iWeekly
根据美国财政部的数据,朝鲜近年来投入大量资源窃取加密货币,已经成为巨大的黑客威胁。加密平台Harmony本月宣布,旗下1亿美元数字货币被盗,而在调查后发现,罪魁祸首很可能是朝鲜。如果这一结论得到证实,这次最新的攻击将是朝鲜黑客今年以来犯下的第8起案件,高达10亿美元被盗。
朝鲜黑客盗窃1亿美元加密货币
根据加密平台Harmony、区块链公司Chainalysis的联合调查,黑客于6月23日从Harmony运营的Horizon Bridge被盗。Chainalysis 6月28日在Twitter上表示,此次攻击的风格和向一个中间人进行结构化支付的高速速度(用于掩盖资金来源),与此前被认为是与朝鲜有关的参与者发起的攻击类似。这一结论得到了其他研究人员的呼应。“初步看来,这像是一场基于交易行为的朝鲜黑客攻击。”前联邦调查局(FBI)调查员、区块链分析公司TRM Labs的分析师尼克·卡尔森(Nick Carlsen)表示。
另一家名为Elliptic的公司在6月30日的一份报告中表示,根据这次黑客攻击的性质以及随后被盗资金的洗钱活动,有明显迹象表明,朝鲜的“拉撒路”组织(Lazarus Group)可能对这次盗窃负责。报告称:“小偷试图打破交易线索,回到最初的盗窃模式,这使得在交易所兑现资金变得更容易。”
美国官员表示,“拉撒路”由朝鲜主要情报机构侦察总局(Reconnaissance General Bureau)控制。该公司被指控参与“想哭”(WannaCry)勒索软件攻击、入侵国际银行和客户账户,以及2014年针对索尼影业(Sony Pictures Entertainment)的网络攻击。根据美国财政部的数据,该政权近年来投入大量资源窃取加密货币,并对今年3月有记录以来规模最大的加密货币盗窃案之一负责,其中近6.15亿美元被盗。
但分析人士指出,朝鲜利用被盗资产变现的能力可能会受到最近加密货币市场暴跌的影响,据信加密货币市场暴跌导致朝鲜政府数百万美元的资金蒸发。
两名韩国政府消息人士表示,加密货币价值的突然暴跌始于今年5月,当时正值全球经济放缓,这使朝鲜利用该货币和其他盗窃行为获利的能力变得复杂。Chainalysis对路透社表示,自今年年初以来,该公司监控的旧的、未清洗的朝鲜加密货币资产的价值已从1.7亿美元下降到6500万美元,其中包括2017年至2021年49次黑客攻击中被盗的资金。分析师尼克•卡尔森(Nick Carlsen)表示,朝鲜的一个加密货币储藏库在2021年被抢劫,损失了数千万美元,如今又受到暴跌的影响,朝鲜持有的加密货币价值在过去几周内损失了80%至85%,现在价值不到1000万美元。卡尔森对路透社表示,此次黑客攻击涉及的不同资产之间相互关联的价格变动,使得很难估计朝鲜在这次黑客攻击中成功保存了多少资产。卡尔森说:“不用说,从账面上看,朝鲜损失了很多。但即使在价格低迷的情况下,这仍然是一个巨大的收益(因为是偷来的)。”
目前,朝鲜驻伦敦大使馆的工作人员表示,他无法就黑客攻击事件置评,因为有关加密货币黑客的指控“完全是假新闻”。朝鲜外务省称这些指控是美国的宣传。
核计划的“基础”
根据位于首尔的韩国国防分析研究所(Korea Institute for Defence Analyses)的数据,如果加密货币的崩溃继续下去,专家们认为,朝鲜方面可能会转向其他方式,为一项导弹计划提供资金。该计划今年迄今已耗资约6.2亿美元。
据估计,加密货币只占朝鲜财政的一小部分,但联合国监督制裁的专家小组协调员埃里克·潘顿-瓦克(Eric Penton-Voak)今年4月在美国的一场活动上表示,网络攻击已经成为朝鲜逃避制裁、为其核计划和导弹计划筹集资金的“绝对基础”。
2019年,制裁监督机构报告称,朝鲜通过网络攻击,为大规模杀伤性武器计划赚取了约20亿美元。总部设在日内瓦的国际废除核武器运动估计,朝鲜每年在核武库上花费大约6.4亿美元。
伦敦智库RUSI的亚伦•阿诺德(Aaron Arnold)表示,朝鲜只获得了它窃取资产的一小部分,因为它必须使用愿意无条件转换或购买加密货币的中间商。新美国安全中心(CNAS) 2月份的一份报告估计,在一些交易中,朝鲜只获得其窃取的货币价值的三分之一。朝鲜通过抢劫获得加密货币后,有时会将其转换为比特币,然后找到经纪人,以折扣价卖出比特币,换取现金,这些现金通常存放在朝鲜境外。阿诺德说:“就像卖掉一幅失窃的梵高作品一样,你无法获得公平的市场价值。”
CNAS的报告发现,与许多其他攻击者相比,朝鲜黑客对隐藏自己的角色只表现出“适度”的担忧。这使得调查人员有时可以追踪数字线索,将攻击归咎于朝鲜,但很少能及时追回被盗资金。
据Chainalysis报道,朝鲜已开始采用复杂的方式为窃取的加密货币洗钱,增加了对从数千个电子地址汇集和加密货币的软件工具的使用。Chainalysis在今年的一份报告中表示,攻击者欺骗人们提供访问权限,或者绕过安全系统,从联网钱包中抽取数字资金,进入朝鲜控制的地址。
印度软件公司Subex的网络安全部门Sectrio表示,有迹象表明,近几个月来,朝鲜开始再次加大对传统银行的攻击力度,而不是加密货币。但Chainalysis表示,它尚未看到朝鲜的加密行为发生重大变化,几乎没有分析人士预计朝鲜会放弃数字货币盗窃。CNAS报告的作者贾森•巴特利特(Jason Bartlett)表示:“朝鲜已将加密货币纳入其逃避制裁和洗钱的计划,这可能仍将是一个永久性目标。”
朝鲜如何利用加密技术破解疫情
《纽约时报》表示,贫穷、孤立且受到严厉制裁的朝鲜,长期以来一直通过非法活动来获取急需的现金。它贩运武器、毒品和伪造的百元美钞;它的工人为缅甸军方挖掘隧道,为非洲独裁者建造雕像和纪念碑;它派出黑客破坏外国网站,从企业和银行窃取信息。由于疫情导致边境关闭,传统银行加强了防范黑客的防火墙,加密货币盗窃已成为朝鲜政权日益重要的外汇来源。
分析表示,朝鲜几乎没有足够的电力来运行首都平壤的电梯,大多数人没有电脑,更不用说上网。然而,这个国家长期以来一直是世界上许多最精明、最具攻击性的黑客的家园——在国际计算机编程比赛中,朝鲜学生能够与来自世界顶尖大学的同龄人竞争。据韩国国家情报院(National Intelligence Service)称,2013年,金正恩称他的黑客是一把“万能剑”,其“无情的瞄准能力”堪比他的核武器和导弹。
“他们的独特之处在于,他们在政府的项目下接受训练、部署和运作。” 前韩国警察厅的首席反恐分析师柳东律(Yoo Dong-ryul,音译)说。据韩国方面估计,朝鲜拥有一支约6800名网络战士组成的军队——1700名黑客分布在7个不同的部队,以及5100名技术支持人员。
有才华的学生从小就被仔细筛选和培养。据韩国官员说,他们中最优秀的人会参加朝鲜主要间谍机构侦察总局开办的牡丹峰大学(Moranbong University)或军方开办的美林学院(Mirim College)的黑客培训项目。毕业后,大多数人被分配到侦察总局的网络战部门121处。
在朝鲜,只有少数忠诚度经过政府审查的工人被允许到国外工作。黑客也在其中,他们在中国、俄罗斯、白俄罗斯以及新加坡、菲律宾和马来西亚等东南亚国家活动,经常冒充自由计算机工程师。
与其他在海外工作的朝鲜工人一样,这些黑客在朝鲜派来的政治监督人员的监视下行动。“如果你认为他们攻击别人的网络会有道德上的内疚,那你就错了。”美林学院毕业生张世逸(Jang Se-iul,音)在接受采访时说,他曾在朝鲜军队担任军官,2008年叛逃到韩国。“对他们来说,网络空间是一个战场,他们在那里与伤害自己国家的敌人作战。”张说,朝鲜最初开始建设电子战能力是为了防御,但很快意识到,它可以成为打击数字敌人的有效进攻性武器。
“毫无疑问,朝鲜黑客真的很厉害,”潘顿-瓦克说, “他们关注的是加密货币非常有趣、非常灰色的新领域,因为实际上,第一,没有人真正了解它们,第二,它们有可以利用的弱点。”
据Chainaysis报道,朝鲜黑客通常通过网络钓鱼攻击,用虚假的领英招聘页面或其他诱饵引诱受害者,从而攻破外国加密钱包。然后,黑客使用一套复杂的金融工具转移被盗资金,通过结合多个数字资产流的加密货币“混合器”转移赃款,使跟踪某一批特定加密货币的移动变得更加困难。Chainalysis调查高级总监艾琳•普兰特(Erin Plante)说:“他们洗钱的方式非常有条理——在很长一段时间内少量移动,最终试图逃避调查人员。”
区块链游戏开发商Sky Mavis的创始人之一亚历山大•伦纳德•拉森(Aleksander Leonard Larsen)说,该公司是在一名员工下载了Word文档后遭到黑客攻击的。拉森说:“整个行业迟早都要面对这一后果。”他还表示,朝鲜黑客对他的公司发起的攻击,应该成为应对日益严重的安全威胁的行业“警钟”。
据悉,美国政府一直在努力打击盗窃行为,并惩罚那些试图为黑客提供便利的人。今年4月,美国加密货币专家维吉尔•格里菲斯(Virgil Griffith)被判处63个月监禁,罪名是在2019年未经授权前往朝鲜参加一场会议,并向朝鲜人民传授加密货币及其背后的技术。
新闻来源:卫报、Business Today、纽约时报、华盛顿邮报,部分图片来源于网络
iWeekly周末画报独家稿件,未经许可,请勿转载
© 2014 现代传播 Modern Media Co,Ltd.