2017 年以来，Lazarus Group 从加密行业攻击中获利至少 10 亿美元。

原文标题：《起底朝鲜黑客组织 Lazarus Group：Ronin、KuCoin 等多起行业事故幕后黑手，擅长社会工程》

黑客攻击如今已然成为加密生态中的常态化事件，据 Chainalysis 2022 年 Q1 报告显示，黑客在 2021 年盗取价值 32 亿美元的加密资产，但在 2022 年前三个月，黑客从交易所、DeFi 协议和普通用户盗取约 13 亿美元加密资产，其中 97% 来自 DeFi 协议。

而在一众黑客组织中，又以朝鲜黑客组织 Lazarus Group 近期最受关注。根据美国财政部报告，该组织正是损失高达 6.2 亿美元的 Ronin 跨链桥被盗事件的幕后黑手，其以太坊地址已经纳入美国制裁名单。此前，该组织被认为是 Bithumb、KuCoin 等诸多加密货币交易所被盗事件的主导者，并且手法多为钓鱼攻击。

如今，Lazarus Group 俨然正在成为加密生态最具破坏性的黑客组织之一。那么这个组织究竟是如何形成的？它们通常又是如何作案的？

Lazarus Group 简介

据维基百科资料，Lazarus Group 成立于 2007 年，隶属于北韩人民军总参谋部侦察总局第三局旗下的 110 号研究中心，专门负责网络战。该组织从国内挑选最聪明的学生接受六年的特殊教育，培养其将各种类型的恶意软件部署到计算机和服务器的能力，朝鲜国内的金日成大学、Kim Chaek 科技大学和 Moranbong 大学提供相关教育。

该组织分为 2 个部门，一个是大约 1700 名成员的 BlueNorOff（也称为 APT38），负责通过伪造 SWIFT 订单进行非法转账，专注于利用网络漏洞谋取经济利益或控制系统来实施金融网络犯罪，此部门针对金融机构和加密货币交易所。另一个是大约 1600 名成员的 AndAriel，以韩国为攻击目标。

已知 Lazarus Group 最早的攻击活动是 2009 年其利用 DDoS 技术来攻击韩国政府的「特洛伊行动」。而最著名的一次是 2014 年对索尼影业的攻击，原因是索尼上映关于暗杀朝鲜领导人金正恩的喜剧。

该组织旗下机构 BlueNorOff 的一次知名攻击是 2016 年的孟加拉国银行攻击案，他们试图利用 SWIFT 网络从属于孟加拉国中央银行的纽约联邦储备银行账户非法转移近 10 亿美元。在完成了几笔交易（2000 万美元追踪到斯里兰卡，8100 万美元追踪到菲律宾）后，纽约联邦储备银行以拼写错误引起的怀疑为由阻止了其余交易。

自 2017 年以来，该组织开始对加密行业进行攻击，并获利至少达 10 亿美元。

Lazarus Group 加密攻击事件

2017 年 2 月从韩国交易所 Bithumb 盗取 700 万美元的数字资产。 

2017 年 4 月从韩国交易所 Youbit 盗取约 4000 枚比特币，12 月再次盗取其 17% 数字资产，Youbit 申请破产。

2017 年 12 月从加密货币云挖矿市场 Nicehash 盗取超过 4500 枚比特币。

2020 年 9 月从 KuCoin 交易所盗取价值约 3 亿美元的数字资产。

2022 年 3 月攻击 Ronin 跨链桥，盗取 17.36 万个 ETH 和 2550 万 USDC 被盗，累计价值约 6.2 亿美元。

此外，许多加密项目方负责人或者 KOL 也会成为 Lazarus Group 的目标。2022 年 3 月 22 日，Defiance Capital 创始人 Arthur 在推特表示热钱包被盗，包括 17 枚 azuki 和 5 枚 cloneX 在内的的 60 枚 NFT ，损失约 170 万美元。Arthur 称有证据表明幕后黑手是朝鲜支持的 BlueNorOff 黑客组织，他们正在大力伤害加密行业。

面对外界的指控，朝鲜曾发表公告称不是 Lazarus Group 所为，但此后从不回应媒体的询问。

攻击特点

根据虎符智库分析，Lazarus Group 通过网络钓鱼、恶意代码、恶意软件等手段盗取存储在数字钱包的加密资产，主要有以下特点：

• 攻击周期普遍较长，通常进行较长时间潜伏，并换不同方法诱使目标被入侵。

• 投递的诱饵文件具有极强的迷惑性和诱惑性，导致目标无法甄别。

• 攻击过程会利用系统破坏或勒索应用干扰事件的分析。

• 利用 SMB 协议漏洞或相关蠕虫工具实现横向移动和载荷投放。

• 每次攻击使用工具集的源代码都会修改，并且网安公司披露后也会及时修改源代码。