍然還有希望。聯(lián)邦調(diào)查局有一個(gè)專門跟蹤和防止朝鮮入侵的部門,多年來一直在進(jìn)行受害者通知,最近我很高興能幫助該部門的特工與潛在的朝鮮目標(biāo)建立聯(lián)系。因此,為了做好最壞的準(zhǔn)備,請確保您有公開的聯(lián)系信息,或者您與生態(tài)系統(tǒng)中的足夠多的人有聯(lián)系(例如 SEAL 911),這樣穿越社交圖譜的消息就能以最快速度到達(dá)您手中。
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時(shí)間聯(lián)系我們修改或刪除,多謝。
