据记者了解，与其他黑客组织相比，Lazarus 不仅实力强劲，是世界上最赚钱的加密货币黑客集团，而且还有国家级背景参与其中……

原文标题：《起底 Lazarus：加密世界最成功的窃贼》
文章来源：公众号 区块链新金融
作者：Neo

黑客攻击再度席卷了加密世界。

近日，多起加密货币交易所遭到黑客洗劫的消息传遍了币圈。据统计，开年以来，包括 DragonEx、BiKi、Cryptopia、Etbox 等多家交易所都已经接连沦陷。

根据调查，众多网络安全公司发现，在盗窃问题频发的背后，隐藏着一个名为 Lazarus 的黑客组织。

而据记者了解，与其他黑客组织相比，Lazarus 不仅实力强劲，是世界上最赚钱的加密货币黑客集团，而且还有国家级背景参与其中……

始末

3 月 24 日，加密交易平台排名前 20 的 DragonEx （龙网）交易所遭受黑客入侵，BTC、ETH、EOS 等 20 余种主流数字资产被盗。

据统计，此次被盗，该交易所共损失约 600 万美元的数字资产，且已经有超过 90 万美元的资产流入了交易所。

龙网交易所的被盗引发了市场对安全问题的高度关注，不少安全团队都对此进行了溯源分析。针对龙网遭受的攻击，降维安全实验室分析认为，本次攻击是有组织并且有预谋的，是专门针对交易所高级技术人员或管理人员的专业级攻击。

其主要过程为：通过运营和模拟正常的量化软件，以高利润和高收益通过交易所对外的客服诱惑交易所高层使用，量化软件中隐藏有关键的加密后门。一旦软件被传递到关键人电脑上运行就会进行一序列渗透和黑客动作。

降维安全室进一步表示，在收到多个交易所遭受相同攻击的反馈之后发现，有证据显示，攻击者可能和索尼影业遭黑客攻击事件以及 2016 年孟加拉国银行数据泄露事件等有关。而无论是以上哪种事件，矛头都直指 Lazarus。

昨日，经 360 安全大脑确认，有关 DrangonEx 交易所遭受黑客攻击事件，正是黑客组织 Lazarus 所为。

根据 360 安全大脑的分析，该组织于 2018 年 10 月开始筹备攻击，在经历了长达半年时间的运营后，以钓鱼的方式向大量交易所官方人员推荐，从而引诱交易所人员上钩。

实际上，在龙网被盗之后，Lazarus 仍没有停止其攻城略地的步伐。

在研究分析过程中，360 安全大脑发现，不仅仅是龙网，包括 OKEx 等知名交易所，都遭受到了 Lazarus 的侵袭。

加密世界最成功的窃贼

实际上，对于 Lazarus 来说，以百万美元为单位的盗窃只是小打小闹，今年的几次攻击行动也只是 Lazarus 在加密世界显现的冰山一角。

早在 2017 年底，就有报告称 Lazarus 盯上了加密货币。

当时，美国网络安全公司 Secureworks 的反威胁部门公布了一份报告称，Lazarus 的网络犯罪集团正在进行一项计划——窃取比特币行业内部人士的在线信息。

2018 年 1 月，日本数字交易所 Coincheck 遭受了黑客攻击，据统计，黑客盗取了价值 580 亿日元（5.3 亿美元）的 NEM 币，这一数额大于 2014 年从 Mt.Gox 失窃的比特币价值。而这一盗窃案的幕后黑手，就被质疑是 Lazarus 所为。

2018 年 10 月，The Next Web 一份报告指出，Lazarus 已经设法窃取了超过 5 亿美元的数字货币。

而根据当时卡巴斯基实验室发布安全报告，在数字货币的拥有者面临的五大主要威胁中，Lazarus 黑客组织赫然在列。

今年 3 月中旬，联合国安理会朝鲜制裁委员会专家小组在公开的报告中引用了网络安全机构 Group-IB 的调查数据。

报告显示：2017 年 1 月至 2018 年 9 月之间，共有 14 起加密货币交易所窃案发生，损失金额高达 8.82 亿美元。这其中，Lazarus 制造了五起加密货币窃案，5 次攻击获利总额高达 5.71 亿美元。其他 9 次攻击未能确认攻击者。

这也意味着，从 2017 年起，截至 2018 年 9 月，在加密货币交易所被盗的这一段历史进程中，Lazarus 占据了总分额的 58%，可谓是留下了浓墨重彩的痕迹。

不仅如此，尝到甜头的 Lazarus 并没有因此而偃旗息鼓，反而更加猖獗。

近日，网络安全和反病毒公司卡巴斯基实验室发布了一份新报告。报告称，Lazarus 黑客集团采用新方法继续进行加密攻击。

该报告显示，自去年 11 月以来，黑客组织 Lazarus 积极开展新业务，使用 PowerShell 管理和控制 Windows 和 macOS 恶意软件。这也意味着，随着时间的推移，Lazarus 的作案手段也愈发「高明」。

国家级 APT 黑客组织

说起 Lazarus 的攻击活动，最早可以追溯到 2007 年，不过由于其身份的隐秘，再加上活动范围并不广泛，所以，一开始，Lazarus 并没有引起人们的注意。

2014 年，索尼影业推出了一部名为《刺杀金正恩》（《The Interview》）的喜剧电影，正是由于这部影片，让隐蔽的 Lazarus 开始浮出水面。

当时，在影片上映之前，就已经引起了朝鲜方的强烈反对，与此同时，一个自称为「和平守卫队」的黑客团队在窃取了 11TB 的敏感数据之后向索尼影业发布了一封「警告信」。

信中写道：「我们已向索尼管理层提出了明确要求，但他们拒绝接受」、「如果想摆脱我们，就乖乖照我们说的做。立即停止播放恐怖主义影片，它将破坏地区和平，引发战争！」

毫无疑问，这支和平守卫队的立场已经非常明确，为此，不少安全机构都认为其隶属于朝鲜。

2016 年 2 月 4 日，孟加拉国银行数据泄露事件爆发。当时，黑客组织从孟加拉国央行手中偷走了 8100 万美元，而这也创造了有史以来最大的银行抢劫案，以及当时全球范围内已知的最大规模的金融网络犯罪案。

而经过多家网络安全公司介入调查发现，最终矛头都对准了 Lazarus。而最重要的发现是，这次行动中一段用于消除攻击证据的底层代码和 2014 年黑客攻击索尼影业时使用的代码完全相同。

在这两次行动之后，彻底揭开了 Lazarus 的神秘面纱。之后，随着 2017 年美国国防承包商、美国能源部门、「Wannacry」勒索病毒及英国、韩国等比特币交易所被攻击等事件接连爆发，这也让 Lazarus 泄露的蛛丝马迹越来越多。

而据逃到韩国的朝鲜前官员、互联网安全专家 Kim Heung-Kwang 证实，Lazarus 确实隶属于朝鲜。

如此一来，真相已经水落石出。声名在外、臭名昭著的 Lazarus （T-APT-15）组织，其实是来自朝鲜的 APT 组织，有着国家作为背景，难怪 Lazarus 能够如此「功勋卓越」。

现如今，随着加密货币的发展，Lazarus 对加密货币的兴趣已经越来越浓厚，黑客攻击也越来越多。正如诸多安全机构所建议，黑客攻击显然无法杜绝，但只有交易所自身做好防护措施，才能让黑客不再有机可乘。