揭示朝鲜黑客威胁的真相

本文详细介绍了朝鲜黑客在加密货币行业的活动,包括针对Bybit交易所的黑客攻击,以及与多个北朝鲜黑客组织(如Lazarus Group、APT38等)的关联。文章探讨了这些组织的架构、攻击手法和发展演变,并提供了企业和个人防范这些攻击的建议。

一个命运多舛的二月早晨,SEAL 911小组感到困惑地看着Bybit将超过10亿美元的代币从他们的冷钱包中撤回到一个全新的地址,并迅速开始清算超过2亿美元的LST。几分钟内,我们得到了来自Bybit团队和独立分析的确认(之前使用公开验证的Safe{Wallet}实施的多重签名现在正在使用新部署的未经验证的合约),这实际上并不是常规维护。有人实施了加密货币历史上最大的一次黑客攻击,而我们则坐在第一排。

在团队的一部分(连同更广泛的侦查社区)开始追踪资金并向合作交易所发送通知时,其余部分正在尝试了解究竟发生了什么,以及是否有其他资金处于风险中。幸运的是,确定肇事者是很简单的。在过去的几年里,只有一个已知的威胁行动者成功从加密货币交易所盗窃了数十亿美元:朝鲜,也称为DPRK。

然而,除此之外,我们几乎别无选择。由于DPRK黑客的复杂性及他们清理痕迹的高超技巧,确定被揭露的根本原因将会非常具有挑战性;甚至知道负责此事的具体DPRK团队都很困难。我们只能依赖现有情报,这些情报表明DPRK确实喜欢通过社会工程攻击来侵入加密货币交易所,所以我们认为DPRK可能侵入了Bybit的多重签名签署者,并部署了一些恶意软件以干扰签署过程。

事实与此截然相反。几天后我们发现,DPRK实际上已经攻破了Safe{Wallet}本身的基础设施,并部署了针对Bybit的恶意负载。这是一种没有人预料到的复杂程度,也是我们多项威胁模型中的重大更新。

DPRK黑客对我们行业的威胁日益增长,我们无法战胜一个不知或不了解的敌人。有大量文献记录和关于DPRK网络行动的各个方面的报道,但它们难以拼凑在一起。我希望这个概述能够提供一个更全面的理解DPRK是如何运作的,以及他们的战术和程序是什么,进而方便我们实现正确的缓解措施。

组织结构

或许需要说明的最大误解是如何对DPRK网络活动的广泛范围进行分类和命名。虽然口语上使用“拉撒路集团”一词是可以接受的,但在详细讨论DPRK时,采用更严谨的术语会更有帮助。

首先,理解朝鲜的“组织结构图”是有帮助的。在最上面是朝鲜的 ruling (和唯一)政党,朝鲜劳动党(WPK),其下所有朝鲜政府机构均在其管辖下。这些机构包括朝鲜人民军(KPA)以及中央委员会。在KPA内部是 General Staff Department(GSD),它是侦察总局(RGB)的所在地。中央委员会下设的是军火工业部(MID)。

RGB负责几乎所有的朝鲜网络战争,包括观察到的几乎所有与加密货币行业有关的朝鲜活动。除了臭名昭著的拉撒路集团,RGB内部还出现了其他威胁行动者,包括AppleJeus、APT38、DangerousPassword和TraderTraitor。另一方面,MID负责朝鲜的核导弹项目,并是朝鲜IT工人的主要来源,在情报界被称为Contagious Interview和Wagemole。

拉撒路集团

拉撒路集团是一个高度复杂的黑客组织,网络安全专家将历史上一些最大和最具破坏性的黑客攻击归因于该组织。拉撒路集团于2016年首次被Novetta识别,他们分析了索尼影业(Sony)的黑客事件 1

2014年,索尼正在制作采访The Interview),这是一部动作喜剧,其核心情节是对金正恩的羞辱和随后暗杀。可以理解,这在政权中并未受到欢迎,政权通过黑入索尼的网络进行报复,窃取数TB数据,泄露数百GB的机密信息,删除原始副本 2。正如时任首席执行官Michael Lynton所说,“做这些事的人不仅窃取了几乎所有的东西;他们还烧掉了房子 3 ”。最终,这次袭击使索尼至少在调查和补救中损失了1500万美元 4,估计还有更多损失。

随后,在2016年,一个与拉撒路集团极为相似的威胁行动者黑入了孟加拉国银行,企图窃取近十亿美元 5。在过去的一年里,威胁行动者设法对孟加拉国银行的员工进行社会工程,最终获得远程访问权限,并在银行内部网络中进行切换,最终到达负责与SWIFT网络相关的计算机。从那里,他们等待绝佳的时机进行攻击:孟加拉国银行在星期四关闭,但纽约联邦储备银行在星期五关闭。在星期四晚间,孟加拉国当地时间,威胁行动者利用对SWIFT网络的访问向纽约联邦储备银行发送了36个单独的转账请求,当地时间为星期四早上。在接下来的24小时内,纽约联邦储备将这些转账转发到菲律宾的Rizal Commercial Banking Corporation(RCBC),该行开始处理这些转账。最终,当孟加拉国银行重新开门,发现遭到黑客入侵时,他们尝试通知RCBC以暂停进行中的交易,却发现由于农历新年,RCBC已经关闭进入了长周末。

最后,在2017年,巨大的WannaCry 2.0勒索软件攻击使全球的各行各业受到了沉重打击,这也部分归因于拉撒路集团 6。WannaCry预计造成数十亿美元的损失,利用的是由NSA原本开发的Microsoft Windows中的一个0day,同时不仅仅加密本地设备,还扩散到其他可到达的设备,最终感染了全球数十万台设备。幸运的是,由于安全研究员Marcus Hutchins在八小时内发现并激活的“杀开关”,损失得到了限制 7

在拉撒路集团的历史中,他们展现出了高度的技术能力和达成目标的能力,其中一个目标是为朝鲜政权产生收入。因此,他们将注意力转向加密货币行业只是时间问题。

分部

随着时间的推移,拉撒路集团成为媒体描述DPRK网络活动的一个包罗万象的术语,网络安全行业为特定活动创建了更精确的命名。这就是APT38的情况,该组织于2016年从拉撒路集团分出,以专注于金融犯罪,首先针对银行(例如孟加拉国银行),然后是加密货币。后来,在2018年,一个新的威胁被称为AppleJeus被识别为传播针对加密货币用户的恶意软件 8。最后,自2018年早期OFAC首次宣布对两家被朝鲜人用作前台公司的制裁以来,假冒IT工人的朝鲜人已经渗透到技术行业。

朝鲜IT工人

尽管关于朝鲜IT工人的首个文献记录来自2018年的OFAC制裁,Unit 42的2023年报告对此进行了更详细的分析,并识别出两个不同的威胁行动者:Contagious Interview和Wagemole 10

Contagious Interview被认为假扮知名公司的招聘人员,以便将开发者引入虚假的面试过程。从那里,潜在候选者被指示克隆一个用于本地调试的代码库,表面上是一个编码挑战,但实际上该代码库包含一个后门,执行后将影响机器的控制权限交给攻击者。该活动一直在进行,并在2024年8月时被记录 11

另一方面,Wagemole行动者的主要目标并不是雇用潜在受害者,而是被雇佣到公司中,在那里他们正常工作,尽管可能效果不佳。但有文献记录IT工人利用其访问权限进行攻击性行为,例如在Munchables事件中,一名与DPRK活动有关的员工利用其特权访问权对智能合约进行了操作,以窃取所有资产。

Wagemole行动者的技能各有不同,从标准简历模板和不愿意参加视频通话,到高度定制的简历、深度伪造的视频面试,以及诸如驾驶执照和公用事业账单等识别文件。在某些情况下,行动者在受害者组织中嵌入的时间长达一年,才利用其访问权限对其他系统进行妥协和/或完全兑现。

AppleJeus

AppleJeus主要专注于分发恶意软件,并专精于复杂的供应链攻击。在2023年,3CX的供应链攻击使得攻击者能够潜在感染超过1200万名3CX VoIP软件用户 12,但后来发现3CX本身通过影响其上下游供应商(Trading Technologies)的供应链攻击遭到了攻击 13

在加密货币行业,AppleJeus最初通过以合法软件外观包装的恶意软件开始,例如交易软件或加密货币钱包。然而,随着时间的推移,他们的战术不断演变。在2024年10月,Radiant Capital通过来自冒充可信承包商的威胁行动者通过Telegram发送的恶意软件被攻破,而这一事件被Mandiant归因于AppleJeus 14

危险密码

危险密码负责加密货币行业中的低复杂度社会工程攻击。早在2019年,JPCERT/CC就记录了危险密码发送带有吸引人附件的钓鱼电子邮件 15。在以前的年度中,危险密码负责假冒业界知名人士的钓鱼电子邮件,主题行包括“稳定币和加密资产的巨大风险” 16

如今,危险密码继续发送钓鱼电子邮件,但也向其他平台发展。例如,Radiant Capital报告说,他们是通过一条钓鱼信息受到攻击,信息来自假冒安全研究人员,发送名为“Penpie_Hacking_Analysis_Report.zip”的文件 17。此外,用户报告称与冒充记者和投资者的个人取得联系,他们要求安排使用一个模糊的视频会议应用程序通话。与Zoom类似,这些应用程序将下载一个一次性安装程序,只是出现时,恶意软件将被安装到设备上。

交易背叛者

交易背叛者是针对加密货币行业的最复杂的DPRK威胁行动者,并且负责对Axie Infinity和Rain.com等公司的攻击 18。交易背叛者几乎完全针对交易所和其他拥有大额储备的公司,并不对其目标展开0-day攻击,而是对其受害者采用高度复杂的鱼叉式钓鱼技术。在Axie Infinity的攻击案例中,交易背叛者通过LinkedIn联系了一名高级工程师,并成功说服他们经历了一系列访谈,然后发送了一份“报价”,其中传递了恶意软件 19。然后,在WazirX攻击中,交易背叛者的行动者攻破了一个尚未确认的签署流程组件,随后导致WazirX的工程师通过不同的存款和取款操作完成冷钱包与热钱包的平衡 20。当WazirX的工程师尝试签署转移资金的交易时,他们实际上被误导签署了一笔将其冷钱包的控制权限转移给交易背叛者的交易。这与2025年2月对Bybit的攻陷情况非常相似,交易背叛者首先通过社会工程攻击攻破Safe{Wallet}基础设施,然后向Safe{Wallet}前端部署专门针对Bybit冷钱包的恶意JavaScript 21。当Bybit尝试平衡他们的钱包时,恶意代码激活,反而导致Bybit的工程师签署了一笔将他们冷钱包的控制权交出的交易。

保持安全

朝鲜展示了对其对手部署0-days的能力,但没有任何记录或已知事件表明朝鲜对加密货币行业部署0-days。因此,对于几乎所有DPRK威胁行动者,典型的安全建议都适用。

对于个人来说,运用常识并警惕社会工程攻击。例如,如果有人声称拥有某些高度机密的信息并愿意与你分享,你要保持警惕。或者,如果有人施加时间压力,迫使你下载并运行某些软件,考虑一下他们是不是试图让你处于不理性的境地。

对于组织,应尽可能应用最小权限原则。将对敏感系统有访问权限的人数最小化,确保他们使用密码管理器和二次身份验证。保持个人设备和工作设备的分离,并在工作设备上安装移动设备管理(MDM)和终端检测响应(EDR)软件,以确保在黑客攻击前安全,并在攻击后实现可见性。

不幸的是,对于大型交易所或其他高价值目标,交易背叛者更是在没有0-days的情况下也违反预期和常规。因此,必须采取额外的预防措施,确保没有单一故障点,以免导致一次性泄露导致全部资金的损失。

然而,即使当所有其他措施都失败时,仍然可能存在希望。FBI拥有一个专门追踪和防止DPRK入侵的部门,并多年来一直在进行受害者通知 22,最近我很荣幸地帮助将该部门的探员与潜在的DPRK目标进行了对接。因此,为了做好最坏的准备,请确保你有公开可用的联系信息,或者与生态系统内足够的人建立联系(例如SEAL 911),以便信息通过社会图谱快速传达给你,减少延迟。

1↩ https://www.usna.edu/CyberCenter/_files/documents/Operation-Blockbuster-Report.pdf

2↩ https://apps.dtic.mil/sti/pdfs/AD1046744.pdf

3↩ https://hbr.org/2015/07/they-burned-the-house-down

4 ↩ https://www.sony.com/en/SonyInfo/IR/library/presen/er/150204_sony.pdf

5↩ https://nsarchive.gwu.edu/news/cyber-vault/2019-02-20/tainted-trove

6↩ https://www.justice.gov/archives/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and 7 https://www.cloudflare.com/learning/security/ransomware/wannacry-ransomware/

8↩ https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-048a

9↩ https://home.treasury.gov/news/press-releases/sm481

10↩ https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/

11↩ https://blog.phylum.io/north-korea-still-attacking-developers-via-npm/

12↩ https://krebsonsecurity.com/2023/04/3cx-breach-was-a-double-supply-chain-compromise/

13↩ https://cloud.google.com/blog/topics/threat-intelligence/3cx-software-supply-chain-compromise

14↩ https://medium.com/@RadiantCapital/radiant-capital-incident-update-e56d8c23829e

15↩

https://blogs.jpcert.or.jp/en/2019/07/spear-phishing-against-cryptocurrency-businesses.html

16↩ https://blog.casa.io/security-briefing-how-to-spot-a-phishing-email/

https://medium.com/@RadiantCapital/radiant-capital-incident-update-e56d8c23829e

18↩ https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk

19↩ https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game 20↩ https://2021-2025.state.gov/office-of-the-spokesperson/releases/2025/01/joint-statement-on-cryptocurrency-thefts-by-the-democratic-peoples-republic-of-korea-and-public-private-collaboration

21↩ https://x.com/safe/status/1897663514975649938

. 22↩ https://x.com/AlexMasmej/status/1731446788136292833

  • 原文链接: paradigm.xyz/2025/03/dem...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
Paradigm
Paradigm
Paradigm 是一家研究驱动型技术投资公司 https://www.paradigm.xyz/