拉撒路集团
朝鲜黑客组织 来自维基百科,自由的百科全书
「和平卫士」重定向至此。关于又译和平卫士的一种陆基洲际弹道导弹,请见「LGM-118A和平守護者飛彈」。拉撒路集团(英語:Lazarus Group),也称为和平卫士(英語:Guardians of Peace)或Whois Team,是一个由数量不详的个人组成的黑客组织,据称由朝鲜政府运营[1][2]。虽然对该组织知之甚少,但研究人员将自2010年以来的许多网络攻击归因于他们。
该组织因其涉及多个重大网络攻击事件而被广泛关注。最早在2014年曝光,因其涉嫌对索尼影业进行的网络攻击而引起国际社会的关注。之后,它被认为是全球最具威胁的网络攻击组织之一。
背景
该组织已知的最早攻击被称为“特洛伊行动”(Operation Troy),该行动发生在2009年至2012年期间。这是一场网络间谍活动,利用简单的分布式拒绝服务(DDoS)攻击技术,目标是首尔的韩国政府。他们还负责2011年和2013年的攻击。虽然不确定,但他们也可能是2007年针对韩国的攻击幕后黑手。该组织最著名的攻击之一是2014年对索尼影业的攻击。索尼攻击使用了更为复杂的技术,突显了该组织随着时间的推移变得多么先进。[4]
该组织据报道在2015年从厄瓜多尔的奥斯特罗银行(Banco del Austro)窃取了1200万美元,并从越南的先锋股份商业银行窃取了100万美元[5]。他们还曾攻击波兰和墨西哥的银行[6]。2016年孟加拉银行遭黑客入侵,该组织成功窃取了8100万美元,这次袭击被归咎于该组织[7]。2017年,拉撒路组织被报道从台湾的远东国际银行窃取了6000万美元,但实际被盗金额不明确,大部分资金已被追回[6]。
虽然尚不清楚这个组织的幕后真正是谁,但媒体报道暗示该组织与朝鲜有联系[8][9]。卡巴斯基实验室在2017年报告称,拉撒路组织倾向于专注于间谍和渗透网络攻击,而该组织内部的一个子组(卡巴斯基称Bluenoroff)则专门从事金融网络攻击。卡巴斯基发现了全球范围内的多次攻击事件,并找到了Bluenoroff与朝鲜之间的直接联系(IP地址)[10]。
然而,卡巴斯基也承认,代码的重复可能是一个旨在误导调查人员并将攻击归咎于朝鲜的“伪装旗帜”,因为全球范围内的WannaCry蠕虫网络攻击也借鉴了美国国家安全局(NSA)的技术。这种勒索软件利用了一个名为EternalBlue的NSA漏洞,该漏洞由一个名为Shadow Brokers的黑客组织在2017年4月公开[11]。赛门铁克(Symantec)在2017年报告称,“高度可能”是拉撒路组织(Lazarus)在幕后操纵了WannaCry攻击[12]。
该组织的几名成员曾被派往中国沈阳接受专门培训。他们接受过培训,可以将各种类型的恶意软件部署到计算机、计算机网络和服务器上。国内教育包括金策工业综合大学、金日成大学和牡丹峰大学,它们从全国各地挑选最聪明的学生,让他们接受六年的特殊教育[13]。 除了大学水平之外,一些最优秀的程序员会被送往牡丹峰大学或美林学院接受进一步培训[14]。
攻击手法
该组织以多维度复合攻击模式著称。其典型攻击手法包括但不限于以下九种:
| 攻击手法 | 概述 |
|---|---|
| 社交工程与钓鱼攻击 | 拉撒路集团经常使用社交工程技术来诱使目标用户点击恶意链接或下载附件。这些攻击往往通过精心设计的钓鱼邮件传播,邮件内容看似来自可信的源头,如银行、政府机构或企业,目的是诱导受害者打开附件或点击链接,从而感染系统。 |
| 勒索软件 | 2017年全球爆发的WannaCry勒索风暴充分展现其技术实力。该组织利用Windows系统SMB协议中的EternalBlue漏洞(MS17-010),通过445端口进行网络蠕虫式传播。区别于传统勒索软件,该攻击具备自主横向移动能力,造成全球150余国超过30万台设备被加密劫持。 |
| 分布式拒绝服务攻击(DDoS) | 拉撒路集团曾利用DDoS攻击来打击目标,尤其是在其早期活动中。2011年,拉撒路集团发动了“十天暴雨”DDoS攻击,针对了韩国的媒体、金融和关键基础设施,使用了分布式拒绝服务攻击来造成网站瘫痪。 |
| 数据擦除攻击(Wiper Attacks) | 2013年,拉撒路集团发动了DarkSeoul攻击,这是一种擦除型攻击(Wiper),针对韩国的广播公司、金融机构和互联网服务提供商进行数据销毁。此类攻击通常会清除目标计算机上的所有数据,使系统无法启动或恢复。擦除型攻击的目标是彻底摧毁数据,通常不会要求赎金,而是通过破坏系统来造成混乱。 |
| 恶意软件和病毒 | 拉撒路集团使用各种定制化的恶意软件进行攻击,这些恶意软件具有高度的隐蔽性和攻击性。除了勒索软件和数据擦除工具外,他们还利用了其他类型的恶意软件,如间谍软件和后门程序,以便持续访问目标系统。 |
| 供应链攻击 | 供应链攻击是一种通过破坏第三方供应商的网络或软件来攻击最终目标的手法。拉撒路集团曾通过入侵韩国软件公司,利用其发布的更新或漏洞来传播恶意软件。通过这种方式,黑客能够以更隐蔽的方式感染更多用户。 |
| 利用零日漏洞 | 拉撒路集团善于发现并利用零日漏洞进行攻击。零日漏洞是指那些尚未被修复或公开的系统漏洞。拉撒路集团通过这些漏洞攻击受害者,并利用它们获得对目标系统的完全控制。 |
| 金融盗窃 | 拉撒路集团的活动也包括了直接的金融盗窃。通过网络攻击,拉撒路集团能够从银行账户、加密货币交易所等平台窃取巨额资金。 |
| 利用加密货币进行洗钱 | 拉撒路集团使用加密货币进行资金转移和洗钱,尤其是在进行金融盗窃后。由于加密货币具有匿名性,黑客可以轻松地洗净赃款。 |
攻击事件
拉撒路组织的首次重大黑客事件发生在2009年7月4日,标志着“特洛伊行动”的开始。这次攻击利用了Mydoom和Dozer恶意软件,发起了一场大规模但相对简单的分布式拒绝服务攻击,目标是美国和韩国的网站。攻击波及约三十个网站,并在主引导记录(MBR)中插入了“独立日的记忆”字样。[15]
随着时间的推移,拉撒路集团的攻击手段变得更加复杂;他们的技术和工具得到了更好的发展,且变得更加有效。2011年3月,名为“十天暴雨”(Ten Days of Rain)的攻击针对了韩国的媒体、金融和关键基础设施,采用了更加复杂的分布式拒绝服务攻击,这些攻击源自韩国境内被攻陷的计算机。2013年3月20日,拉撒路集团再次发动了“DarkSeoul”攻击,这是一种擦除型攻击,目标是三家韩国广播公司、金融机构和一个互联网服务提供商(ISP)。当时,两个名为“NewRomanic Cyber Army Team”和“WhoIs Team”的黑客组织宣称对此次攻击负责,但研究人员当时并未知道是拉撒路集团所为。如今,研究人员已将拉撒路集团认定为背后发动破坏性攻击的超级组织。[16]
2014年11月24日,Reddit上出现了一篇帖子,称索尼影业遭受了不明的、大规模的网络攻击,攻击者通过网络钓鱼和恶意软件侵入了公司的内部网络。攻击者不仅窃取了大量敏感数据,还泄露了公司内部文件、员工信息和未公开的电影剧本。一位自称是该组织成员的人在接受采访时表示,他们窃取索尼数据已有一年多时间[17]。此外,黑客还威胁要对即将上映的电影《采访》进行恐怖袭击,导致影院拒绝放映该片。[18]
美国政府指责朝鲜政府支持这次攻击,尽管朝鲜官方否认了相关指控。该事件被认为是拉撒路集团第一次大规模且公开的行动,其背后的动机据信与朝鲜政府对电影内容的不满有关,电影内容讽刺朝鲜领导人金正恩。
孟加拉国银行网络盗窃案发生在2016年2月。安全黑客通过SWIFT网络发出了35条伪造指令,试图从孟加拉国中央银行——孟加拉国银行——在纽约联邦储备银行的账户中非法转移接近10亿美元。其中5条指令成功转账了1.01亿美元,分别将2000万美元转账至斯里兰卡,8100万美元转账至菲律宾。纽约联邦储备银行由于怀疑指令中的拼写错误,阻止了剩余的30笔交易,金额达到8.5亿美元[19][20][21]。网络安全专家称,来自朝鲜的拉撒路集团是此次攻击的幕后黑手[22][23]。
WannaCry攻击是一场大规模的勒索软件网络攻击,发生在2017年5月12日,波及全球多个机构,从英国的NHS(国家医疗服务体系)、波音公司,到中国的大学等。此次攻击持续了7小时19分钟。欧洲刑警组织估计,WannaCry影响了150个国家的近20万台计算机,影响了医疗、教育、银行等多个行业,导致了巨大的经济损失。
这是加密蠕虫(cryptoworm)攻击的首次大规模应用之一。加密蠕虫是一类能够通过网络在计算机之间传播的恶意软件,不需要用户的直接操作就能感染计算机——在此次攻击中,漏洞利用的是TCP端口445[24]。要感染计算机,用户不需要点击恶意链接——恶意软件能够自主传播,从一台计算机传播到连接的打印机,再进一步传播到相邻的计算机,甚至可能通过WiFi传播。端口445的漏洞使得恶意软件能够在内部网络中自由传播,迅速感染成千上万台计算机。WannaCry攻击是加密蠕虫首次大规模应用的标志之一[25]。
该病毒利用了Windows操作系统中的一个漏洞,然后加密计算机的数据,要求支付大约300美元的比特币以获取解密密钥。为了鼓励支付,赎金要求在三天后翻倍,如果在一周内未支付,恶意软件将删除加密的数据文件。该恶意软件使用了微软制作的名为Windows Crypto的合法软件来加密文件。一旦加密完成,文件名后会附加“Wincry”,这也是WannaCry名称的由来。Wincry是加密的基础,但恶意软件还利用了两个额外的漏洞,即EternalBlue和DoublePulsar,使其成为一种加密蠕虫。EternalBlue自动通过网络传播病毒,而DoublePulsar则触发它在受害者的计算机上激活。换句话说,EternalBlue将感染链接发送到你的计算机,而DoublePulsar则帮你点击了链接。[26]
轻易的终止开关和缺乏收入使很多人相信这次攻击是国家支持的;其动机不是经济补偿,而只是为了制造混乱。攻击发生后,安全专家将DoublePulsar漏洞追溯到美国国家安全局,该漏洞在那里被开发成网络武器。该漏洞随后被黑客组织Shadow Brokers窃取,他们先是试图拍卖它,但没有成功,然后干脆免费赠送。美国国家安全局随后向微软披露了这一漏洞,微软在2017年3月14日发布了更新,这距离攻击发生不到一个月。但这还不够。更新不是强制性的,大多数存在漏洞的计算机在5月12日之前都没有解决问题,这导致了这次攻击惊人的有效性。[26]
2018年,Recorded Future发布了一份报告,将拉撒路集团与针对加密货币比特币和门罗币用户的攻击联系起来[28],主要发生在韩国。这些攻击被报告为在技术上与之前使用WannaCry勒索病毒的攻击以及索尼影业遭遇的攻击相似[29]。拉撒路黑客使用的一种攻击手段是利用韩国汉字处理软件Hancom Hangul中的漏洞。另一种手段是通过钓鱼邮件传播恶意软件,这些邮件被发送给韩国学生以及像Coinlink这样的加密货币交易所用户。如果用户打开了恶意软件,它会自动窃取电子邮件地址和密码[30]。Coinlink否认其网站或用户的电子邮件和密码被黑客攻击。报告总结称:“2017年底的这次攻击活动是朝鲜对加密货币兴趣的延续,现已知这种兴趣涵盖了包括挖矿、勒索软件和直接盗窃在内的广泛活动……”报告还指出,朝鲜正在利用这些加密货币攻击以规避国际金融制裁[31]。
2017年2月,朝鲜黑客从韩国交易所Bithumb窃取了700万美元[32]。另一家韩国比特币交易所Youbit在2017年12月申请破产,因为其资产的17%在经历了2017年4月的一次攻击后被黑客盗走。拉撒路集团和朝鲜黑客被指责为这些攻击的幕后黑手[33]。2017年12月,Nicehash,一个加密货币云挖矿市场,损失了超过4500个比特币。调查更新称,该攻击与拉撒路集团有关[34]。
由于持续的COVID-19大流行,拉撒路集团将药品公司作为主要目标。该集团利用定向钓鱼技术,伪装成健康官员并向药品公司员工发送恶意链接。据报道,多个主要的药品组织可能被攻击,但目前唯一确认的是英荷合资的阿斯特拉Zeneca。据路透社报道,受影响的员工范围很广,包括许多涉及COVID-19疫苗研究的人员[35]。目前尚不清楚拉撒路集团在这些攻击中的具体目标是什么。
2021年1月,Google和微软都公开报告了一个针对网络安全研究人员的攻击事件,微软特别将此攻击归咎于拉撒路集团[36][37][38]。黑客在Twitter、GitHub和LinkedIn上创建了多个用户资料,假冒合法的软件漏洞研究人员,并利用这些资料与其他安全研究社区的成员进行互动。黑客接着通过直接联系特定的安全研究人员,提出合作研究的邀请,目的是让受害者下载含有恶意软件的文件,或者访问一个由黑客控制的博客网站[38]。
一些访问该博客的受害者报告称,尽管他们使用的是已完全修补版本的Google Chrome浏览器,但计算机仍然被入侵,这表明黑客可能利用了Chrome的一个未知零日漏洞进行攻击;然而,谷歌表示,在报告发布时,他们未能确认具体的入侵方法[37]。
子组织
BlueNorOff(也称:APT38、Stardust Chollima、BeagleBoyz、NICKEL GLADSTONE[39])是一个以财务为动机的黑客组织,负责通过伪造SWIFT订单进行非法资金转移。BlueNorOff也被美国麦迪安网络安全公司称为APT38,Crowdstrike称为Stardust Chollima。
根据美国陆军2020年的一份报告,Bluenoroff约有1,700名成员从事金融网络犯罪,他们专注于长期评估并利用敌方网络漏洞和系统为政权谋取经济利益或控制该系统[40]。他们的目标是金融机构和加密货币交易所,包括2014年至2021年间至少13个国家/地区的16多个组织:孟加拉国、智利、印度、墨西哥、巴基斯坦、菲律宾、韩国、中华民国、土耳其和越南。据信这些收入将用于开发导弹和核技术[41]。
BlueNorOff最臭名昭著的一次网络攻击事件是2016年孟加拉国银行网络盗窃案,BlueNorOff试图利用SWIFT网络从孟加拉国中央银行纽约联邦储备银行的账户中非法转移近10亿美元。在几笔交易顺利完成之后(2000万美元追溯到斯里兰卡,8100万美元追溯到菲律宾),纽约联邦储备银行因其拼写错误引发怀疑而阻止了剩余的交易[41]。
与BlueNorOff相关的恶意软件包括:DarkComet、Mimikatz、Nestegg、Macktruck、WannaCry、Whiteout、Quickcafe、Rawhide、Smoothride、TightVNC、Sorrybrute、Keylime、Snapshot、Mapmaker、net.exe、sysmon、Bootwreck、Cleantoad、Closeshave、Dyepack、Hermes、Twopence、Electricfish、Powerratankba和Powerspritz。[40]
AndAriel(也拼写为Andarial[40],另有别名:Silent Chollima、Dark Seoul、Rifle和Wassonite[39])在其攻击特点上以针对韩国为主。AndAriel的另一个名称Silent Chollima源于该子组织的隐秘性质[42]。任何在韩国的组织都可能成为AndAriel的攻击目标。其目标包括政府、国防以及任何经济象征[43]。
根据美国陆军2020年的一份报告,Andarial拥有约1,600名成员,其任务是侦察、评估网络漏洞以及绘制敌方网络地图以进行潜在攻击[40]。除了韩国,他们还针对其他政府、基础设施和企业。攻击媒介包括:ActiveX、韩国软件中的漏洞、水坑攻击、鱼叉式网络钓鱼(宏)、IT 管理产品(防病毒软件、PMS)和供应链(安装程序和更新程序)。使用的恶意软件包括:Aryan、Gh0st RAT、Rifdoor、Phandoor和Andarat。[40]
反应及应对
微软EternalBlue全球补丁计划,从2017年持续更新至2023年5月,开发SMBv3永久禁用工具和内存保护扩展(MPX),使WannaCry变种攻击成功率下降97%(据卡巴斯基2023报告)。
2020年2月,联合国安全理事会与欧盟刑警组织依据联合国1718(2006)号决议对朝鲜光明星银行等16个实体实施金融制裁,查封6500万美元非法资金,涉及38个国家的132个银行账户[44]。
2021年2月,美国司法部起诉了朝鲜人民军总参谋部侦察总局的三名成员,指控他们参与了多起拉撒路集团的黑客攻击活动:朴振赫(Park Jin Hyok)、全昌赫(Jon Chang Hyok)和金一朴(Kim Il Park)。朴振赫在2018年9月已经被起诉。这些人目前不在美国拘留中。此外,还有一名加拿大人和两名中国人被指控为拉撒路集团充当了“搬运工”和洗钱人[45][46][47]。
2023年11月29日,美国财政部对一家虚拟货币混合器Sinbad公司实施制裁,冻结了Sinbad的所有美国资产,总体上禁止美国人与之交易,因虚拟货币混合器公司Sinbad处理了同朝鲜有关的拉撒路集团抢劫的价值数百万美元的虚拟货币,包括Axie Infinity和Horizon Bride抢劫的数百万美元[48]。
另请参阅
参考来源
外部链接
Wikiwand - on
Seamless Wikipedia browsing. On steroids.