GRO:揭秘朝鲜黑客组织Lazarus Group：Ronin、KuCoin等多起被盗事件幕后黑手_gROOT币

作者：饼干，链捕手黑客攻击如今已然成为加密生态中的常态化事件，据Chainalysis2022年Q1报告显示，黑客在2021年盗取价值32亿美元的加密资产，但在2022年前三个月，黑客从交易所、DeFi协议和普通用户盗取约13亿美元加密资产，其中97%来自DeFi协议。

而在一众黑客组织中，又以朝鲜黑客组织LazarusGroup近期最受关注。根据美国财政部报告，该组织正是损失高达6.2亿美元的Ronin跨链桥被盗事件的幕后黑手，其以太坊地址已经纳入美国制裁名单。此前，该组织被认为是Bithumb、KuCoin等诸多加密货币交易所被盗事件的主导者，并且手法多为钓鱼攻击。如今，LazarusGroup俨然正在成为加密生态最具破坏性的黑客组织之一。那么这个组织究竟是如何形成的？它们通常又是如何作案的？LazarusGroup简介

据维基百科资料，LazarusGroup成立于2007年，隶属于北韩人民军总参谋部侦察总局第三局旗下的110号研究中心，专门负责网络战。该组织从国内挑选最聪明的学生接受六年的特殊教育，培养其将各种类型的恶意软件部署到计算机和服务器的能力，朝鲜国内的金日成大学、KimChaek科技大学和Moranbong大学提供相关教育。该组织分为2个部门，一个是大约1700名成员的BlueNorOff，负责通过伪造SWIFT订单进行非法转账，专注于利用网络漏洞谋取经济利益或控制系统来实施金融网络犯罪，此部门针对金融机构和加密货币交易所。另一个是大约1600名成员的AndAriel，以韩国为攻击目标。已知LazarusGroup最早的攻击活动是2009年其利用DDoS技术来攻击韩国政府的“特洛伊行动”。而最著名的一次是2014年对索尼影业的攻击，原因是索尼上映关于暗杀朝鲜领导人金正恩的喜剧。该组织旗下机构BlueNorOff的一次知名攻击是2016年的孟加拉国银行攻击案，他们试图利用SWIFT网络从属于孟加拉国中央银行的纽约联邦储备银行账户非法转移近10亿美元。在完成了几笔交易后，纽约联邦储备银行以拼写错误引起的怀疑为由阻止了其余交易。自2017年以来，该组织开始对加密行业进行攻击，并获利至少达10亿美元。LazarusGroup加密攻击事件

腾讯云与 Chainlink Labs 建立合作伙伴关系:5月31日消息，腾讯云与 Chainlink Labs 建立合作伙伴关系，腾讯云为 Web3 开发者提供了云虚拟机、Elastic Kubernetes Service 等工具，未来这些解决方案可与 Chainlink Web3 服务结合使用，并提供对链下数据和计算的访问。

此外，通过此次合作，Chainlink BUILD 项目将获得价值 1 万美元的腾讯云服务代金券、优先上架腾讯云国际市场的产品和服务以及加入腾讯云 Web3 网络、网络研讨会和活动的早期邀请。[2023/6/1 11:51:14]

2017年2月从韩国交易所Bithumb盗取700万美元的数字资产。2017年4月从韩国交易所Youbit盗取约4000枚比特币，12月再次盗取其17%数字资产，Youbit申请破产。2017年12月从加密货币云挖矿市场Nicehash盗取超过4500枚比特币。2020年9月从KuCoin交易所盗取价值约3亿美元的数字资产。2022年3月攻击Ronin跨链桥，盗取17.36万个ETH和2550万USDC被盗，累计价值约6.2亿美元。此外，许多加密项目方负责人或者KOL也会成为LazarusGroup的目标。2022年3月22日，DefianceCapital创始人Arthur在推特表示热钱包被盗，包括17枚azuki和5枚cloneX在内的的60枚NFT，损失约170万美元。Arthur称有证据表明幕后黑手是朝鲜支持的BlueNorOff黑客组织，他们正在大力伤害加密行业。面对外界的指控，朝鲜曾发表公告称不是LazarusGroup所为，但此后从不回应媒体的询问。攻击特点

数据：持有100-1000枚比特币的鲸鱼地址近两日增持逾2万枚BTC:4月23日消息，根据链上分析公司Santiment的最新数据，在长达一个月的抛售期后，持有100-1000枚比特币的鲸鱼地址在过去两天内增持20007枚比特币。这表明这些鲸鱼对比特币的长期前景充满信心，并将当前的下跌视为买入机会。

并非所有鲸鱼地址都是如此，有些可能具有不同的交易策略或动机。例如，也有持有超1000枚比特币的鲸鱼地址最近一直在卖出而不是买入，可能是为了获利了结或重新平衡他们的投资组合。此外，一些鲸鱼可能是机构投资者或高净值个人，他们会访问场外交易市场或衍生品，而这些交易没有反映在链上数据中。

尽管如此，比特币持仓较低范围内的鲸鱼积累趋势可能表明，一些散户投资者或小规模交易者正在逢低买入。这可能会为价格提供一些支撑，并防止其进一步下跌。（Zycrypto）[2023/4/23 14:21:04]

根据虎符智库分析，LazarusGroup通过网络钓鱼、恶意代码、恶意软件等手段盗取存储在数字钱包的加密资产，主要有以下特点：攻击周期普遍较长，通常进行较长时间潜伏，并换不同方法诱使目标被入侵。投递的诱饵文件具有极强的迷惑性和诱惑性，导致目标无法甄别。攻击过程会利用系统破坏或勒索应用干扰事件的分析。利用SMB协议漏洞或相关蠕虫工具实现横向移动和载荷投放。每次攻击使用工具集的源代码都会修改，并且网安公司披露后也会及时修改源代码。LazarusGroup最擅长的攻击手段是滥用信任，利用目标对商业通信、同事内部聊天或者与外部交互的信任，向其发送恶意文件，并监控其日常操作伺机盗窃。在攻击者意识到找到的目标是加密大户后，会仔细观察用户数周或数月的活动轨迹，最后才制定盗窃方案。2021年1月，谷歌安全团队也曾表示发现Lazarus长期潜伏在Twitter、LinkedIn、Telegram等社交媒体，利用虚假身份伪装成活跃的业内漏洞研究专家，博取业内信任从而对其他漏洞研究人员发动0day攻击。据卡巴斯基的研究，今年BlueNoroff组织喜欢跟踪和研究成功的加密货币初创公司，目标是与团队管理层建立良好的个人互动关系并了解可能感兴趣的主题，甚至会雇佣或伪装成应聘者潜入公司，以便发起高质量的社会工程攻击。美国政府的一份报告，则进一步披露，入侵往往始于在各种通信平台上发送给加密货币公司员工的大量鱼叉式网络钓鱼消息，这些员工通常从事系统管理或软件开发/IT运营(DevOps)。这些消息通常模仿招聘工作并提供高薪工作以诱使收件人下载带有恶意软件的加密货币应用程序。把恶意文件植入目标电脑之后，如果攻击者意识到目标使用Metamask拓展来管理加密钱包之后，会将扩展源从WebStore更改为本地存储，并将核心扩展组件替换为篡改版本。下面截图显示了受病感染的Metamaskbackground.js代码，其中注入的代码行以黄色显示。在这种情况下，攻击者设置了对特定发件人和收件人地址之间交易的监控，可以在发现大额转账时触发通知。

Amazon Web Services与Ava Labs合作以扩大企业、机构和政府对区块链的采用:金色财经报道，云计算平台亚马逊网络服务 (AWS) 在博文中宣布已与Ava Labs合作，以扩大企业、机构和政府对区块链的采用。该合作伙伴关系将使开发人员更容易在 Avalanche 区块链上启动和管理节点，AWS 对 Avalanche 基础设施和 dApp 生态系统的支持允许一键式节点部署。 Ava Labs 还计划将子网部署添加到 AWS Marketplace，使个人和机构都能轻松启动自定义子网。

Ava Labs的创始人兼首席执行官Emin Gün Sirer表示，虽然与Ava Labs的合作是AWS与区块链生态系统的首次合作，但其他几个区块链，包括以太坊和其他较小的区块链，已经使用 AWS 为其网络提供动力。[2023/1/12 11:07:12]

另外，如果攻击者意识到目标用户的加密货币是储存在硬件钱包，会拦截交易过程并注入恶意逻辑。当用户将资金转移到另一个账户时，交易就会在硬件钱包上签名。但是，鉴于该操作是由用户主动发起，不会引起自身的怀疑，然而攻击者不仅修改了收款人地址，还将转账数量拉到最大值。

安全团队：NFT项目The Americans NFT Discord服务器遭攻击:7月27日消息，据安全团队CertiK监测，NFT项目The Americans NFT的Discord服务器遭到攻击，攻击者发布了钓鱼链接。请社区用户不要点击、铸造或批准任何交易。[2022/7/27 2:40:44]

这听上去很简单，但需要对Metamask扩展插件进行彻底分析，该扩展包含超过6MB的JavaScript代码，并实施代码注入让用户使用扩展时按需重写交易细节。但是，攻击者对Chrome扩展的修改会留下痕迹。浏览器必须切换到开发者模式，并且Metamask扩展是从本地目录而不是在线商店安装的。如果插件来自商店，Chrome会对代码强制执行数字签名验证并保证代码完整性，攻击者就无法完成攻击过程。如何应对

随着加密生态规模的快速增长，LazarusGroup对行业的威胁也在急剧增长。根据美国联邦调查局、美国网络安全和基础设施安全局和美国财政部近日共同发布的联合网络安全咨询，自2020年以来，朝鲜支持的高级持续威胁就已开始针对区块链和加密行业的各种组织，包括加密交易所、DeFi协议、链游、加密贸易公司、加密风投以及持有大量代币和NFT的个人所有者。这些组织可能会继续利用加密货币技术公司、游戏公司和交易所的漏洞来产生和以支持朝鲜政权。为此，该报告提出的缓解措施包括应用纵深防御安全策略、强制执行凭据要求和多因素身份验证、在社交媒体和鱼叉式钓鱼中对用户进行社交工程教育等。今日，知名加密安全组织慢雾也针对该现象发布防范建议：建议行业从业人员随时关注国内外各大威胁平台安全情报，做好自我排查，提高警惕；开发人员运行可执行程序之前，做好必要的安全检查；做好零信任机制，可以有效降低这类威胁带来的风险；建议Mac/Windows实机运行的用户保持安全软件实时防护开启，并随时更新最新病库。在渠道方面，以太坊混币协议TornadoCash近日也发推表示，该项目正在使用合规公司Chainalysis开发的工具来阻止美国外国资产控制办公室(OFAC)批准的特定加密钱包地址访问DApp，这似乎是在对LazarusGroup的围追堵截。不过TornadoCash联合创始人RomanSemenov此后发推称，封锁仅适用于面向用户的去中心化应用程序，而不适用于底层智能合约。也就是说，此举更多地是象征性行动，很难实质性影响资深黑客通过TornadoCash混币。总结

美国联邦信用合作社协会称开发CBDC的成本很大:7月8日消息，美国联邦信用合作社协会（NAFCU）在致美国商务部的一封信中警告称，开发CBDC的成本超过了该货币所宣扬的好处。NAFCU指出，除了CBDC，还有其他改进的替代方案可以实现相同的目标，例如替代支付和促进金融包容性。

据悉，NAFCU此前已致函美联储，警告称CBDC可能削弱金融稳定性。NAFCU表示：“美联储必须证明，在促进金融包容、保护消费者隐私、防范犯罪活动和确保金融稳定方面，CBDC将优于替代方法。NAFCU预计与引入CBDC相关的成本和风险将超过潜力好处。”

此前5月份消息，美国商务部就加密货币监管框架征集公众意见，时间截止至7月6日。昨日，比特币政策研究所向美国商务部提交关于数字资产竞争力的报告，而美国银行家协会致函商务部对美联储发行CBDC表示反对。（Finbold）[2022/7/8 2:00:18]

LazarusGroup组织是有国家背景支持的顶尖黑客团伙，专注于针对特定目标进行长期的持续性网络攻击，以窃取资金和实现目的为出发点，是全球金融机构的最大威胁之一。同时，此类组织对加密生态的攻击也会间接导致加密货币市场成为朝鲜政权补充资金的便捷渠道，导致加密行业的进一步恶名化，影响其合规化与规范化进程。为了应对LazarusGroup等一系列黑客组织的攻击以及维护健康的加密行业生态，加密项目需要在应对此类攻击方面形成更加有效的预防机制，在代码审计、内控、用户教育、响应机制等层面均采取相应措施，尽可能保障用户资产安全。作为加密用户，每个人也需要了解更多安全方面的知识，尤其是在保护个人隐私、鉴别钓鱼链接等方面，鉴于DefianceCapital创始人Arthur这般资深用户仍然被盗，任何人都不容忽视此类风险。参考资料：1、https://en.wikipedia.org/wiki/Lazarus_Group2、https://blog.chainalysis.com/reports/2022-defi-hacks/3、https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/4、https://cryptobriefing.com/north-korea-is-targeting-entire-crypto-space-top-vc-warns/

标签：GROUSGSGR加密货币gROOT币USG币SGRV2加密货币交易所排名

币安下载热门资讯