一覽北韓駭客Lazarus Group如何在6年竊取30億美元加密貨幣

2016年入侵了孟加拉國中央銀行，竊取了8100萬美元。2018年攻擊日本加密貨幣交易所Coincheck盜走5.3億美元，並攻擊了馬來西亞中央銀行，竊取了3.9億美元。

作者：碳鏈價值

近日，根據網路安全公司Recorded Future 發布的一份報告顯示，與北韓有關的駭客組織Lazarus Group 在過去6 年中竊取了30億美元加密貨幣。

報導稱，光是2022年， Lazarus Group 就掠奪了17億美元的加密貨幣，很可能為北韓計畫提供資金。

區塊鏈數據分析公司Chainalysis 表示，其中11億美元是從DeFi 平台被盜的。美國國土安全部9月發布報告稱，作為其分析交換計畫( AEP ) 的一部分，也強調了Lazarus 對DeFi 協議的利用。

Lazarus Group 的專長是資金竊盜。 201 6 年，他們入侵了孟加拉中央銀行，竊取了8,100萬美元。 2018年，他們攻擊了日本加密貨幣交易所Coincheck ，並盜走了5.3億美元，並攻擊了馬來西亞中央銀行，竊取了3.9億美元。

碳鏈價值精華報告精華部分供大家參考：

自2017年開始，北韓將加密產業作為網路攻擊目標，竊取加密貨幣價值總計超過30億美元。而在此之前，北韓曾劫持SWIFT 網絡，並從金融機構之間竊取資金。這種活動引起了國際機構密切關注。金融機構因而投資改善了自身網路安全防禦。

在2017年，當加密貨幣開始盛行成為主流時，北韓駭客將其竊取目標從傳統金融轉向這種新型數位金融之上，首先瞄準的是韓國加密市場，隨後在全球範圍內擴展了影響力。

光是2022年，北韓駭客被指控竊取了價值約17億美元的加密貨幣，這個數字相當於北韓國內經濟規模的約5%，或其軍事預算的45%。這個數字也幾乎是北韓2021年出口價值的10倍，根據OEC 網站數據顯示，當年北韓的出口額為1.82億美元。

北韓駭客在加密產業竊取加密貨幣的運作方式，通常與利用加密混合器、跨鏈交易和法幣OTC 的傳統網路犯罪的運作方式相似。然而，因為有國家在背後作為後盾，所以竊取行為能夠擴大自身運作規模。這種運作方式是傳統網路犯罪集團無法做到的。

根據數據追蹤，2022年，約有44%被盜加密貨幣與北韓駭客行為有關。

北韓駭客的目標並不限於交易所，個人用戶、創投公司以及其他技術和協定都曾受到北韓駭客行為的攻擊。所有這些在該行業運營的機構和工作的個人都有可能成為北韓駭客的潛在目標，從而讓北韓政府繼續運作和籌集資金。

任何在加密產業中任職的用戶、交易所營運商以及新創公司創辦人，都應該意識到可能成為駭客攻擊的目標。

傳統金融機構也應密切關注北韓駭客組織的活動。一旦加密貨幣被竊取並轉換成法幣，北韓駭客竊取行為將在不同帳戶之間進行資金轉移以掩蓋來源。通常情況下，被盜身份以及修改後的照片被用於繞過AML / KYC 驗證。任何成為與北韓駭客團隊相關入侵受害者的個人識別資訊（ PII ）可能會被用來註冊帳戶，以完成竊取加密貨幣的洗錢過程。因此，經營加密貨幣和傳統金融業以外的公司也應警惕北韓駭客團體活動，以及他們的資料或基礎設施是否被用作進一步入侵的跳板。

由於北韓駭客組織的大多數入侵都始於社會工程和網路釣魚活動。一些組織機構應該培訓員工監控此類活動，並實施強有力的多因素身份驗證，例如，符合FIDO2 標準的無密碼認證。

北韓明確將持續竊取加密貨幣視為主要收入來源，用於資助自身軍事和武器計畫。雖然目前尚不清楚有多少竊取的加密貨幣直接用於資助彈道飛彈發射，但很明顯，近年來被竊取的加密貨幣數量以及飛彈發射數量都大幅增加。如果沒有更嚴格法規、網路安全要求和對加密貨幣公司網路安全的投資，北韓幾乎肯定會繼續以加密貨幣產業作為支持國家額外收入的來源。

2023年7月12日，美國企業軟體公司JumpCloud 宣布，一名北韓支持的駭客已經進入其網路。 Mandiant 研究人員隨後發布一份報告，指出負責這次攻擊的團體是UNC4899 ，很可能對應著“ TraderTraitor ”，一個專注於加密貨幣的朝鮮黑客組織。截至2023年8月22日，美國聯邦調查局（ FBI ）發布通告稱，北韓駭客組織涉及Atomic Wallet 、 Alphapo 和CoinsPaid 的駭客攻擊，共竊取1.97億美元的加密貨幣。這些加密貨幣的竊取使得北韓政府能夠在嚴格的國際製裁下繼續運作，並資助其高達50%的彈道飛彈計畫的成本。

2017年，北韓駭客入侵了南韓的交易所Bithumb 、 Youbit 和Yapizon ，當時竊取的加密貨幣價值約8,270萬美元。還有通報稱，2017年7月Bithumb 用戶的客戶個人識別資訊遭到外洩後，加密貨幣用戶也成為了攻擊目標。

除了竊取加密貨幣外，北韓駭客還學會加密貨幣挖礦。 2017年4月，卡巴斯基實驗室的研究人員發現一種Monero 挖礦軟體，該軟體安裝在APT38 的入侵中。

2018年1月，韓國金融安全研究所研究人員宣布，北韓的Andariel 組織在2017年夏季入侵一家未公開的公司伺服器，並用於挖掘了約70枚當時價值約25,000美元的門羅幣。

2020年，安全研究人員繼續報告了北韓駭客針對加密貨幣產業的新網路攻擊。北韓駭客組織APT38 針對美國、歐洲、日本、俄羅斯和以色列的加密貨幣交易所進行攻擊，並使用Linkedin 作為最初聯繫目標的方式。

2021年是北韓針對加密貨幣產業的最高產量的一年，北韓駭客入侵了至少7家加密貨幣機構，並竊取了價值4億美元的加密貨幣。此外，北韓駭客開始瞄準Altcoins （山寨幣），包括ERC -20代幣，以及NFT s 。

2022年1月， Chainalysis 研究人員確認，自2017年以來仍有價值1.7億美元的加密貨幣待兌現。

2022年歸屬於APT38 的顯著攻擊包括Ronin Network 跨鏈橋（損失6 億美元）、 Harmony 橋（損失1億美元）、 Qubit Finance 橋（損失8000萬美元）和Nomad 橋（損失1.9億美元）。這4次攻擊特別針對這些平台的跨鏈橋。跨鏈橋連接了2個區塊鏈，讓用戶可以將一種加密貨幣從一個區塊鏈發送到另一個包含不同加密貨幣的區塊鏈。

2022年10月，日本警察廳宣布Lazarus Group 針對在日本營運的加密貨幣產業的公司進行了攻擊。雖然沒有提供具體細節，但聲明指出，一些公司遭到了成功的入侵，並且加密貨幣被竊取。

2023年1月至8月間， APT38 據稱從Atomic Wallet （2次攻擊共1億美元損失）、 AlphaPo （2次攻擊共6 000萬美元損失）和CoinsPaid （3700萬美元損失）竊取了2億美元。同樣在1月份，美國FBI 證實， APT38 在竊取Harmony 的Horizo​​n 橋虛擬貨幣方面損失了1億美元。

在2023年7月的CoinsPaid 攻擊中， APT38 操作員可能冒充招募者，專門針對CoinsPaid 的員工發送了招募電子郵件和LinkedIn 訊息。 CoinsPaid 表示， APT38 花了6 個月的時間試圖獲得對其網路的存取權限。

緩解措施

以下是Insikt Group 提出的防範建議，以防止北韓網路攻擊針對加密貨幣用戶和公司的攻擊行為：

啟用多重身分認證（ MFA ）：為錢包和交易使用硬體設備，如YubiKey ，以增強安全性。

為加密貨幣交易所啟用任何可用的MFA 設置，以最大程度保護帳戶免受未經授權的登入或竊取。

驗證已驗證的社群媒體帳戶，檢查使用者名稱是否包含特殊字元或數字替換字母。

確保所要求的交易是合法的，驗證任何空投或其他免費加密貨幣或NFT 推廣活動。

在接收到類似Uniswap 或其他大型平台的空投或其他內容時，請務必檢查官方來源。

始終檢查URL ，並在點擊連結後觀察重定向，確保網站是官方網站而不是釣魚網站。

以下是針對社群媒體詐騙防禦的一些提示：

在進行加密貨幣交易時格外謹慎。加密貨幣資產沒有任何機構保障來減輕「傳統」詐欺。

使用硬體錢包。硬體錢包可能比像MetaMask 這樣始終連接到互聯網的「熱錢包」更安全。對於連接到MetaMask 的硬體錢包，所有交易都必須透過硬體錢包批準，從而提供了額外的安全層。

僅使用可信任的dApp s （去中心化應用程式），並驗證智慧合約位址以確認其真實性和完整性。真正的NFT 鑄造互動依賴於可能是更大dApp 的一部分的智慧合約。可以使用MetaMask 、區塊鏈瀏覽器（如Etherscan ）或有時直接在dApp 內部驗證合約位址。

雙重檢查官方網站的網址以避免模仿。一些加密貨幣竊取釣魚頁面可能依賴域名拚字錯誤來欺騙毫不知情的用戶。

對於看起來太好以至於難以置信的優惠表示懷疑。加密貨幣竊取釣魚頁面會以有利的加密貨幣交易匯率或NFT 鑄造互動的低廉Gas 費來吸引受害者。