编辑“拉撒路集团（Lazarus Group）”（章节）

== 攻击事件 ==
=== 2009年：特洛伊行动 ===
拉撒路组织的首次重大黑客事件发生在2009年7月4日，标志着“特洛伊行动”的开始。这次攻击利用了Mydoom和Dozer恶意软件，发起了一场大规模但相对简单的分布式拒绝服务攻击，目标是美国和韩国的网站。攻击波及约三十个网站，并在主引导记录中插入了“独立日的记忆”字样。

=== 2013年韩国网络攻击（Operation 1Mission/ DarkSeoul） ===
随着时间的推移，拉撒路集团的攻击手段变得更加复杂；他们的技术和工具得到了更好的发展，且变得更加有效。2011年3月，名为“十天暴雨”（Ten Days of Rain）的攻击针对了韩国的媒体、金融和关键基础设施，采用了更加复杂的分布式拒绝服务攻击，这些攻击源自韩国境内被攻陷的计算机。2013年3月20日，拉撒路集团再次发动了“DarkSeoul”攻击，这是一种擦除型攻击，目标是三家韩国广播公司、金融机构和一个互联网服务提供商。当时，两个名为“NewRomanic Cyber Army Team”和“WhoIs Team”的黑客组织宣称对此次攻击负责，但研究人员当时并未知道是拉撒路集团所为。如今，研究人员已将拉撒路集团认定为背后发动破坏性攻击的超级组织<ref>[https://www.wired.com/2016/02/sony-hackers-causing-mayhem-years-hit-company/#slide-3 The Sony Hackers Were Causing Mayhem Years Before They Hit the Company] | WIRED</ref>。

=== 2014年末：索尼影业攻击 ===
2014年11月24日，Reddit上出现了一篇帖子，称索尼影业遭受了不明的、大规模的网络攻击，攻击者通过网络钓鱼和恶意软件侵入了公司的内部网络。攻击者不仅窃取了大量敏感数据，还泄露了公司内部文件、员工信息和未公开的电影剧本。一位自称是该组织成员的人在接受采访时表示，他们窃取索尼数据已有一年多时间。此外，黑客还威胁要对即将上映的电影《采访》进行恐怖袭击，导致影院拒绝放映该片<ref>[https://www.wired.com/2014/12/sony-hack-what-we-know/ Sony Got Hacked Hard: What We Know and Don't Know So Far] | WIRED</ref>。

美国政府指责朝鲜政府支持这次攻击，尽管朝鲜官方否认了相关指控。该事件被认为是拉撒路集团第一次大规模且公开的行动，其背后的动机据信与朝鲜政府对电影内容的不满有关，电影内容讽刺朝鲜领导人金正恩。

=== 2016年：孟加拉国银行黑客入侵案 ===
孟加拉国银行网络盗窃案发生在2016年2月。黑客通过SWIFT网络发出了35条伪造指令，试图从孟加拉国中央银行——孟加拉国银行——在纽约联邦储备银行的账户中非法转移接近10亿美元。其中5条指令成功转账了1.01亿美元，分别将2000万美元转账至斯里兰卡，8100万美元转账至菲律宾。纽约联邦储备银行由于怀疑指令中的拼写错误，阻止了剩余的30笔交易，金额达到8.5亿美元。网络安全专家称，来自朝鲜的拉撒路集团是此次攻击的幕后黑手<ref>[https://www.thedailystar.net/business/banking/cybercriminal-lazarus-group-hacked-bangladesh-bank-1393522 Cybercriminal Lazarus group hacked Bangladesh Bank] | The Daily Star</ref>。

=== 2017年：WannaCry勒索病毒 ===
WannaCry攻击是一场大规模的勒索软件网络攻击，发生在2017年5月12日，波及全球多个机构，从英国的NHS（国家医疗服务体系）、波音公司，到中国的大学等。此次攻击持续了7小时19分钟。欧洲刑警组织估计，WannaCry影响了150个国家的近20万台计算机，影响了医疗、教育、银行等多个行业，导致了巨大的经济损失。

这是加密蠕虫（cryptoworm）攻击的首次大规模应用之一。加密蠕虫是一类能够通过网络在计算机之间传播的恶意软件，不需要用户的直接操作就能感染计算机——在此次攻击中，漏洞利用的是TCP端口445。要感染计算机，用户不需要点击恶意链接——恶意软件能够自主传播，从一台计算机传播到连接的打印机，再进一步传播到相邻的计算机，甚至可能通过WiFi传播。端口445的漏洞使得恶意软件能够在内部网络中自由传播，迅速感染成千上万台计算机。WannaCry攻击是加密蠕虫首次大规模应用的标志之一<ref>[https://www.computerworld.com/article/1671286/cryptoworms-the-future-of-ransomware-hell.html Cryptoworms: The future of ransomware hell] – Computerworld</ref>。

==== 攻击 ====
该病毒利用了Windows操作系统中的一个漏洞，然后加密计算机的数据，要求支付大约300美元的比特币以获取解密密钥。为了鼓励支付，赎金要求在三天后翻倍，如果在一周内未支付，恶意软件将删除加密的数据文件。该恶意软件使用了微软制作的名为Windows Crypto的合法软件来加密文件。一旦加密完成，文件名后会附加“Wincry”，这也是WannaCry名称的由来。Wincry是加密的基础，但恶意软件还利用了两个额外的漏洞，即EternalBlue和DoublePulsar，使其成为一种加密蠕虫。EternalBlue自动通过网络传播病毒，而DoublePulsar则触发它在受害者的计算机上激活。换句话说，EternalBlue将感染链接发送到你的计算机，而DoublePulsar则帮你点击了链接。

轻易的终止开关和缺乏收入使很多人相信这次攻击是国家支持的；其动机不是经济补偿，而只是为了制造混乱。攻击发生后，安全专家将''DoublePulsar''漏洞追溯到美国国家安全局，该漏洞在那里被开发成网络武器。该漏洞随后被黑客组织Shadow Brokers窃取，他们先是试图拍卖它，但没有成功，然后干脆免费赠送。美国国家安全局随后向微软披露了这一漏洞，微软在2017年3月14日发布了更新，这距离攻击发生不到一个月。但这还不够。更新不是强制性的，大多数存在漏洞的计算机在5月12日之前都没有解决问题，这导致了这次攻击惊人的有效性。

美国司法部和英国当局后来将WannaCry攻击归咎于朝鲜黑客团伙拉撒路集团<ref>Office of Public Affairs | [https://www.justice.gov/archives/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and North Korean Regime-Backed Programmer Charged With Conspiracy to Conduct Multiple Cyber Attacks and Intrusions] | United States Department of Justice</ref>。

=== 2017年加密货币攻击 ===
2018年，Recorded Future发布了一份报告，将拉撒路集团与针对加密货币比特币和门罗币用户的攻击联系起来，主要发生在韩国。这些攻击被报告为在技术上与之前使用WannaCry勒索病毒的攻击以及索尼影业遭遇的攻击相似。拉撒路黑客使用的一种攻击手段是利用韩国汉字处理软件Hancom Hangul中的漏洞。另一种手段是通过钓鱼邮件传播恶意软件，这些邮件被发送给韩国学生以及像Coinlink这样的加密货币交易所用户。如果用户打开了恶意软件，它会自动窃取电子邮件地址和密码。Coinlink否认其网站或用户的电子邮件和密码被黑客攻击。报告总结称：“2017年底的这次攻击活动是朝鲜对加密货币兴趣的延续，现已知这种兴趣涵盖了包括挖矿、勒索软件和直接盗窃在内的广泛活动……”报告还指出，朝鲜正在利用这些加密货币攻击以规避国际金融制裁。

2017年2月，朝鲜黑客从韩国交易所Bithumb窃取了700万美元。另一家韩国比特币交易所Youbit在2017年12月申请破产，因为其资产的17%在经历了2017年4月的一次攻击后被黑客盗走。拉撒路集团和朝鲜黑客被指责为这些攻击的幕后黑手。2017年12月，Nicehash，一个加密货币云挖矿市场，损失了超过4500个比特币。调查更新称，该攻击与拉撒路集团有关。

=== 2019年9月攻击 ===
2019年9月中旬，美国发布了一则关于新型恶意软件“ElectricFish”的公开警报。自2019年初以来，朝鲜特工在全球范围内尝试了五次重大网络盗窃，包括从科威特一家机构成功窃取4900万美元。

=== 2020年末制药公司攻击事件 ===
由于持续的COVID-19大流行，拉撒路集团将药品公司作为主要目标。该集团利用定向钓鱼技术，伪装成健康官员并向药品公司员工发送恶意链接。据报道，多个主要的药品组织可能被攻击，但目前唯一确认的是英荷合资的阿斯特拉Zeneca。据路透社报道，受影响的员工范围很广，包括许多涉及COVID-19疫苗研究的人员。目前尚不清楚拉撒路集团在这些攻击中的具体目标是什么。但可能的意图包括：

* 窃取敏感信息以出售获利。
* 实施勒索计划。
* 为外国政权提供COVID-19研究的专有数据访问权限。

阿斯利康对此事件尚未发表评论，专家们认为截至目前没有任何敏感数据被泄露。

=== 针对网络安全研究人员的攻击 ===
2021年1月，Google和微软都公开报告了一个针对网络安全研究人员的攻击事件，微软特别将此攻击归咎于拉撒路集团。黑客在Twitter、GitHub和LinkedIn上创建了多个用户资料，假冒合法的软件漏洞研究人员，并利用这些资料与其他安全研究社区的成员进行互动。黑客接着通过直接联系特定的安全研究人员，提出合作研究的邀请，目的是让受害者下载含有恶意软件的文件，或者访问一个由黑客控制的博客网站。

一些访问该博客的受害者报告称，尽管他们使用的是已完全修补版本的Google Chrome浏览器，但计算机仍然被入侵，这表明黑客可能利用了Chrome的一个未知零日漏洞进行攻击；然而，谷歌表示，在报告发布时，他们未能确认具体的入侵方法。

=== 2022年Horizon Bridge攻击 ===
联邦调查局（FBI）确认，朝鲜恶意网络行动组织拉撒路（也称为APT38）对2022年6月24日报告的Harmony Horizon Bridge价值1亿美元虚拟货币的盗窃事件负责。

==== 2023年加密货币攻击 ====
区块链安全平台Immunefi发布的一份报告称，拉撒路集团在2023年的加密货币黑客事件中造成了超过3亿美元的损失，占当年总损失的17.6%。

==== 2023年6月Atomic Wallet攻击 ====
2023年6月，Atomic Wallet服务的用户被盗超过1亿美元的加密货币，此事后来得到联邦调查局的确认。

==== 2023年9月Stake.com黑客攻击 ====
2023年9月，联邦调查局确认，拉撒路集团对在线赌场和投注平台Stake.com实施了价值4100万美元的加密货币盗窃。

=== 2022年Ronin Network攻击事件 ===
2022年3月，区块链游戏《Axie Infinity》的专用侧链网络Ronin Network遭拉撒路集团入侵，成为加密货币史上规模最大的单次盗窃案。黑客通过LinkedIn平台伪造招聘信息，假扮新加坡某科技公司高管，诱骗Ronin Network母公司Sky Mavis的一名高级工程师打开带有恶意代码的PDF文件。该文件利用微软Office的零日漏洞，在受害者电脑中植入后门程序，进而窃取到网络验证节点的私钥访问权限。由于Ronin Network采用“多签验证”机制（需5/9个验证者签名才能完成交易），黑客通过控制的4个节点，结合此前通过社会工程获取的Axie DAO社区节点临时授权（2021年12月因用户激增开放），伪造了虚假提款请求。整个攻击过程持续6天未被察觉，直至3月23日有用户报告无法提现，团队检查服务器日志才发现异常。

被盗取的17.36万枚以太坊和2550万USDC稳定币（总价值约6.25亿美元）被迅速转入6个独立钱包。区块链分析公司Elliptic追踪发现，黑客通过跨链桥将资产转换为比特币，并利用Wasabi Wallet等混币器进行洗钱。事件导致Axie Infinity日活跃用户数从峰值120万骤降至30万，其代币AXS价格一周内暴跌60%。

2023年8月，美国联邦调查局和国际刑警组织追回约3亿美元资产，但剩余资金至今仍在暗网黑市流转，部分可能会被用于朝鲜核武器研发计划。

=== 美国制裁 ===
2022年4月14日，美国财政部外国资产控制办公室（OFAC）根据《朝鲜制裁条例》第510.214节，将拉撒路集团列入特别指定国民（SDN）名单。

=== 加密货币转移 ===
根据路透社审查的此前未公开的区块链数据，在2023年6月至2024年2月期间，Huione Pay从朝鲜黑客组织拉撒路使用的数字钱包中收到了价值超过15万美元的加密货币。

=== 加密货币交易所黑客攻击 ===
据印度媒体报道，当地一家名为WazirX的加密货币交易所遭到该组织黑客攻击，被盗价值2.349亿美元的加密资产。

2025年2月，位于迪拜的加密货币交易所[[Bybit]]遭到黑客攻击，损失了40万个以太坊，价值15亿美元，成为迄今为止最大的加密货币交易所黑客攻击事件。行业分析师认为拉撒路集团应负主要责任。