LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 币圈百科 > 一文揭开朝鲜黑客团队神秘面纱:全球都在抗疫,它们却在偷比特币?

一文揭开朝鲜黑客团队神秘面纱:全球都在抗疫,它们却在偷比特币?

2020-03-24 区块链鉴查院 来源:火星财经

“最致命的可能是张牙舞爪的猛兽,也可能是脚边悄然无声的蛇蝎”

最近,全世界都在抗疫,朝鲜这个奇葩却在忙着洗钱。这不,两名中国公民被美国财政部起诉,原因就是用比特币帮助朝鲜政府的黑客洗钱。

据称,这两位场外交易服务商,曾在2017年12月至2019年4月间,帮助朝鲜黑客组织 Lazarus Group 洗钱金额高达1亿美元。

说实话,洗钱服务在国外已经形成了产业链,还是挺普遍的。但引起鉴叔好奇心的是:朝鲜居然还有黑客团队,而且还是政府组织的?

其实,朝鲜虽是弹丸之地,常年被经济封锁,但却有两大杀器搅的全世界不得安宁。

一个是核武器,另一个就是黑客组织。

2017年,席卷全球的比特币勒索病毒案就是出自朝鲜黑客的手笔。那么今天就让我们来揭开朝鲜黑客的神秘面纱。

一、朝鲜为何要成立黑客组织?

自2006年10月朝鲜进行第一次核试验以来,联合国安理会先后通过了十次决议案,不断加大对朝鲜的制裁力度。

制裁内容从大规模杀伤性武器等领域逐步扩大到经济领域。

联合国十次决议案 | 图

在这样的困局下,朝鲜想要维持国内的民生,同时继续发展核武器,就变得更加艰难。

穷则思变,于是朝鲜想了很多手段赚钱,说起来简直让人大跌眼镜:

▌方法一:走私*****

1977年,因为从事*****交易,朝鲜驻委内瑞拉大使馆全体人员被政府驱逐出境。

1993年,澳大利亚政府在墨尔本港口附近,拦截了一艘朝鲜货轮,上面装载了价值5000万美元的*****。

这些只是朝鲜走私*****被爆出的冰山一角。

▌方法二:贩卖武器

2016年8月,一艘朝鲜货轮在埃及海面被扣押,上面载有2.3公吨的铁矿石和3万枚朝鲜制火箭弹。

同年,一架满载朝鲜军事通讯设备和军事材料的飞机,在运往非洲厄立特里亚时被拦截。

这意味着在朝鲜和多国之间,都存在着非法的军事贸易。

▌方法三:劳动力输出

朝鲜有专门的劳动贸易公司,与俄罗斯、非洲等地签订了劳务雇佣合同,通过输送源源不断的朝鲜劳动力来获得劳务报酬。

根据朝鲜人权数据库中心研究显示:这些外出工作人员通常是已经有子女有家庭的男子。如果“坏了规矩”,他们在朝鲜国内的家人们就是可以被要挟的把柄。

至此,朝鲜已经集齐走私、贩毒、做人贩子三大下流手段。但这些还是要跟其他国家打交道,还很容易被抓到把柄。

于是朝鲜黑客国家队应运而生。他们的目的就是让朝鲜摆脱对其他国家的依赖,通过技术的力量,赚钱。

二、朝鲜黑客:举全国之力打造的顶级团队

说起朝鲜,大家都会觉得贫穷又落后,更不要说互联网发展了。

确实,在中国的我们已经可以选择开通5G套餐了,但在朝鲜,使用3G手机的只有三百多万人,全国覆盖率还不到1/8

但就在这片贫乏的土地上,却有一个聚集了1800位顶级网络专家的网络部队:朝鲜人民军第121局。

曾在121局工作过、后来叛逃至韩国的朝鲜人Jang告诉媒体:“朝鲜黑客已经达到了国际顶尖水平,跟Google或者美国中央情报局能力不分上下。

朝鲜人民军第121局与金正恩合影

不得不说,朝鲜政府却为打造121局下了很大的决心。

121局的所有人都是朝鲜政府常年累月不惜成本的在本国数学、计算机等领域甄选,并加以严苛培训和选拔出来的尖端人才

据说选拔淘汰率高达98%,但只要成功入选,就能享有朝鲜国内最高层次的待遇,他们的家人也可被当局特许迁至首都平壤定居。

121局的活动环境

而在121局中最为闻名的黑客团队就是------Lazarus Group,音译名为拉撒路,拉撒路(Lazarus)是《圣经·约翰福音》中记载的人物,曾在病危后又复活。

想必,朝鲜是想借此隐喻自己顽强的生命力。

结合拉撒路曾经犯下的几桩大案,鉴叔觉得这个名字起得名副其实。

三、朝鲜拉撒路横扫全球

▌1.初露锋芒:奇袭索尼公司

在朝鲜,“金正恩”的权威和形象神圣不可侵犯。

然而在2014年,索尼影视在Youtube网站上首发了电影《刺杀金正恩》的第一条预告片,立即上了热门,正片也计划在圣诞节在美国上映。

这部动作喜剧片讲述了两位美国脱口秀主持人在美国中央情报局的指示下前往平壤刺杀金正恩的故事。

图片来源:《刺杀金正恩》“金正恩”剧照

朝鲜官方当然接受不了这般“侮辱”,立刻通过外交部发出强硬抗议,然而美国方面并不为所动,总统奥巴马甚至还鼓励大家都去看。

于是就在电影上映前一个月,索尼公司突然被黑客袭击,全面陷入瘫痪。所有工作人员的电脑上同时出现了一个警告页面,以红色大字醒目地写明「Hacked By #GOP」。

GOP的意思就是和平守护者(Guardians of Peace)。

黑客还发出了警告:

我们此前已警告过索尼影业,今天的网络瘫痪仅仅是个开始。要求得不到回应,我们就不会善罢甘休。

我们已经握有索尼影业全部的网络数据,包括雇员的秘密以及各类高层机密。

如果不遵从要求,我们就将全部数据公之于众。

随后,索尼影业公司被迫宣布全员在家办公,同时联合美国FBI进行全面的网络监察。

经过一个月的排查,美国FBI指认:攻击方来自朝鲜。顶级安全专家兼朝鲜前高级官员Choi Sang-myung透露,这次的黑客行动和朝鲜之前的其他攻击存在相似性,包括代码的行数、加密算法、数据探测方式以及被入侵的网络的等等。

但是朝鲜方面却矢口否认,说:GOP 黑客并不是我们朝鲜官方指派的,但不管是谁做的,我大朝鲜都赞你为英勇的大英雄!

这样的回应引发了美朝双方政府的持续近一个月的口水战。

索尼影业作为全球顶级影视公司,曾拍出数不胜数的经典电影,但再天马行空的想象,也不如这一场亲身参演的“大片”更震撼吧。

最终,此次闹剧以索尼公司认怂,取消上映《刺杀金正恩》收尾

但是,拉撒路并没有就此消停,在2016年还入侵孟加拉国央行账户,犯下了臭名昭著的银行盗窃案,盗走近8100万美金。此次事件直接导致孟加拉央行行长阿蒂拉赫曼黯然辞职,两名央行副行长遭解职。

▌2.手法升级:全球比特币勒索案

随着银行金融系统防范加强,货币转入转出难度加大,拉撒路把目光转向了比特币,加密货币的匿名性和全世界流通的特点更便于黑客洗钱。

于是,席卷全球的比特币勒索案出现了。

2017年5月12日,盐城市响水县公安局破天荒停止了出入境手续办理。

盐城市响水县公安局发出的告示 | 图

随后,公安局官方发微博称:电脑中了一种叫做WannaCry的病毒,所有文档被加密,必须要支付300美元左右的比特币才可以解锁。

响水县公安局民警面对WannaCry病毒无可奈何 | 图

这位民警的心估计是崩溃的。

当晚,中国部分高校中招,病毒疑似通过校园网传播。

此后,WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的经济损失。

热图显示了WannaCry在2017年5月的波及范围 | 图

还记得2006年轰动全国的“熊猫烧香”吗?对比WannaCry,熊猫烧香还是个弟弟。

虽然WannaCry爆发后,并没有黑客组织认领,但经过技术分析后,美国、英国和澳大利亚在同年12月正式宣称朝鲜黑客是袭击的幕后黑手。

我国黑客圈顶级教主、腾讯玄武实验室负责人TK也曾在朋友圈转发:“基于软件同源性分析等技术,多个研究人员得出了同一个结论:WannaCry 勒索蠕虫可能是朝鲜黑客拉撒路干的。”

对于WannaCry 的软件同源性分析 | 图

至此,拉撒路算是在世界范围内臭名昭著了。

▌3.勒索加倍,四处作案

早年,拉撒路的攻击目标主要是韩国和日本,而且主要是DDoS攻击,把对方系统搞奔溃就行。

即使WannaCry范围波及全世界,但拉撒路并没有以此赚多少钱,累计不过52个比特币,当时市值不到100万人民币。

但近几年,他们却无差别地袭击了印度、马来西亚、波兰、乌拉圭、埃塞俄比亚等18个国家、金融机构、赌场、加密货币公司等,直接奔着钱去了。

下面是拉撒路几次真正意义上的大劫案,可以说是空手套白狼,赚的盆满钵满:

① 2017年,韩国的加密货币交易所Bithumb遭到黑客攻击,80亿韩元被盗,大量用户信息被泄露。事后,韩国议员指出这是朝鲜黑客所为。

②2017年12月9日,韩国老牌加密货币交易所Youbit突然宣布破产,原来它在4月和12月接连遭受了黑客的攻击,分别损失了4000比特币(当时约合人民币3347万元)和17%的交易所资产。经过韩国国家情报局调查,但有明显迹象和历史证据证明,朝鲜拉撒路就是Youbit遭黑客攻击的幕后黑手。

③2019年3月,DragonEx交易所在Telegram 宣称被黑客入侵,黑客窃取并转移了700万美元加密货币,拉撒路也被指控为此次攻击的幕后黑手。

四、拉撒路是如何洗钱的?

其实黑到用户的钱只是第一步,更为关键的,是让这些钱神不知鬼不觉到自己的账户里。

如果留下一点线索,就是告诉全世界:人在朝鲜,来抓我吧。所以拉撒路也锻炼出了非常成熟的洗钱手法。

▌第一步:利用混币服务隐藏资金去向

早期,Lazarus的手法还比较笨拙,主要依靠增加账户数量搅乱追踪者的视线。通过下图,我们可以看到Lazarus在2018年的一次转移手法。

Lazarus在2018年转移资金的路径图 | 图

简单来说,资金从左边的Victim Exchange钱包转出,经过中间多个钱包,最终分散到右侧不同的交易所中变现。

虽然资金的路径很长,但是很容易理清线路。

但到了后期,隐私币和混币服务的诞生给洗钱提供了很大的方便。

Lazarus在2019年转移资金的路径图 | 图

如上图,我们发现步骤少了很多,但是线路却更复杂了。

2019年,Lazarus将被盗加密资产全部转移到各大交易所并换成了比特币,然后提现至比特币隐私钱包Wasabi,最后再通过混合协议将这些比特币洗白。

那么混合协议是如何洗白的呢?

简单来说:混合协议就像一个大染缸,大家都把脏币存进去,混合到一起,只要能通过零知识证明你存过币(无需出具任何隐私信息),就能顺利提币,这时候币已经分不清谁是谁的了。

而朝鲜正式利用了混币钱包Wasabi Wallet完成了洗钱,也洗清了嫌疑。

▌第二步:通过OTC兑换服务套现

还记得开头提过的被美国起诉的两位中国人吗?

他们可能在不知情的情况下,帮助黑客套现了比特币。因为此时,你已经无法得知这些比特币和失窃资产的关系。

目前,Lazarus的洗钱效率越来越高。在2018年,Lazarus花费了长达500天的时间才将资产套现,但到了2019年,已经降低为60天。

有时候,真不知道技术的发展到底是造福了谁?

鉴叔总结面临经济制裁,伊朗选择了硬刚,委内瑞拉选择了石油币。

而脑洞轻奇的朝鲜却选择了黑客,在全世界范围内非法掠夺财富。

也许你会觉得做黑客很酷,但想想在黑客袭击下破产的交易所,如门头沟、Youbit等。这背后是成千上万遭受损失的投资者。

你辛辛苦苦赚的币,凭什么成了黑客的赞助商?

所以,即使我们再同情朝鲜的遭遇,这也并不是他们进行非法掠夺的借口。这也有损一个国家的尊严。

俗话说得好,富贵不能淫,贫贱不能移,威武不能屈,此之谓大丈夫。

区块链鉴查院 我是鉴叔一个北美新金融研究学者 比特币血汗矿工 空气币高速套路收费员 区块链东亚非官方打假专家 我想从一个程序员的角度 把各种区块链项目拆碎了拿给您看

本文来源:区块链鉴查院
原文标题:一文揭开朝鲜黑客团队神秘面纱:全球都在抗疫,它们却在偷比特币?

—-

编译者/作者:区块链鉴查院

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...