從2017年開始,包括Proofpoint在內的多家安全公司發現具有Lazarus特徵的網路攻擊有了新特徵:
1.在「感染」機構和個人的過程中,Lazarus加入了為實現加密貨幣攻擊的各種複雜控制後門和惡意軟體。
2.為實現比特幣和其它數位貨幣竊取,Lazarus使用Gh0st遠控木馬來收集被感染者的加密貨幣錢包和交易數據。
隨著比特幣和加密數位貨幣價格的暴漲,作為全球金融機構首要威脅的Lazarus,正在一步步成為加密貨幣市場最「成功」的竊賊。
交易所,Lazarus的主戰場
2018年伊始,唱著《月球與虛擬貨幣與我》出道的全球首個數位貨幣女團Kas Otsuka Shojo在完成一場演出後卻無法收到她們的酬勞,因為1月26日,存放她們200萬日元演出酬勞的,同時也是日本最大的加密貨幣交易所Coincheck遭駭客入侵,約合5.34億美元的新經幣失竊。
這是加密貨幣史上最嚴重的一次盜竊事件,超過了Mt.Gox交易所丟失的4.73億美元,而這起網路攻擊的發起者正是Lazarus。
不過,他們採用的作案手段卻比Mt.Gox失竊案簡單太多——Lazarus竊取了儲存新經幣熱錢包的私鑰,然後偷走了這筆錢。
不過,提起眼鏡蛇,比日本交易所更瑟瑟發抖的,是韓國交易所。《2018年高科技網路犯罪趨勢報告》中統計的2017年至2018年交易所失竊案中,韓國交易所佔據了14起中的7起,半壁江山,而這7起中至少有4起已被證實是由Lazarus發起。
來自Group-IB的調查數據與之前韓國議會情報委員會的推測吻合,該組織成員指出僅僅在2017年,北韓政府就從韓國交易所偷走了價值數十億韓元的加密貨幣。
被攻擊的交易所包括Bithumb、YouBit、Yapizon、Coinis、YouBit、Coinrail。其中的Youbit在被攻擊兩次之後(其中一次確認來自Lazarus),損失了約17%的總資產,不得不申請破產。
北韓國家隊正在猛烈地攻擊位於其南方的加密貨幣交易所。
本文為金色財經授權刊登,原文標題為「深度揭秘:來自北韓的加密駭客組織Lazarus」