來源/31QU
文/石頭
“駭客也是人,背後也有老闆、有組織、有道德”——這句話來自一箇中國駭客的自白。
在加密產業的財富集中爆發的過去十年,駭客成為了一個全球各大媒體的頭條高頻詞,然而正如這名駭客自白中的描述,大多數駭客都是一個有組織並摻雜著各種利益的團體。
拉撒路攻擊過的國家
在這些駭客團體中,最為危險的存在當屬由朝鮮政府直屬的一個駭客組織拉撒路集團(英文:Lazarus Group,後面簡稱拉撒路),據Group-IB的追蹤報告顯示:拉撒路由朝鮮情報偵察總局下屬的121局控制,而121局自成立以來一直負責朝鮮的網路軍事活動。
在過去一年多的活動中,拉撒路在加密貨幣產業至少盜取了5.71億美元的資產。如果你在去年的加密投資中損失慘重, 偷走你錢的也許並非只有黑莊,還有一個急需外匯的國家——朝鮮。
1
來自韓國的全民公敵
據GROUP-IB的資料顯示:在2017年3月到2018年10月,拉撒路曾對位於多個國家的加密公司進行過襲擊。其中韓國是拉撒路的最愛,佔據了拉撒路在過去所有襲擊中的80%。
至於原因,則源於韓國和朝鮮的歷史問題,而拉撒路則只是充當了這些歷史問題的罪惡之手。
拉撒路的成名首秀源於2009年的特洛伊行動,“特洛伊行動”是它成立後的第二次網路攻擊,旨在透過攻擊對方網站的伺服器,而讓網路停止工作和盜取資訊,這次攻擊主要針對了韓國的武裝部的內部資訊系統和韓國政府機構的對外網站。
對於一個網路強國的網路劫持,讓拉撒路在國際駭客組織的聲望上一戰成名。
韓國雖然意識到了自己的網路安全已經被一個強大的駭客組織盯上,但卻並未對拉撒路抱有足夠的重視。
2013年3月20日,三家韓國電視臺在正常播放節目時再次受到了拉撒路的網路劫持,因為拉撒路此前已經有過多次進攻實驗,所以在這次名為“3·20電算大亂(DarkSeoulØ peration)”的行動中,三家電視臺的核心伺服器直接癱瘓。
在三家電視臺向韓國通訊監測單位進行資訊上訴後發現,在同一天的行動中,讓核心伺服器直接癱瘓的還有“新韓銀行”。事件發生的第二天,韓國金融委員會表示:濟州銀行、韓國農業協會、友利銀行以及韓國放送公社等單位均在這次攻擊中受到了入侵。
這次事件,也徹底讓拉撒路成為了韓國網路安全預防名單上排名第一的駭客組織。
2
索尼的挑釁和教訓
在韓國政府單位對拉撒路進行全方位警戒後,拉撒路對韓國軍事及政府單位的網路攻擊次數明顯降低。而拉撒路在失去韓國的練手後,此時的日本索尼影業卻在暗中策劃對朝鮮政府的挑釁行為。
《刺殺金正恩》海報
顯然,索尼並沒有將朝鮮這個國家放在眼中。而索尼將因為拉撒路的存在,為自己的自大和傲慢,付出高昂的代價。
2014年,索尼影業投資4400萬美元拍攝了一部喜劇電影《刺殺金正恩》,2014年11月在電影殺青後不久,索尼影業曾宣佈12月25日聖誕節期間,首先在北美的各大影院上映這部“惡搞朝鮮領導人”的電影。
據31QU瞭解,這部電影講述了2位美國脫口秀主持人在得知朝鮮最高領導人金正恩是《今夜胡鬧秀》的粉絲後,美國中央情報局徵集他們去暗殺金正恩,於是他們決定採訪金正恩,並在採訪過程中執行暗殺任務。
然而,就在索尼影業宣佈這部電影即將上線時間後不久,11月24日索尼影業便遭遇了拉撒路的網路襲擊,在這次襲擊中拉撒路使用“和平保衛者”的名字,盜取了索尼影業的大量商業資訊以及索尼員工的個人資訊。
12月17日,拉撒路利用盜取的員工資訊,給索尼的多位高管傳送了一份匿名威脅信,在這封匿名信的中拉撒路直接寫到:“還記得2001年的9月11日嗎?”(美國911事件)
“我們將在上映《刺殺金正恩》的地點,包括首映式上,清楚地展示,那些從恐怖行徑中取樂的人將註定迎來被毀滅的命運。”
面對拉撒路對索尼員工資訊及所有上映地點資訊的瞭解,索尼最終在收到威脅信的第二天就對外宣佈,取消《刺殺金正恩》在2014年12月25日的公映。
在威脅信發出的24小時內,美國的大量影院便已經宣佈取消了對這部電影的播放。
事實上,在攻擊發生後,朝鮮官方還曾主動宣佈自己和攻擊事件無關,並聲稱這是同情朝鮮的人士發動的“義舉”。不過這一說辭,很快便被網路安全組織Group-IB的調查結果打臉。
而索尼影業,之後便再也沒有將這部電影搬上熒幕,這部耗資4400萬美元的“喜劇片”,最後也只能在一些盜版資源網站進行流傳。
3
駭客人才的自我進階
索尼影業的駭客事件發生後,美國和日本也開始重視對拉撒路進一步的調查工作。
在對一名曾經參與過索尼影業襲擊的駭客進行了四年追蹤後,最終確定了這名駭客的真身份——Park Jin Hyok(中文名為樸智孝)。
美國為了追蹤這個名為樸智孝的駭客,曾追查了他所有的惡意軟體樣本、域名、電子郵件以及社交媒體賬戶。並最終用多項證據證明,樸智孝曾參與了索尼影業伺服器入侵事件、世界各大銀行的ATM機盜竊案、洛克希德馬丁公司入侵案以及孟加拉國銀行搶劫案等多個拉撒路的重要活動。
2018年9月6日,美國司法部對樸智孝正式提出了長達179頁的國際訴訟。在訴訟中,美國司法部將樸智孝定義為拉撒路的核心積極分子,而這個稱呼意味著樸智孝在拉撒路組織中擁有不俗的地位。
在起訴過程中,司法部負責人約翰·德默斯曾對樸智孝評論到:“對於尊重法治的人來說,投訴所指控的網路犯罪的規模和範圍是驚人的。”
而面對美國司法部的起訴書,朝鮮外交部官員韓永松則直接發言稱:
“朝鮮並沒有樸智孝這樣的一個少年,美國應該認真思考散佈虛假和煽動對抗朝鮮的負面後果!如果美國試圖透過荒謬的謊言和高壓手段從我們那裡獲得任何東西,那就完全錯了”。
雖然朝鮮官方極力否認,但美國早已追蹤到樸智孝個人的駭客經歷,並確認了這個人的真實存在。
據悉,樸智孝是朝鮮平壤的金澤科技大學的一名學生,在畢業後因為成績優秀而被國家派遣到一個韓國和朝鮮共同投資的企業“朝鮮博覽會”進行實習,調查人員表示,朝鮮博覽會涉及許多不同的線上服務業務,比如線上遊戲和線上賭博,旨在成為電子商務和彩票網站。
其中,樸智孝使用Java、JSP、PHP、Flash以及Visual C ++在位於大連的分公司工作多年,而這些技能都是拉撒路病毒程式的編寫語言。
2014年,樸智孝回到了朝鮮,並在朝鮮121局的一個旗下公司開始駭客生涯。而美國司法部在2018年9月6日對樸智孝進行起訴後,今天我們依然可以在FBI的官網上,找到樸智孝中文、英文和韓文的全球通緝令。
顯然,樸智孝只要依然還在朝鮮,他的安全就將得到庇護。
4
加密產業的洗劫
2006年朝鮮進行第一次核試驗後,聯合國安理會透過多項決議開始對朝鮮實施經濟制裁,但朝鮮前期的核試驗成果大多並不具備實質威脅,所以在2016年以前,朝鮮的經濟貿易依然屬於“相對正常狀態”。
但這種“相對正常”在2016年發生轉變,2016年3月,隨著朝鮮第四次核試驗的成功,美國正式以2270號決議為理由,對朝鮮進一步加強了制裁。
在這次決議生效後,國際所有親美國家將不再接收來自朝鮮的黃金、釩、鈦、稀土金屬以及煤炭等資源型商品的出口,只有純粹用於“生計目的”的交易被“額外”豁免。
隨著2270決議的生效,朝鮮的外匯來源被立刻切斷。在國家危機時刻,拉撒路集團在充當了朝鮮外匯收入的第一先鋒。
根據GROUP-IB的報告顯示:2016年後的拉撒路集團,其活動行為從政治攻擊轉向經濟攻擊。
2016年2月,在朝鮮預感到經濟制裁的時間後,拉撒路集團利用孟加拉國的銀行安全漏洞滲透其系統,並獲得可訪問SWIFT網路的計算機。在得到這一許可權後,拉撒路快速從孟加拉國的銀行劃去了10億美元的資產,但最終在執行過程中因檔案錯誤,而只盜走了8100萬美元。
除了從銀行的賬戶中盜竊,拉撒路此後還利用其他駭客組織的技術,學會了如何讓銀行ATM機自動吐錢,並憑藉各種手段先後洗劫了波蘭、印度和韓國等多個國家的銀行存款。
2018年,根據美國政府的報告:拉撒路在2017年的活動中,至少讓30多個國家的ATM機發生過吐錢故障;在2018年事件中,拉撒路則攻擊了23個不同國家的自動取款機。
與此同時,世界各國對朝鮮的經濟制裁進一步惡化。
2016年11月,在美國推動下聯合國正式透過的第2321號決議限制了朝鮮的煤炭出口,並禁止銅、鎳、鋅和銀的出口。
2017年8月透過的第2371號決議禁止朝鮮所有煤炭、鐵、鉛和海鮮的出口。
隨著對朝鮮經濟制裁的加劇,拉撒路的攻擊目標也漸漸寫上了加密產業的名字。其中除卻我們先前提到的韓國和日本加密交易所被盜事件外,拉撒路還利用病毒軟體來劫持計算機,用以收取比特幣贖金,以及透過釣魚網站來盜取個人使用者的加密資產,來獲得國家貿易所需要的美元。
據一些媒體報道,拉撒路是WannaCry勒索軟體攻擊的肇事者,這一病毒曾感染超過20000臺計算機。
2018年,國際知名的情報公司Recorded Future釋出的一份報告顯示:拉撒路在朝鮮政府被經濟制裁的最嚴重時期,可能還透過發行“空氣幣”的方式進行了國際詐騙。
在釋出這一報告前的採訪中,Recorded Future公司直言:“我們已經發現了一種加密貨幣騙局,名為Marine Chain,由新加坡的朝鮮人進行控制和運營。”
根據Marine Chain的線索,Recorded Future公司在深入調查後發現:該網站託管在四個不同的IP地址上,這些地址在2017年和2018年期間託管了其他幾個與加密貨幣相關的騙局。
其中一個是名為Binary Tilt的二元期權交易公司,該公司被加拿大安大略省政府視為欺詐後關停,而另一個加密詐騙專案則在經歷星際、恆星、持有以及HUZU的四次更名後徹底消失。
值得注意的是,這些“空氣幣”的詐騙專案的資金回款路徑,均指向和拉撒路有關的比特幣錢包地址。
在拉撒路加密領域的作惡行徑曝光後,曾有媒體經過多次計算得出結論稱:拉撒路是朝鮮被制裁期間外匯收入的主要創收來源。
5
調查的止步
從2009年的特洛伊行動至今,雖然拉撒路曾使用隱藏的COBRA、和平守護者、ZINC和尼克學院等名字,以及冒充俄羅斯駭客組織等方法作惡多端,但因為拉撒路整個組織受到朝鮮國家的庇護,所以目前各國對這群網路犯罪分子的抓捕卻舉步維艱。
此前,曾有美國的調查人員深入朝鮮來追查過拉撒路的辦公場所。據Group-IB調查顯示:在所有涉及拉撒路的網路終端訊號的追蹤中,他們的辦公地點都會涉及到朝鮮平壤波東崗區的兩個景點——朝鮮民主主義人民共和國國防委員會(NDC)和未完成的105層高的Ryugyong酒店。
Ryugyong酒店因為比鄰朝鮮民主主義人民共和國國防委員會(NDC)的緣故,都會佈滿荷槍實彈的軍人——禁止所有外國人的出入和拍照。
鑑於軍隊的貼身保護,目前所有網路安全公司對拉撒路的追蹤也僅僅到此為止,但大家都清楚的知道——那裡是121部隊的所在地,神秘而充滿未知的危險。
結語
2018年5月,在《軍武大本營第三季》節目中,360董事長周鴻禕對話局座召忠,兩人大談網路戰爭。
節目中周鴻禕表示:駭客都是很有個性的人,很難用一種批次化的方法去培養。他同時還透露,駭客的收入很高,年薪百萬千萬不是問題。
但對於朝鮮這樣的一個國家而言,駭客可能肩負的並不止是個人利益,還有國家命運、民族榮譽以及所有同族人民的敬仰。這些光環,屬於金錢之外,卻比金錢的快感更能喚起一批民族駭客的成就感。
即便,他們被世界上其他駭客們唾棄,他們也依然在自己的信仰下,對無辜的人舉起屠刀。
宣告:“31QU”所有原創文章,轉載均須獲得“31QU”授權。未獲授權嚴禁轉載。
