组织背景
“Lazarus”这个名字源于圣经,指的是一个死去四天后被耶稣复活的人物,象征着起死回生的力量。朝鲜黑客组织拉撒路集团(Lazarus Group)的行动特点与这个名字颇为相似,神秘莫测,屡次卷土重来。最近,该组织因血洗Bybit交易所15亿美金资产,创下加密史上最大劫案而再次引发全球广泛关注。
根据维基百科的公开资料,拉撒路集团是一个由未知人数的个人组成的黑客组织,被指是由朝鲜政府运营。朝鲜情报系统前高官金国松(Kim Kuk-song)在脱北后透露,该组织在朝鲜内部被称为414联络办公室。美国司法部更是直接确认,拉撒路集团是朝鲜用来破坏全球网络安全和获取非法资金的工具。
过往重大攻击活动
拉撒路集团首次引起国际社会的关注是其在2014年对索尼影业发动攻击。这场黑客行动起源于好莱坞电影《The Interview》,这部讽刺喜剧讲述了对朝鲜领导人金正恩的刺杀行动。
朝鲜政府在得知影片内容后发出强烈抗议,并威胁如果影片上映将采取行动。迫于压力,索尼影业重新编辑了影片并推迟上映,新修改后的内容虽不再显得那么激进,但仍未完全按照朝鲜政府的要求行事。
当年11月,拉撒路集团利用恶意软件入侵索尼影业内部系统,不仅从硬盘中永久抹除数据,还盗取了包括索尼影业未发行的影片、商业机密、财务等敏感数据。朝鲜方面声称,如果仍不取消上映,他们将造成更致命的损害,甚至会在电影上映期间实施恐怖袭击。在如此紧张的局势下,各大影院纷纷取消了电影排期。
来自拉撒路集团的威胁迫使好莱坞在艺术自由表达的权力上做出了妥协,但这种让步并没有换来和平与尊重,反而助长了更大的野心,导致了威胁与破坏的加剧。
2016年,拉撒路集团在经过一年多的精密策划后,成功入侵孟加拉中央银行的SWIFT控制系统,企图将孟加拉银行存在纽约联邦储备银行账户中的近10亿美元资金非法转出。虽然未能得手全部资金,但也让孟加拉银行蒙受了8100万美元的亏损。
强大到可以入侵一个主权国家的央行系统,那么个人和公司电脑系统更是不在话下。2017年,一个名为WannaCry的勒索病毒一夜之间感染了全球150个国家的近20万台计算机,影响了医疗、教育、银行等多个行业。该病毒利用了Windows操作系统中的一个漏洞,然后加密计算机的数据,要求支付大约300美元的比特币以获取解密密钥。为了鼓励支付,赎金要求在三天后翻倍,如果在一周内未支付,恶意软件将删除加密的数据文件。
拉撒路集团从2017年起逐渐将攻击目标更多的转向加密领域。根据联合国在2024年发布的一份报告,拉撒路集团在2017年到2023年期间共发动了58起针对加密货币公司的网络攻击,造成损失约30亿美元。区块链数据平台Chainalysis的数据也显示,与朝鲜有关的加密货币黑客攻击从2023年起增加了一倍多,到2024年,所造成损失达到13亿美元。
朝鲜的黑客培养体系
在大部分人印象中,落后、闭塞、贫穷的朝鲜似乎跟”高科技”、“网络黑客”这些词都不搭边,那么资源贫瘠的朝鲜又源何能培养出世界顶级黑客?
其实,早在上世纪80年代,朝鲜政府就已开始大力投入资源培养黑客,内部将此行动命名为“Secret War”。在朝鲜,网络攻击也与导弹、核武器并列,被认为是低成本、高回报的非对称战术。这种国家主导的培训体系,使得黑客团队高度专业化、组织化。
金正恩在2013年时曾说:“网络战是与核导弹一起保证朝军无情打击能力的万能宝剑。”
朝鲜是一个阶级划分明确的社会。相关资料显示,朝鲜按照对政权的忠诚度将人民分为基本群众、复杂群众、敌对阶级残余分子三大阶层。这些阶层分类都记载在居民台账上,在干部录用过程中使用,但对黑客人才的选拔却实属罕见的能突破社会阶级限制。
此前,有媒体援引知情人士的报道称,在朝鲜,年轻黑客月薪可达2000美元。而根据维基百科的信息,朝鲜的平均月薪现时也不过约55美元。除此之外,他们还能获得平壤市中心超过185平米的豪华公寓,并且可以将家人迁至首都。
在金钱与特权的吸引下,朝鲜黑客组织也吸引着大量人才报名。据脱北者和相关情报机构的报告,被视为“朝鲜版的顶级黑客军校”的朝鲜自动化大学每年大约从5000名申请者中筛选出100人,录取率仅2%,入选者通常是全国最优秀的数学和计算机人才,他们经过数年的严格训练后就会被分配到朝鲜侦察总局下属的网络战部队。
冷钱包“金身告破”?面对国家级黑客,交易所们准备好了吗?
Bybit交易所此次遭遇的安全事件以近15亿美元的数字资产损失创下加密史上单次被盗金额新高,这一事件不仅揭示了多重签名冷钱包作为行业安全“金标准”的系统性漏洞,更暴露出网络安全防御体系中人因要素的双重困境——既作为最后防线的关键角色,又构成最脆弱的攻击突破口。
Gate.io的相关安全人员在与Cointelegraph的采访中指出,Bybit的此次被盗事件表明,冷钱包并非绝对安全,真正的关键在于技术手段与内部管理的结合。从技术方面来看,冷钱包的安全性可以从多签名机制的升级、智能合约的深度审计以及硬件安全模块(HSM)的广泛应用三个维度上继续强化。
在内部管理方面,零信任安全体系的深化是整个加密行业防范内部风险的关键。采用“持续验证、永不信任”的原则,确保所有操作均需经过严格的身份验证和授权。同时,引入基于角色的访问控制(RBAC)和最低权限原则(PoLP),限制员工对敏感数据的访问权限,从根本上降低安全风险。
例如,Gate.io即通过严格的访问控制和定期的权限审查,确保关键操作的透明性和可追溯性。此项举措可确保仅授权人员才能访问敏感数据,实现从内部源头上降低安全隐患,进一步巩固加密货币交易所的安全管理体系。除此之外,操作流程的透明化与审计以及员工安全培训与模拟攻击演练也可确保每一笔操作都在严格的监控之下,防止内部人员的操作失误或恶意行为,并让员工在面对复杂攻击时能够保持冷静,迅速采取正确的应对措施。
香港持牌虚拟资产交易所HashKey Exchange首席分析师丁肇飞认为,从行业的长远发展而言,风险方案应从个体组织的单点防御走向集体性的防护。交易所是整个行业资金沉淀最多、人员最多、管理最负责的业态。因此,也很容易成为黑客的首选攻击目标,组建攻防联盟和协同响应机制,不仅有利于单个交易所的受损最小化,也对行业整体影响最小。
“在本次Bybit事件中,全行业的安全社区、专家和交易所都在第一时间传达出快速协作意愿,也让整个事件的恢复时间尽可能缩短。尽管存在竞争关系,但从广泛的利益角度,攻防联盟有利于行业整体发展,最终是所有人受益。”
结语
网络战场不会停歇,在数字铁幕笼罩的加密世界,年轻黑客用代码重构的“社会工程学攻击”利刃已悄然在加密行业的“金库级防御”上划开了一道隐秘的裂口,而技术极客与暗网骑士的攻防博弈也正将整个金融生态系统置于永不落下的达摩克利斯之剑下。
Cointelegraph 中文官方渠道
Telegram 社群: https://t.me/cointelegraphzh
Telegram Channel: https://t.me/cointelegraphzhnews
X(Twitter): https://x.com/zhcointelegraph