加密货币行情大涨,最高兴的可能是朝鲜黑客

在朝鲜,能够取得国际互联网访问许可的对象,多为政府机构或外国大使,不到全国人口的1%。因此,在大多数人的印象中,朝鲜总是那个隔绝网络、技术落后、信息闭塞的国家。

但事物不是一成不变的,朝鲜也不例外,在信息技术产业方面,朝鲜从未放弃与国际接轨的努力。

朝鲜有着相对完善且免费的内部网络,被称作“光明网”,主要供政府、学术及工商机构使用,是大多数民众访问网络的唯一途径。

朝鲜中央通讯社官网

在光明网的基础上,朝鲜的移动网络和智能手机普及率正逐年上升。据韩联社2017年报道,朝鲜共有三家移动通信公司,用户数量超过400万人,即朝鲜总人口的20%。除了宣传用的APP,朝鲜民众也用得上留言板、群聊、自拍、电子支付等功能。

朝鲜民众也会玩电子游戏。朝鲜官方曾公开过如《猎杀美国佬》等宣传色彩浓厚的手游,据说这些游戏“很受朝鲜民众欢迎”。而朝鲜的青少年群体,相传会以U盘的形式私下传递来自外国的游戏,还会使用局域网实现多人联机。

网传《猎杀美国佬》截图

也正是这个我们默认网络普及率很低的国家,正在大力培养网络方面的人才,还缔造了一个神秘的“朝鲜黑客组织”。这些朝鲜黑客长期活跃,技术与头脑也都与时俱进,甚至领先于别国的同行。

1

众所周知,朝鲜与美国的关系一直不太对付,美国不可避免地对朝鲜黑客有着最大的意见。

2018年9月,美国联邦调查局(FBI)与司法部对一位叫做“朴振赫”的朝鲜公民提出指控。2021年2月,司法部扩大了对“朴振赫”的指控范围,并附加指控了另外两名朝鲜公民。报告显示,三人都是黑客,隶属于朝鲜军事情报机构侦察总局(RGB),以及一个名叫“拉撒路集团”(Lazarus Group)的商业黑客组织。

指控认为,“拉撒路集团”要为自2014年来的多起重大黑客活动负责。当然,美国人不可能跨过封锁的国界线把真人抓来对质,至今这些指控依然只是指控。

FBI颁布对黑客的通缉令

“拉撒路集团”最早在2009年开始对韩国政府机构发起网络攻击,此后进一步攻击韩国的广播公司、金融机构、网络运营商,直至民用计算机,一部分成员还为韩国的网游写过脚本与外挂,通过贩卖它们获得活动资金。

关于这个神秘组织的详细信息,参与追踪的网络安全专家及机构莫衷一是,有人说这个组织由一些松散黑客组成,也有人指出他们包含若干下属群体。

而发生在2014年、2016年与2017年的三次震惊全球的网络攻击,被美国政府与多家安全机构列作“拉撒路集团”的罪状,也令“朝鲜黑客”在世界范围内瞩目。

2014年11月,索尼影业受到了网络攻击。攻击者是一个自称为“和平卫士”(GOP)的组织,他们黑入索尼服务器,致使员工计算机瘫痪,同时窃取了超过12TB大小的数据,其中包括员工私密信息、交易票据与数部未发行电影等等,之后分九次泄露了部分文件。

被攻击的计算机画面

根据索尼2015年第一季度的财务报告,索尼影业拨出了至少1500万美元,弥补这次黑客攻击所造成的损失。

FBI认为,拥有充分动机的朝鲜黑客是攻击的幕后黑手,他们的诉求是抵制索尼影业将在12月25日上线的电影《采访》(The Interview)。这部电影被贴上了喜剧标签,但因涉及刺杀朝鲜最高领导人的剧情而被朝鲜方面谴责。

《采访》海报

2016年2月,孟加拉银行(央行)的美元帐户遭到黑客打劫。后续调查发现,有个伪装成求职者的黑客,早在2015年1月就向银行发送“求职邮件”,邮件中包含允许黑客远程访问银行计算机的病毒。

黑客潜伏了一年才开始行动。他们盗用孟加拉央行的凭据,向美元帐户所在的纽约联邦储备银行提出了35笔转账请求,价值共计9.51亿美元。

最终有5笔请求得到批准,转账资金分别流向斯里兰卡与菲律宾的黑客银行帐户,2000万美元流向斯里兰卡,被央行成功追回;8100万美元流向菲律宾。其中,有5000万美元送到首都马尼拉的各大赌场洗钱,剩下的3100万美元彻底不知去向。

涉嫌洗钱的马尼拉Solaire赌场

2017年5月的WannaCry勒索软件攻击,可能是黑客攻击这一看似遥远的概念离我们最近的一次。

WannaCry启动后会加密计算机数据,篡改桌面,然后弹出一条消息,通知受害者他们的文件已经被加密。想要解密数据,受害者要在三天的期限内向黑客支付价值300美元的比特币,超过三天要价翻倍,超过七天黑客就会拒绝解密。

勒索软件的弹窗提示

WannaCry利用了微软公司在攻击开始两个月前发布补丁修复的一个Windows漏洞。政府、公共事业及学术机构的计算机,习惯于使用已经停止更新的Windows系统(比如Windows XP),因此WannaCry对这些机构的打击最为严重。在我国,包括校园网与政府部门在内的大量计算机因攻击被迫停摆。在英国,WannaCry直接导致医疗系统崩溃。

被攻击的加油站自助终端机

WannaCry勒索软件袭击了包括我国在内150多个国家及地区,超过20万台计算机中招,据网络风险建模公司Cyence的数据,攻击造成的总经济损失可能高达40亿美元。这一次的黑客攻击规模空前,勒索软件的弹窗一时成了热门网络梗。

由于WannaCry的黑客只允许用比特币支付,受害者的第一反应,多半是打开搜索引擎,搜索“比特币是什么”。于是在WannaCry攻击发生后数个月,比特币理所当然迎来了一次涨幅。

暂不论这次攻击是不是朝鲜黑客所为,他们肯定从中嗅到了商机。正是从2017年开始,朝鲜黑客盯上了一路高歌猛进的加密货币行业。

加密货币行业分析网站Chainalysis于2022年1月13日发布了一份有关朝鲜黑客的报告,开篇就列出了主旨大意:2021年是朝鲜黑客“丰收”的一年。报告称,“拉撒路集团”2021年发动了至少7次针对加密货币平台的攻击,并从中窃取了价值3.95亿美元的数字资产,相较2020年提升了40%。

虽然“丰收”,却还未打破2018年的5.22亿美元记录

这些黑客的作案方式,包括制作钓鱼网站、传播恶意软件等,堪称多管齐下。他们无疑很懂代码,整个互联网上也只有权威的安全专家敢对他们的作品逐行解读。

但他们更懂人心。他们会利用人类心理上的弱点展开网络诈骗,进而骗取信任、套取个人或公司信息,最终窃取大量财产。

这种“人性化”的攻击形式,在网络安全的大背景下有个学名,叫“社会工程学攻击”。我们能在国家反诈APP上看到的大部分网络诈骗案例,都可归于此类。

最低级也最典型的社工骗局

加密货币还算是个新兴行业,大部分公司都是中小型的初创公司。这些公司缺乏投入网络安全系统的资金,亦缺少相应的经验,毫无向员工普及网络安全重要性的常识。同时,初创公司少不了要和各种各样的机构打交道,需要处理大量不明来源的信件或邮件。

黑客对初创公司的这些特点了如指掌,发动社工攻击时也要对症下药。他们会在社交媒体上伪装成对加密货币行业感兴趣的学者,或者目标公司的员工,以便从攻击目标处直接套取保管加密货币帐户的随机数密码,或称“私钥”;或者诱骗对方下载病毒文件,以间接方式达成目的。

利用对方的好奇心发送假文档的真实案例

今年1月13日卡巴斯基公司发布的报告给出了如下案例,案例中黑客运用的手法与孟加拉央行抢劫案如出一辙。

他们伪装成风险投资公司,向加密货币初创公司发送合同或其他形式的业务文件,等待这些公司的老板或员工,按耐不住对投资的渴望,点开文件一探究竟。

黑客借用过的公司名头经调查这些公司及内部员工从未参与过任何网络攻击

黑客的每一份“业务文件”都是名副其实的“特洛伊木马”。这些文件伪装成Word文档的形式,会在确认开启并联网的状态下启动内置脚本。脚本会通知黑客“攻击对象打开了文档”,同时开启电脑后门,允许黑客注入更多的恶意程序,以便获取攻击对象的键盘输入记录与屏幕截图。

打开文档的时候多留个神就会发现一些可疑的事情

黑客有着充足的耐心,会花费数周乃至数月的时间监控攻击对象。一旦摸清了公司的运作流程与转账规律,他们将在下一笔大额转账发生时行动,利用之前留下的后门无声无息地注入代码,拦截交易过程,篡改交易对象,如果可能,就把转账金额调整至最大数字,一口气盗走公司帐户中的所有加密货币。

听起来很简单但整个流程需要的代码超过17万行

加密货币的洗钱的工序比现实货币要复杂一些。黑客主要使用一种叫做“混币器”(Mixer)的工具,在2021年朝鲜盗走的加密货币中,有超过65%的货币流入混币器。

混币器是一种“混合”加密货币的工具或服务,能够将来自数千个来源的加密货币混淆在一起,打乱和掩盖加密货币的交易记录与真实来源,是非法资金的理想洗钱工具。

朝鲜黑客会借助交易所,把各种形式的加密货币统一兑换成以太币并注入混币器,随后又通过交易所兑换为比特币,再次注入混币器。最终得到的比特币很难追溯来源,黑客便把它们送至正式的加密货币交易所,兑换成现实中的货币。

谷歌搜索结果中某款排名较前的混币器

3

朝鲜黑客屡屡得手,最终攫取的资金会去哪里呢?假如朝鲜政府资助黑客的说法属实,那么下面这位区块链情报公司TRM Labs的分析师尼克·卡尔森,给出的结论也符合常理:

“由于美国和外国伙伴的长期制裁行动,朝鲜与全球金融体系隔绝。……因此,他们进入数字战场窃取加密货币,本质上是以互联网的速度抢银行,为武器计划、核扩散和其他破坏稳定的活动提供资金。”

然而从政府机构到网络安全专家,各方拥有且公开的证据,只能证明朝鲜存在黑客,或者朝鲜黑客与数起攻击事件相关联,却无法确保上述的所有网络攻击都要同一批朝鲜黑客背锅。再加上朝鲜官方口径始终否认黑客存在,想要了解政府方面有无涉入其中,更是天方夜谭。

全世界可不止朝鲜有黑客图源Risk Based Security

在2014年至2017年的三起攻击中,多家安全公司发现了朝鲜黑客曾对韩国使用过的程序代码。但这无法直接证明三件事均是朝鲜黑客所为,黑客中的其他个人与组织都有分享这些代码,或者强行破解并将代码占为己用的可能。

WannaCry暴露出的Windows系统漏洞,最早是由美国国家安全局(NSA)旗下的某个黑客机构发现的。他们率先在漏洞的基础上研发了一套被称作“永恒之蓝”的攻击工具,不料被其他黑客窃取,最终用在了勒索软件上。

另有安全机构指出,WannaCry勒索软件提供的汇款地址可被追踪,黑客的最终收入将近14万美元,数额与孟加拉央行案相比也完全不值一提。

“和平卫士”嘲讽FBI是永远查不出真实结果的“白痴”

时至2022年,朝鲜黑客的真实面目依然扑朔迷离。不过,当他们将注意力转移到加密货币上,赚得盆满钵满的同时,他们的攻击对各国经济与社会所造成的破坏,也限定在一个相对较小的范围内。

朝鲜黑客的攻击不会对个人名义的散户如此大动干戈,主要还是针对加密货币投资公司和交易所。攻击大概会毁掉几家加密货币企业,却不会像孟加拉央行案那样,对一个大范围的社会经济造成毁灭性打击。

加密货币行业与大多数民众的日常生活缺乏关联,黑客攻击很难引起媒体和公众的注意。另外,为了保住公司的信誉,初创公司倾向于掩盖事实,在安全机构调查时可能连公司名字都不敢上报,甚至完全不愿对外曝光黑客攻击的细节。

再结合加密货币洗钱方便与彻底的优势,黑客自然变得肆无忌惮。尽管朝鲜黑客近年来的活动开始有了“劫富济贫”的意味,但网络犯罪毕竟还是网络犯罪。无论是个人还是公司团体,不论经营内容是否涉及加密货币,黑客攻击的类似案例,都在提醒我们网络安全意识与防范网络诈骗的重要性。

热门相关:诡秘之主   和我结婚我超甜   盛世医香   慕先生,来官宣   星界使徒