今天,差评君看到一条挺有意思的新闻,美国政府跟朝鲜黑客杠上了。

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  新闻大意是:美国政府认为,朝鲜黑客近两年从各大虚拟货币交易平台窃取了逾 2.5 亿美元的资金,并转移到 280 个比特币和以太币账户中,现在要求查封这些账户。

  其实,这早就不是美国第一次跟朝鲜黑客杠上了。

  早几年美国就认为,朝鲜政府养了一批黑客,让这群黑客到处黑人账户,“ 偷钱 ”回来滋润朝鲜政府。

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  呃,这么魔幻的事情是真的么?该不会又是美国坏坏乱讲话吧?

  今天咱们就来聊聊这个~

  要说这个事情,避不开要从朝鲜的黑客组织 Lazarus 说起。

  这哥们你可能没听过,没关系,你只要知道他们名下的骚操作多到简直可以载入史册就行了。

  他们干过索尼,偷过孟加拉国的央行,攻击了韩国银行,之前玩坏全球近百个国家的 WannaCry 蠕虫病毒据说也是他们搞出来的。

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  这哥们最早的活动可以追溯到 2009 年,但声名鹊起是在 2014 年。

  2014 年索尼影业推出了一部名为《采访》的喜剧电影,电影内容讲的是刺杀金正恩,所以又被大家戏称为《刺杀金正恩》 。

  这部电影要上映的消息一经传出,朝鲜就爆炸了,怒斥索尼。

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  同时,索尼影业还收到了一封警告信,要求停止该电影的上映,不然就要遭殃。

  你猜索尼影业有没有听?~

  反正索尼影业再上新闻时,底裤都被人扒完了。

  当时他们的悲惨经历包括:四部尚未上映影片被公开;内部数据(包括高管的薪酬)被曝光;存储的明文密码、公司安全证书等被公开;高管邮箱被曝光;

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  图片来源:新浪科技

  至于为啥这个事情的锅会飞到了 Lazarus 身上嘛。。

  一来是因为这件事情的直接受益者就是朝鲜;二来 2016 年卡巴斯基实验室在分析了 Lazurus 以后,发现他们为了图方便会复用之前代码,即旗下不同恶意软件版本间存在重复代码。

  还列举了一些证据,比如代码特征出现了一样的拼写错误。

  而索尼影业被黑案件中的黑客工具代码,就出现了这样的代码复用的特征。

  其中一个证据是,Mozilla 都被写成了‘Mozillar’

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  做黑客这种事情吧,通常来说要么 0 次,要么无数次,对吧~

  2016 年,Lazarus 又搞大新闻了,他们从孟加拉国央行在美联储备的账户中转走了 1.01 亿美元。

  这是什么概念呢,简单粗暴的帮大家理解一下,不少新闻报道时称之为史上最大银行失窃案 。

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  原本还可以更大一点。。。

  因为黑客本来还有 8.5 亿美元要一起转走的,但是因为指令中写了 “ 错别字 ” ,这部分被美联储给拒绝了。

  小毛病害人啊

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  可能是感觉干这么一票不够过瘾,2017 年他们整出了一个勒索病毒“ wannaCry (想哭)” 。

  这个病毒想必大家都有所耳闻,非常名副其实,当时全球近百个国家中招,超过 10 万台电脑被勒索,从校园网到政府机构全部一片哀嚎。

  有的人眼睛一睁一闭,毕业论文就没了。

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  连警察叔叔也不能幸免。

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  之所以多个安全公司研究室都认为,这两桩事情出自 Lazarus 的手笔,原因跟索尼那次一样,代码中呈现出了较高的相似度。

  在 WannaCry 蠕虫病毒的早期样本里,跟 Lazarus 团伙之前使用过了一款后门程序 Contopee 对比,两者使用了同样一段加密函数,相似度超过 99%。

  相似代码片段

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  后来的事情,大家已经知道了。

  随着加密货币兴起,这哥们又盯上了这块安全好恰的肥肉,加密货币比较难溯源嘛,大家都懂~

  根据网络安全机构 Group-IB 的调查数据,2017 年 1 月到 2018 年 9 月,共有 14 起加密货币交易所窃案发生,损失金额高达 8.82 亿美元。

  其中 Lazarus 制造了五起加密货币窃案,5 次攻击获利总额高达 5.71 亿美元。

  这数字都特么是被盗总额的一大半了。

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  看到这里,相信各位差友已经知道这个组织有多叼,也知道为啥这些事情被大家归到它名下了。

  但,为啥说这个组织是朝鲜的呢?

  他们这么牛批,站出来承认了?

  怎么可能,朝鲜当然是打出一波否认三连。

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  但是多个安全研究室表示,找到了些比较锤的证据。

  比如 Lazarus 的恶意软件样本中有大量韩语元素;在一次行动中,一台欧洲服务器里出现了朝鲜 IP 地址登录记录等。

  此外,还有一位从朝鲜叛逃的计算机教授 Kim Heung-kwang 的口头证明,他说朝鲜的确培养了挺多黑客。

  Lazarus 可能隶属军方管辖的朝鲜侦察总局第 180 处,主要任务是获得外汇以支持朝鲜政府的核武器与远程导弹研究~

  各种原因的综合下,2020 年 2 月美国财务部直接怼朝鲜政府,说他通过加密货币窃取 5.71 亿美元,用于核计划等。

能从美国手里搞钱的:只有朝鲜黑客了-冯金伟博客园

  最后,时间来到今天,美国政府表示,朝鲜黑客 2019 年分两次窃取了数百万美元,且分散进了 280 个账户,要查封这些账户并且物归原主。

  如果这些事情真的是朝鲜搞的,那差评君感觉还挺叼的。

  你想啊,一般来说要是养黑客,都是为了数据、隐私、信息吧,而他们还刁钻的盯上了别人的钱包,这角度简直刁钻。

  而且实操还到位,搞出了这么大阵仗,简直可以载入黑客史册了。

  参考资料、图片来源:

  华尔街日报《美国查封与朝鲜黑客有关联的加密货币账户》

  维基百科《孟加拉应遭黑客入侵事件》、《 Lazarus Group 》

  Securelist.com《Operation Blockbuster revealed:A glimpse at the spider web of the Lazarus Group APT campaigns 》

  freebuf.com《 WannaCry 惊天大发现!疑似朝鲜黑客组织 Lazarus 所为 》

  group-ib.com《Group-IB presents cybercrime trends 2018 report urging the market to hunt for threats》

  reuters.com《Exclusive: North Korea’s Unit 180, the cyber warfare cell that worries the West》

  home.treasury.gov《Treasury Sanctions Individuals Laundering Cryptocurrency for Lazarus Group》