發現隱藏的眼鏡蛇
Lazarus這條隱藏的眼鏡蛇與北韓政府的關聯、與加密貨幣被竊案的關聯最初是如何被發現的?這要從一部電影說起。
2014年,索尼影業推出一部名為《名嘴出任務》(《The Interview》)的喜劇片,講述了由詹姆斯·法蘭科扮演的美國脫口秀主持人,去北韓採訪和刺殺金正恩的故事。老實講這部電影中的金正恩有幾分可愛,是一個聽凱蒂·佩芮的《Firework》會動情到掉眼淚的人,就像歌裡唱的那樣,他說自己「like a plastic bag, drifting through the wind」。
但僅僅是影片名就足以冒犯到現實世界的金正恩。該片上映前一個自稱和平護衛隊(GoP,Guardians of Peace)的駭客組織攻擊了索尼影業,成功竊取了約11TB的敏感數據,這其中不僅包括大量還未發行的影片資料,還包括高階主管之間的秘密郵件和員工的隱私訊息,而他們提出的要求是讓索尼「放棄上映破壞地區安全和世界和平的恐怖主義影片」。
毋庸置疑,和平護衛隊來自北韓,正是和平護衛隊與Lazarus駭客組織間關係的暴露,讓各安全機構確定Lazarus隸屬於北韓。事情發生在2016年。
2016年2月4日,孟加拉國央行陷入一片混亂,因為駭客剛剛從它手中偷走了 8100 萬美元,如果不是因為一處帳戶名拼寫錯誤導致轉帳被終止,駭客本來計劃轉走10億美元。不過即便如此,這也創造了有史以來最大的銀行搶劫案,以及當時全球範圍內已知的最大規模的金融網路犯罪案。
多家網路安全公司介入調查,結果顯示攻擊來自一個神秘的幕後組織——Lazarus,而最重要的發現是,這次行動中一段用於消除攻擊證據的底層代碼和 2014 年駭客攻擊索尼影業時使用的代碼完全相同。
針對 Lazarus的調查還暴露了其他一些線索,包括Lazarus 的惡意軟體樣本中有大量的韓語元素;Lazarus 在一次行動中犯下錯誤,一台歐洲服務器出現了北韓政府專用的 IP 登錄記錄。
一般來說駭客會重複利用自己開發的代碼,Lazarus也不例外,正是利用這一特點網路安全公司能夠把攻擊事件與攻擊者聯繫起來。
本文為金色財經授權刊登,原文標題為「深度揭秘:來自北韓的加密駭客組織Lazarus」