朝鲜黑客组织 Lazarus Group 网络攻击及洗钱事件

根据路透社获得的一份联合国机密报告，朝鲜黑客团伙 Lazarus Group 2023年从一家加密货币交易所窃取资金后，2024年 3 月份通过虚拟货币平台 Tornado Cash 洗钱 1.475 亿美元。监察员在之前提交的一份文件中告诉联合国安理会制裁委员会，他们一直在调查 2017 年至 2024 年间发生的 97 起疑似朝鲜黑客针对加密货币公司的网络攻击，涉及金额约 36 亿美元。其中包括2023年年底对 HTX 加密货币交易所的攻击，窃取的 1.475 亿美元在2024年 3 月完成洗钱^[1]。

美国于 2022 年对 Tornado Cash 实施制裁，2023 年，其两名联合创始人被指控协助洗钱超过 10 亿美元，其中包括与朝鲜有关的网络犯罪组织 Lazarus Group。

Lazarus Group 的洗钱方式

根据加密货币侦探 ZachXBT 的调查，Lazarus Group 在 2020 年 8 月至 2023 年 10 月期间将价值 2 亿美元的加密货币洗钱为法定货币。该团伙长期以来被指控进行大规模的网络攻击和金融犯罪，目标不仅限于特定行业或地区，而是遍布全球，从银行系统到加密货币交易所，从政府机构到私人企业。

典型攻击案例分析

1. 社会工程和网络钓鱼攻击 Lazarus Group 此前将欧洲和中东的军事和航空航天公司作为目标，通过在 LinkedIn 等平台上发布招聘广告来欺骗员工，要求求职者下载部署了可执行文件的 PDF，从而实施钓鱼攻击。他们的恶意软件使特工能够瞄准受害者系统中的漏洞并窃取敏感信息。在针对加密货币支付提供商 CoinsPaid 的为期六个月的行动中，使用了类似的方法，导致 CoinsPaid 被盗 3700 万美元。
2. 典型攻击事件
   • CoinBerry 和 Unibright 攻击事件 2020 年 8 月 24 日，加拿大加密货币交易所 CoinBerry 钱包被盗；2020 年 9 月 11 日，Unbright 由于私钥泄露，团队控制的多个钱包中发生了 40 万美元的未经授权的转账；2020 年 10 月 6 日，由于安全漏洞，CoinMetro 热钱包中未经授权转移了价值 75 万美元的加密资产。
   • Nexus Mutual 创始人攻击 2020 年 12 月 14 日，Nexus Mutual 创始人 Hugh Karp 被盗 37 万 NXM（830 万美元）。被盗资金通过一系列地址进行混淆、分散和归集操作，部分资金通过跨链到比特币链上，再通过一系列转移跨回以太坊链上，之后通过混币平台进行混币，再将资金发送至提现平台。
3. Steadefi 和 CoinShift 黑客攻击 2023 年 8 月，Steadefi 事件的 624 枚被盗 ETH 被转移到 Tornado Cash，同一个月，Coinshift 事件的 900 枚被盗 ETH 被转移到 Tornado Cash。在转移 ETH 到 Tornado Cash 之后，立即陆续将资金提取到几个固定地址上，最终通过中转和兑换，将资金发送到 Paxful deposit address 以及 Noones deposit address。

自 2017 年开始，朝鲜将加密行业作为网络攻击目标，窃取加密货币价值总计超过 30 亿美元。而在此之前，朝鲜曾劫持 SWIFT 网络，并从金融机构之间窃取资金。这种活动引起了国际机构密切关注。金融机构从而投资改善了自身网络安全防御。在 2017 年，加密货币开始盛行成为主流时，朝鲜黑客将其窃取目标从传统金融转向这种新型数字金融之上，首先瞄准的是韩国加密市场，随后在全球范围内扩展了影响力。

根据数据追踪，2022 年，约有 44% 被盗加密货币与朝鲜黑客行为有关^[2]。

参考链接[编辑 | 编辑源代码]