拉撒路集團(Lazarus Group)
拉撒路集團(英語:Lazarus Group),也稱為和平衛士(英語:Guardians of Peace)或Whois Team,是一個由數量不詳的個人組成的黑客組織,據稱由朝鮮政府運營[1]。雖然對該組織知之甚少,但研究人員將自2010年以來的許多網絡攻擊歸因於他們。
該組織因其涉及多個重大網絡攻擊事件而被廣泛關注。最早在2014年曝光,因其涉嫌對索尼影業進行的網絡攻擊而引起國際社會的關注。之後,它被認為是全球最具威脅的網絡攻擊組織之一。
據朝鮮叛逃者金庫克松稱,該組織在朝鮮國內被稱為414聯絡辦公室。 Lazarus集團與朝鮮聯繫緊密。美國司法部聲稱,該組織是朝鮮政府「破壞全球網絡安全……以及違反……制裁獲取非法收入」戰略的一部分。朝鮮通過開展網絡行動獲益,因為一小群操作人員就能構成不對稱威脅,特別是對韓國而言。
| Lazarus Group | |
| 原稱 |
|
|---|---|
| 成立時間 | 約2009 |
| 類型 | 高級長期威脅 |
| 服務地區 | 朝鮮平壤市普通江區域 |
| 方法 | 釣魚式攻擊、零日攻擊、惡意軟體、虛假信息、後門程序和Dropper |
| 官方語言 | 朝鮮語 |
| 隸屬 | 朝鮮人民軍第121局 |
| 上級組織 | 朝鮮人民軍總參謀部偵察總局
朝鮮電腦研究中心 |
| 目標 | 網絡間諜、網絡戰 |
背景
該組織已知的最早攻擊被稱為「特洛伊行動」(Operation Troy),該行動發生在2009年至2012年期間。這是一場網絡間諜活動,利用簡單的分布式拒絕服務(DDoS)攻擊技術,目標是首爾的韓國政府。他們還負責2011年和2013年的攻擊。雖然不確定,但他們也可能是2007年針對韓國的攻擊幕後黑手。該組織最著名的攻擊之一是2014年對索尼影業的攻擊。索尼攻擊使用了更為複雜的技術,突顯了該組織隨著時間的推移變得多麼先進。
該組織據報導在2015年從厄瓜多的奧斯特羅銀行(Banco del Austro)竊取了1200萬美元,並從越南的先鋒股份商業銀行竊取了100萬美元。他們還曾攻擊波蘭和墨西哥的銀行。2016年孟加拉銀行遭黑客入侵,該組織成功竊取了8100萬美元,這次襲擊被歸咎於該組織。2017年,拉撒路組織被報導從台灣的遠東國際銀行竊取了6000萬美元,但實際被盜金額不明確,大部分資金已被追回。
雖然尚不清楚這個組織的幕後真正是誰,但媒體報導暗示該組織與朝鮮有聯繫。卡巴斯基實驗室在2017年報告稱,拉撒路組織傾向於專注於間諜和滲透網絡攻擊,而該組織內部的一個子組(卡巴斯基稱Bluenoroff)則專門從事金融網絡攻擊。卡巴斯基發現了全球範圍內的多次攻擊事件,並找到了Bluenoroff與朝鮮之間的直接聯繫(IP位址)。
然而,卡巴斯基也承認,代碼的重複可能是一個旨在誤導調查人員並將攻擊歸咎於朝鮮的「偽裝旗幟」,因為全球範圍內的WannaCry蠕蟲網絡攻擊也借鑑了美國國家安全局的技術。這種勒索軟體利用了一個名為EternalBlue的NSA漏洞,該漏洞由一個名為Shadow Brokers的黑客組織在2017年4月公開。賽門鐵克(Symantec)在2017年報告稱,「高度可能」是拉撒路組織(Lazarus)在幕後操縱了WannaCry攻擊。
攻擊手法
該組織以多維度複合攻擊模式著稱。其典型攻擊手法包括但不限於以下九種:
| 攻擊手法 | 概述 |
|---|---|
| 社交工程與釣魚攻擊 | 拉撒路集團經常使用社交工程技術來誘使目標用戶點擊惡意連結或下載附件。這些攻擊往往通過精心設計的釣魚郵件傳播,郵件內容看似來自可信的源頭,如銀行、政府機構或企業,目的是誘導受害者打開附件或點擊連結,從而感染系統。 |
| 勒索軟體 | 2017年全球爆發的WannaCry勒索風暴充分展現其技術實力。該組織利用Windows系統SMB協議中的EternalBlue漏洞(MS17-010),通過445埠進行網絡蠕蟲式傳播。區別於傳統勒索軟體,該攻擊具備自主橫向移動能力,造成全球150餘國超過30萬台設備被加密劫持。 |
| 分布式拒絕服務攻擊(DDoS) | 拉撒路集團曾利用DDoS攻擊來打擊目標,尤其是在其早期活動中。2011年,拉撒路集團發動了「十天暴雨」DDoS攻擊,針對了韓國的媒體、金融和關鍵基礎設施,使用了分布式拒絕服務攻擊來造成網站癱瘓。 |
| 數據擦除攻擊(Wiper Attacks) | 2013年,拉撒路集團發動了DarkSeoul攻擊,這是一種擦除型攻擊(Wiper),針對韓國的廣播公司、金融機構和網際網路服務提供商進行數據銷毀。此類攻擊通常會清除目標計算機上的所有數據,使系統無法啟動或恢復。擦除型攻擊的目標是徹底摧毀數據,通常不會要求贖金,而是通過破壞系統來造成混亂。 |
| 惡意軟體和病毒 | 拉撒路集團使用各種定製化的惡意軟體進行攻擊,這些惡意軟體具有高度的隱蔽性和攻擊性。除了勒索軟體和數據擦除工具外,他們還利用了其他類型的惡意軟體,如間諜軟體和後門程序,以便持續訪問目標系統。 |
| 供應鏈攻擊 | 供應鏈攻擊是一種通過破壞第三方供應商的網絡或軟體來攻擊最終目標的手法。拉撒路集團曾通過入侵韓國軟體公司,利用其發布的更新或漏洞來傳播惡意軟體。通過這種方式,黑客能夠以更隱蔽的方式感染更多用戶。 |
| 利用零日漏洞 | 拉撒路集團善於發現並利用零日漏洞進行攻擊。零日漏洞是指那些尚未被修復或公開的系統漏洞。拉撒路集團通過這些漏洞攻擊受害者,並利用它們獲得對目標系統的完全控制。 |
| 金融盜竊 | 拉撒路集團的活動也包括了直接的金融盜竊。通過網絡攻擊,拉撒路集團能夠從銀行帳戶、加密貨幣交易所等平台竊取巨額資金。 |
| 利用加密貨幣進行洗錢 | 拉撒路集團使用加密貨幣進行資金轉移和洗錢,尤其是在進行金融盜竊後。由於加密貨幣具有匿名性,黑客可以輕鬆地洗淨贓款。 |
攻擊事件
2009年:特洛伊行動
拉撒路組織的首次重大黑客事件發生在2009年7月4日,標誌著「特洛伊行動」的開始。這次攻擊利用了Mydoom和Dozer惡意軟體,發起了一場大規模但相對簡單的分布式拒絕服務攻擊,目標是美國和韓國的網站。攻擊波及約三十個網站,並在主引導記錄中插入了「獨立日的記憶」字樣。
2013年韓國網絡攻擊(Operation 1Mission/ DarkSeoul)
隨著時間的推移,拉撒路集團的攻擊手段變得更加複雜;他們的技術和工具得到了更好的發展,且變得更加有效。2011年3月,名為「十天暴雨」(Ten Days of Rain)的攻擊針對了韓國的媒體、金融和關鍵基礎設施,採用了更加複雜的分布式拒絕服務攻擊,這些攻擊源自韓國境內被攻陷的計算機。2013年3月20日,拉撒路集團再次發動了「DarkSeoul」攻擊,這是一種擦除型攻擊,目標是三家韓國廣播公司、金融機構和一個網際網路服務提供商。當時,兩個名為「NewRomanic Cyber Army Team」和「WhoIs Team」的黑客組織宣稱對此次攻擊負責,但研究人員當時並未知道是拉撒路集團所為。如今,研究人員已將拉撒路集團認定為背後發動破壞性攻擊的超級組織。
2014年末:索尼影業攻擊
2014年11月24日,Reddit上出現了一篇帖子,稱索尼影業遭受了不明的、大規模的網絡攻擊,攻擊者通過網絡釣魚和惡意軟體侵入了公司的內部網絡。攻擊者不僅竊取了大量敏感數據,還洩露了公司內部文件、員工信息和未公開的電影劇本。一位自稱是該組織成員的人在接受採訪時表示,他們竊取索尼數據已有一年多時間。此外,黑客還威脅要對即將上映的電影《採訪》進行恐怖襲擊,導致影院拒絕放映該片。
美國政府指責朝鮮政府支持這次攻擊,儘管朝鮮官方否認了相關指控。該事件被認為是拉撒路集團第一次大規模且公開的行動,其背後的動機據信與朝鮮政府對電影內容的不滿有關,電影內容諷刺朝鮮領導人金正恩。
2016年:孟加拉國銀行黑客入侵案
孟加拉國銀行網絡盜竊案發生在2016年2月。黑客通過SWIFT網絡發出了35條偽造指令,試圖從孟加拉國中央銀行——孟加拉國銀行——在紐約聯邦儲備銀行的帳戶中非法轉移接近10億美元。其中5條指令成功轉帳了1.01億美元,分別將2000萬美元轉帳至斯里蘭卡,8100萬美元轉帳至菲律賓。紐約聯邦儲備銀行由於懷疑指令中的拼寫錯誤,阻止了剩餘的30筆交易,金額達到8.5億美元。網絡安全專家稱,來自朝鮮的拉撒路集團是此次攻擊的幕後黑手。
2017年:WannaCry勒索病毒
WannaCry攻擊是一場大規模的勒索軟體網絡攻擊,發生在2017年5月12日,波及全球多個機構,從英國的NHS(國家醫療服務體系)、波音公司,到中國的大學等。此次攻擊持續了7小時19分鐘。歐洲刑警組織估計,WannaCry影響了150個國家的近20萬台計算機,影響了醫療、教育、銀行等多個行業,導致了巨大的經濟損失。
這是加密蠕蟲(cryptoworm)攻擊的首次大規模應用之一。加密蠕蟲是一類能夠通過網絡在計算機之間傳播的惡意軟體,不需要用戶的直接操作就能感染計算機——在此次攻擊中,漏洞利用的是TCP埠445。要感染計算機,用戶不需要點擊惡意連結——惡意軟體能夠自主傳播,從一台計算機傳播到連接的印表機,再進一步傳播到相鄰的計算機,甚至可能通過WiFi傳播。埠445的漏洞使得惡意軟體能夠在內部網絡中自由傳播,迅速感染成千上萬台計算機。WannaCry攻擊是加密蠕蟲首次大規模應用的標誌之一。
攻擊
該病毒利用了Windows作業系統中的一個漏洞,然後加密計算機的數據,要求支付大約300美元的比特幣以獲取解密密鑰。為了鼓勵支付,贖金要求在三天後翻倍,如果在一周內未支付,惡意軟體將刪除加密的數據文件。該惡意軟體使用了微軟製作的名為Windows Crypto的合法軟體來加密文件。一旦加密完成,文件名後會附加「Wincry」,這也是WannaCry名稱的由來。Wincry是加密的基礎,但惡意軟體還利用了兩個額外的漏洞,即EternalBlue和DoublePulsar,使其成為一種加密蠕蟲。EternalBlue自動通過網絡傳播病毒,而DoublePulsar則觸發它在受害者的計算機上激活。換句話說,EternalBlue將感染連結發送到你的計算機,而DoublePulsar則幫你點擊了連結。
輕易的終止開關和缺乏收入使很多人相信這次攻擊是國家支持的;其動機不是經濟補償,而只是為了製造混亂。攻擊發生後,安全專家將DoublePulsar漏洞追溯到美國國家安全局,該漏洞在那裡被開發成網絡武器。該漏洞隨後被黑客組織Shadow Brokers竊取,他們先是試圖拍賣它,但沒有成功,然後乾脆免費贈送。美國國家安全局隨後向微軟披露了這一漏洞,微軟在2017年3月14日發布了更新,這距離攻擊發生不到一個月。但這還不夠。更新不是強制性的,大多數存在漏洞的計算機在5月12日之前都沒有解決問題,這導致了這次攻擊驚人的有效性。
美國司法部和英國當局後來將WannaCry攻擊歸咎於朝鮮黑客團伙拉撒路集團。
2017年加密貨幣攻擊
2018年,Recorded Future發布了一份報告,將拉撒路集團與針對加密貨幣比特幣和門羅幣用戶的攻擊聯繫起來,主要發生在韓國。這些攻擊被報告為在技術上與之前使用WannaCry勒索病毒的攻擊以及索尼影業遭遇的攻擊相似。拉撒路黑客使用的一種攻擊手段是利用韓國漢字處理軟體Hancom Hangul中的漏洞。另一種手段是通過釣魚郵件傳播惡意軟體,這些郵件被發送給韓國學生以及像Coinlink這樣的加密貨幣交易所用戶。如果用戶打開了惡意軟體,它會自動竊取電子郵件地址和密碼。Coinlink否認其網站或用戶的電子郵件和密碼被黑客攻擊。報告總結稱:「2017年底的這次攻擊活動是朝鮮對加密貨幣興趣的延續,現已知這種興趣涵蓋了包括挖礦、勒索軟體和直接盜竊在內的廣泛活動……」報告還指出,朝鮮正在利用這些加密貨幣攻擊以規避國際金融制裁。
2017年2月,朝鮮黑客從韓國交易所Bithumb竊取了700萬美元。另一家韓國比特幣交易所Youbit在2017年12月申請破產,因為其資產的17%在經歷了2017年4月的一次攻擊後被黑客盜走。拉撒路集團和朝鮮黑客被指責為這些攻擊的幕後黑手。2017年12月,Nicehash,一個加密貨幣雲挖礦市場,損失了超過4500個比特幣。調查更新稱,該攻擊與拉撒路集團有關。
2019年9月攻擊
2019年9月中旬,美國發布了一則關於新型惡意軟體「ElectricFish」的公開警報。自2019年初以來,朝鮮特工在全球範圍內嘗試了五次重大網絡盜竊,包括從科威特一家機構成功竊取4900萬美元。
2020年末製藥公司攻擊事件
由於持續的COVID-19大流行,拉撒路集團將藥品公司作為主要目標。該集團利用定向釣魚技術,偽裝成健康官員並向藥品公司員工發送惡意連結。據報導,多個主要的藥品組織可能被攻擊,但目前唯一確認的是英荷合資的阿斯特拉Zeneca。據路透社報導,受影響的員工範圍很廣,包括許多涉及COVID-19疫苗研究的人員。目前尚不清楚拉撒路集團在這些攻擊中的具體目標是什麼。但可能的意圖包括:
- 竊取敏感信息以出售獲利。
- 實施勒索計劃。
- 為外國政權提供COVID-19研究的專有數據訪問權限。
阿斯利康對此事件尚未發表評論,專家們認為截至目前沒有任何敏感數據被洩露。
針對網絡安全研究人員的攻擊
2021年1月,Google和微軟都公開報告了一個針對網絡安全研究人員的攻擊事件,微軟特別將此攻擊歸咎於拉撒路集團。黑客在Twitter、GitHub和LinkedIn上創建了多個用戶資料,假冒合法的軟體漏洞研究人員,並利用這些資料與其他安全研究社區的成員進行互動。黑客接著通過直接聯繫特定的安全研究人員,提出合作研究的邀請,目的是讓受害者下載含有惡意軟體的文件,或者訪問一個由黑客控制的博客網站。
一些訪問該博客的受害者報告稱,儘管他們使用的是已完全修補版本的Google Chrome瀏覽器,但計算機仍然被入侵,這表明黑客可能利用了Chrome的一個未知零日漏洞進行攻擊;然而,谷歌表示,在報告發布時,他們未能確認具體的入侵方法。
2022年Horizon Bridge攻擊
聯邦調查局(FBI)確認,朝鮮惡意網絡行動組織拉撒路(也稱為APT38)對2022年6月24日報告的Harmony Horizon Bridge價值1億美元虛擬貨幣的盜竊事件負責。
2023年加密貨幣攻擊
區塊鏈安全平台Immunefi發布的一份報告稱,拉撒路集團在2023年的加密貨幣黑客事件中造成了超過3億美元的損失,占當年總損失的17.6%。
2023年6月Atomic Wallet攻擊
2023年6月,Atomic Wallet服務的用戶被盜超過1億美元的加密貨幣,此事後來得到聯邦調查局的確認。
2023年9月Stake.com黑客攻擊
2023年9月,聯邦調查局確認,拉撒路集團對在線賭場和投注平台Stake.com實施了價值4100萬美元的加密貨幣盜竊。
2022年Ronin Network攻擊事件
2022年3月,區塊鏈遊戲《Axie Infinity》的專用側鏈網絡Ronin Network遭拉撒路集團入侵,成為加密貨幣史上規模最大的單次盜竊案。黑客通過LinkedIn平台偽造招聘信息,假扮新加坡某科技公司高管,誘騙Ronin Network母公司Sky Mavis的一名高級工程師打開帶有惡意代碼的PDF文件。該文件利用微軟Office的零日漏洞,在受害者電腦中植入後門程序,進而竊取到網絡驗證節點的私鑰訪問權限。由於Ronin Network採用「多簽驗證」機制(需5/9個驗證者簽名才能完成交易),黑客通過控制的4個節點,結合此前通過社會工程獲取的Axie DAO社區節點臨時授權(2021年12月因用戶激增開放),偽造了虛假提款請求。整個攻擊過程持續6天未被察覺,直至3月23日有用戶報告無法提現,團隊檢查伺服器日誌才發現異常。
被盜取的17.36萬枚以太坊和2550萬USDC穩定幣(總價值約6.25億美元)被迅速轉入6個獨立錢包。區塊鏈分析公司Elliptic追蹤發現,黑客通過跨鏈橋將資產轉換為比特幣,並利用Wasabi Wallet等混幣器進行洗錢。事件導致Axie Infinity日活躍用戶數從峰值120萬驟降至30萬,其代幣AXS價格一周內暴跌60%。
2023年8月,美國聯邦調查局和國際刑警組織追回約3億美元資產,但剩餘資金至今仍在暗網黑市流轉,部分可能會被用於朝鮮核武器研發計劃。
美國制裁
2022年4月14日,美國財政部外國資產控制辦公室(OFAC)根據《朝鮮制裁條例》第510.214節,將拉撒路集團列入特別指定國民(SDN)名單。
加密貨幣轉移
根據路透社審查的此前未公開的區塊鏈數據,在2023年6月至2024年2月期間,Huione Pay從朝鮮黑客組織拉撒路使用的數字錢包中收到了價值超過15萬美元的加密貨幣。
加密貨幣交易所黑客攻擊
據印度媒體報導,當地一家名為WazirX的加密貨幣交易所遭到該組織黑客攻擊,被盜價值2.349億美元的加密資產。
2025年2月,位於杜拜的加密貨幣交易所Bybit遭到黑客攻擊,損失了40萬個以太坊,價值15億美元,成為迄今為止最大的加密貨幣交易所黑客攻擊事件。行業分析師認為拉撒路集團應負主要責任。
子組織
BlueNorOff
BlueNorOff(也稱:APT38、Stardust Chollima、BeagleBoyz、NICKEL GLADSTONE)是一個以財務為動機的黑客組織,負責通過偽造SWIFT訂單進行非法資金轉移。BlueNorOff也被美國麥迪安網絡安全公司稱為APT38,Crowdstrike稱為Stardust Chollima。
根據美國陸軍2020年的一份報告,Bluenoroff約有1,700名成員從事金融網絡犯罪,他們專注於長期評估並利用敵方網絡漏洞和系統為政權謀取經濟利益或控制該系統。他們的目標是金融機構和加密貨幣交易所,包括2014年至2021年間至少13個國家/地區的16多個組織:孟加拉國、智利、印度、墨西哥、巴基斯坦、菲律賓、韓國、中華民國、土耳其和越南。據信這些收入將用於開發飛彈和核技術。
BlueNorOff最臭名昭著的一次網絡攻擊事件是2016年孟加拉國銀行網絡盜竊案,BlueNorOff試圖利用SWIFT網絡從孟加拉國中央銀行紐約聯邦儲備銀行的帳戶中非法轉移近10億美元。在幾筆交易順利完成之後(2000萬美元追溯到斯里蘭卡,8100萬美元追溯到菲律賓),紐約聯邦儲備銀行因其拼寫錯誤引發懷疑而阻止了剩餘的交易。
與BlueNorOff相關的惡意軟體包括:DarkComet、Mimikatz、Nestegg、Macktruck、WannaCry、Whiteout、Quickcafe、Rawhide、Smoothride、TightVNC、Sorrybrute、Keylime、Snapshot、Mapmaker、net.exe、sysmon、Bootwreck、Cleantoad、Closeshave、Dyepack、Hermes、Twopence、Electricfish、Powerratankba和Powerspritz。
AndAriel
AndAriel(也拼寫為Andarial,另有別名:Silent Chollima、Dark Seoul、Rifle和Wassonite)在其攻擊特點上以針對韓國為主。AndAriel的另一個名稱Silent Chollima源於該子組織的隱秘性質。任何在韓國的組織都可能成為AndAriel的攻擊目標。其目標包括政府、國防以及任何經濟象徵。
根據美國陸軍2020年的一份報告,Andarial擁有約1,600名成員,其任務是偵察、評估網絡漏洞以及繪製敵方網絡地圖以進行潛在攻擊。除了韓國,他們還針對其他政府、基礎設施和企業。攻擊媒介包括:ActiveX、韓國軟體中的漏洞、水坑攻擊、魚叉式網絡釣魚(宏)、IT 管理產品(防病毒軟體、PMS)和供應鏈(安裝程序和更新程序)。使用的惡意軟體包括:Aryan、Gh0st RAT、Rifdoor、Phandoor和Andarat。
反應及應對
微軟EternalBlue全球補丁計劃,從2017年持續更新至2023年5月,開發SMBv3永久禁用工具和內存保護擴展(MPX),使WannaCry變種攻擊成功率下降97%(據卡巴斯基2023報告)。
2020年2月,聯合國安全理事會與歐盟刑警組織依據聯合國1718(2006)號決議對朝鮮光明星銀行等16個實體實施金融制裁,查封6500萬美元非法資金,涉及38個國家的132個銀行帳戶。
2021年2月,美國司法部起訴了朝鮮人民軍總參謀部偵察總局的三名成員,指控他們參與了多起拉撒路集團的黑客攻擊活動:朴振赫(Park Jin Hyok)、全昌赫(Jon Chang Hyok)和金一朴(Kim Il Park)。朴振赫在2018年9月已經被起訴。這些人目前不在美國拘留中。此外,還有一名加拿大人和兩名中國人被指控為拉撒路集團充當了「搬運工」和洗錢人。
2023年11月29日,美國財政部對一家虛擬貨幣混合器Sinbad公司實施制裁,凍結了Sinbad的所有美國資產,總體上禁止美國人與之交易,因虛擬貨幣混合器公司Sinbad處理了同朝鮮有關的拉撒路集團搶劫的價值數百萬美元的虛擬貨幣,包括Axie Infinity和Horizon Bride搶劫的數百萬美元。
參考連結
- ↑ Lazarus Group | InsightIDR Documentation