“最致命的可能是張牙舞爪的猛獸,也可能是腳邊悄然無聲的蛇蠍”
最近,全世界都在抗疫,朝鮮這個奇葩卻在忙著洗錢。這不,兩名中國公民被美國財政部起訴,原因就是用比特幣幫助朝鮮政府的駭客洗錢。
據稱,這兩位場外交易服務商,曾在2017年12月至2019年4月間,幫助朝鮮駭客組織 Lazarus Group 洗錢金額高達1億美元。
說實話,洗錢服務在國外已經形成了產業鏈,還是挺普遍的。但引起鑑叔好奇心的是:朝鮮居然還有駭客團隊,而且還是政府組織的?
其實,朝鮮雖是彈丸之地,常年被經濟封鎖,但卻有兩大殺器攪的全世界不得安寧。
一個是核武器,另一個就是駭客組織。
2017年,席捲全球的比特幣勒索病毒案就是出自朝鮮駭客的手筆。那麼今天就讓我們來揭開朝鮮駭客的神秘面紗。
一、朝鮮為何要成立駭客組織?
自2006年10月朝鮮進行第一次核試驗以來,聯合國安理會先後透過了十次決議案,不斷加大對朝鮮的制裁力度。
制裁內容從大規模殺傷性武器等領域逐步擴大到經濟領域。
聯合國十次決議案| 圖
在這樣的困局下,朝鮮想要維持國內的民生,同時繼續發展核武器,就變得更加艱難。
窮則思變,於是朝鮮想了很多手段賺錢,說起來簡直讓人大跌眼鏡:
▌方法一:走私毒品
1977年,因為從事毒品交易,朝鮮駐委內瑞拉大使館全體人員被政府驅逐出境。
1993年,澳大利亞政府在墨爾本港口附近,攔截了一艘朝鮮貨輪,上面裝載了價值5000萬美元的毒品。
這些只是朝鮮走私毒品被爆出的冰山一角。
▌方法二:販賣武器
2016年8月,一艘朝鮮貨輪在埃及海面被扣押,上面載有2.3公噸的鐵礦石和3萬枚朝鮮制火箭彈。
同年,一架滿載朝鮮軍事通訊裝置和軍事材料的飛機,在運往非洲厄利垂亞時被攔截。
這意味著在朝鮮和多國之間,都存在著非法的軍事貿易。
▌方法三:勞動力輸出
朝鮮有專門的勞動貿易公司,與俄羅斯、非洲等地簽訂了勞務僱傭合同,透過輸送源源不斷的朝鮮勞動力來獲得勞務報酬。
根據朝鮮人權資料庫中心研究顯示:這些外出工作人員通常是已經有子女有家庭的男子。如果“壞了規矩”,他們在朝鮮國內的家人們就是可以被要挾的把柄。
至此,朝鮮已經集齊走私、販毒、做人販子三大下流手段。但這些還是要跟其他國家打交道,還很容易被抓到把柄。
於是朝鮮駭客國家隊應運而生。他們的目的就是讓朝鮮擺脫對其他國家的依賴,透過技術的力量,賺錢。
二、朝鮮駭客:舉全國之力打造的頂級團隊
說起朝鮮,大家都會覺得貧窮又落後,更不要說網際網路發展了。
確實,在中國的我們已經可以選擇開通5G套餐了,但在朝鮮,使用3G手機的只有三百多萬人,全國覆蓋率還不到1/8。
但就在這片貧乏的土地上,卻有一個聚集了1800位頂級網路專家的網路部隊:朝鮮人民軍第121局。
曾在121局工作過、後來叛逃至韓國的朝鮮人Jang告訴媒體:“朝鮮駭客已經達到了國際頂尖水平,跟Google或者美國中央情報局能力不分上下。”
朝鮮人民軍第121局與金正恩合影
不得不說,朝鮮政府卻為打造121局下了很大的決心。
121局的所有人都是朝鮮政府常年累月不惜成本的在本國數學、計算機等領域甄選,並加以嚴苛培訓和選拔出來的尖端人才。
據說選拔淘汰率高達98%,但只要成功入選,就能享有朝鮮國內最高層次的待遇,他們的家人也可被當局特許遷至首都平壤定居。
121局的活動環境
而在121局中最為聞名的駭客團隊就是------Lazarus Group,音譯名為拉撒路,拉撒路(Lazarus)是《聖經·約翰福音》中記載的人物,曾在病危後又復活。
想必,朝鮮是想借此隱喻自己頑強的生命力。
結合拉撒路曾經犯下的幾樁大案,鑑叔覺得這個名字起得名副其實。
三、朝鮮拉撒路橫掃全球
▌1.初露鋒芒:奇襲索尼公司
在朝鮮,“金正恩”的權威和形象神聖不可侵犯。
然而在2014年,索尼影視在Youtube網站上首發了電影《刺殺金正恩》的第一條預告片,立即上了熱門,正片也計劃在聖誕節在美國上映。
這部動作喜劇片講述了兩位美國脫口秀主持人在美國中央情報局的指示下前往平壤刺殺金正恩的故事。
圖片來源:《刺殺金正恩》“金正恩”劇照
朝鮮官方當然接受不了這般“侮辱”,立刻透過外交部發出強硬抗議,然而美國方面並不為所動,總統奧巴馬甚至還鼓勵大家都去看。
於是就在電影上映前一個月,索尼公司突然被駭客襲擊,全面陷入癱瘓。所有工作人員的電腦上同時出現了一個警告頁面,以紅色大字醒目地寫明「Hacked By #GOP」。
GOP的意思就是和平守護者(Guardians of Peace)。
駭客還發出了警告:
我們此前已警告過索尼影業,今天的網路癱瘓僅僅是個開始。要求得不到迴應,我們就不會善罷甘休。
我們已經握有索尼影業全部的網路資料,包括僱員的秘密以及各類高層機密。
如果不遵從要求,我們就將全部資料公之於眾。
隨後,索尼影業公司被迫宣佈全員在家辦公,同時聯合美國FBI進行全面的網路監察。
經過一個月的排查,美國FBI指認:攻擊方來自朝鮮。頂級安全專家兼朝鮮前高階官員Choi Sang-myung透露,這次的駭客行動和朝鮮之前的其他攻擊存在相似性,包括程式碼的行數、加密演算法、資料探測方式以及被入侵的網路的等等。
但是朝鮮方面卻矢口否認,說:GOP 駭客並不是我們朝鮮官方指派的,但不管是誰做的,我大朝鮮都贊你為英勇的大英雄!
這樣的迴應引發了美朝雙方政府的持續近一個月的口水戰。
索尼影業作為全球頂級影視公司,曾拍出數不勝數的經典電影,但再天馬行空的想象,也不如這一場親身參演的“大片”更震撼吧。
最終,此次鬧劇以索尼公司認慫,取消上映《刺殺金正恩》收尾。
但是,拉撒路並沒有就此消停,在2016年還入侵孟加拉國央行賬戶,犯下了臭名昭著的銀行盜竊案,盜走近8100萬美金。此次事件直接導致孟加拉央行行長阿蒂拉赫曼黯然辭職,兩名央行副行長遭解職。
▌2.手法升級:全球比特幣勒索案
隨著銀行金融系統防範加強,貨幣轉入轉出難度加大,拉撒路把目光轉向了比特幣,加密貨幣的匿名性和全世界流通的特點更便於駭客洗錢。
於是,席捲全球的比特幣勒索案出現了。
2017年5月12日,鹽城市響水縣公安局破天荒停止了出入境手續辦理。
鹽城市響水縣公安局發出的告示 | 圖
隨後,公安局官方發微博稱:電腦中了一種叫做WannaCry的病毒,所有文件被加密,必須要支付300美元左右的比特幣才可以解鎖。
響水縣公安局民警面對WannaCry病毒無可奈何| 圖
這位民警的心估計是崩潰的。
當晚,中國部分高校中招,病毒疑似透過校園網傳播。
此後,WannaCry勒索病毒全球大爆發,至少150個國家、30萬名使用者中招,造成損失達80億美元,已經影響到金融,能源,醫療等眾多行業,造成嚴重的經濟損失。
熱圖顯示了WannaCry在2017年5月的波及範圍| 圖
還記得2006年轟動全國的“熊貓燒香”嗎?對比WannaCry,熊貓燒香還是個弟弟。
雖然WannaCry爆發後,並沒有駭客組織認領,但經過技術分析後,美國、英國和澳大利亞在同年12月正式宣稱朝鮮駭客是襲擊的幕後黑手。
我國駭客圈頂級教主、騰訊玄武實驗室負責人TK也曾在朋友圈轉發:“基於軟體同源性分析等技術,多個研究人員得出了同一個結論:WannaCry 勒索蠕蟲可能是朝鮮駭客拉撒路乾的。”
對於WannaCry的軟體同源性分析| 圖
至此,拉撒路算是在世界範圍內臭名昭著了。
▌3.勒索加倍,四處作案
早年,拉撒路的攻擊目標主要是韓國和日本,而且主要是DDoS攻擊,把對方系統搞奔潰就行。
即使WannaCry範圍波及全世界,但拉撒路並沒有以此賺多少錢,累計不過52個比特幣,當時市值不到100萬人民幣。
但近幾年,他們卻無差別地襲擊了印度、馬來西亞、波蘭、烏拉圭、衣索比亞等18個國家、金融機構、賭場、加密貨幣公司等,直接奔著錢去了。
下面是拉撒路幾次真正意義上的大劫案,可以說是空手套白狼,賺的盆滿缽滿:
① 2017年,韓國的加密貨幣交易所Bithumb遭到駭客攻擊,80億韓元被盜,大量使用者資訊被洩露。事後,韓國議員指出這是朝鮮駭客所為。
②2017年12月9日,韓國老牌加密貨幣交易所Youbit突然宣佈破產,原來它在4月和12月接連遭受了駭客的攻擊,分別損失了4000比特幣(當時約合人民幣3347萬元)和17%的交易所資產。經過韓國國家情報局調查,但有明顯跡象和歷史證據證明,朝鮮拉撒路就是Youbit遭駭客攻擊的幕後黑手。
③2019年3月,DragonEx交易所在Telegram 宣稱被駭客入侵,駭客竊取並轉移了700萬美元加密貨幣,拉撒路也被指控為此次攻擊的幕後黑手。
四、拉撒路是如何洗錢的?
其實黑到使用者的錢只是第一步,更為關鍵的,是讓這些錢神不知鬼不覺到自己的賬戶裡。
如果留下一點線索,就是告訴全世界:人在朝鮮,來抓我吧。所以拉撒路也鍛煉出了非常成熟的洗錢手法。
▌第一步:利用混幣服務隱藏資金去向
早期,Lazarus的手法還比較笨拙,主要依靠增加賬戶數量攪亂追蹤者的視線。透過下圖,我們可以看到Lazarus在2018年的一次轉移手法。
Lazarus在2018年轉移資金的路徑圖| 圖
簡單來說,資金從左邊的Victim Exchange錢包轉出,經過中間多個錢包,最終分散到右側不同的交易所中變現。
雖然資金的路徑很長,但是很容易理清線路。
但到了後期,隱私幣和混幣服務的誕生給洗錢提供了很大的方便。
Lazarus在2019年轉移資金的路徑圖| 圖
如上圖,我們發現步驟少了很多,但是線路卻更復雜了。
2019年,Lazarus將被盜加密資產全部轉移到各大交易所並換成了比特幣,然後提現至比特幣隱私錢包Wasabi,最後再透過混合協議將這些比特幣洗白。
那麼混合協議是如何洗白的呢?
簡單來說:混合協議就像一個大染缸,大家都把髒幣存進去,混合到一起,只要能透過零知識證明你存過幣(無需出具任何隱私資訊),就能順利提幣,這時候幣已經分不清誰是誰的了。
而朝鮮正式利用了混幣錢包Wasabi Wallet完成了洗錢,也洗清了嫌疑。
▌第二步:透過OTC兌換服務套現
還記得開頭提過的被美國起訴的兩位中國人嗎?
他們可能在不知情的情況下,幫助駭客套現了比特幣。因為此時,你已經無法得知這些比特幣和失竊資產的關係。
目前,Lazarus的洗錢效率越來越高。在2018年,Lazarus花費了長達500天的時間才將資產套現,但到了2019年,已經降低為60天。
有時候,真不知道技術的發展到底是造福了誰?
鑑叔總結
面臨經濟制裁,伊朗選擇了硬剛,委內瑞拉選擇了石油幣。
而腦洞輕奇的朝鮮卻選擇了駭客,在全世界範圍內非法掠奪財富。
也許你會覺得做駭客很酷,但想想在駭客襲擊下破產的交易所,如門頭溝、Youbit等。這背後是成千上萬遭受損失的投資者。
你辛辛苦苦賺的幣,憑什麼成了駭客的贊助商?
所以,即使我們再同情朝鮮的遭遇,這也並不是他們進行非法掠奪的藉口。這也有損一個國家的尊嚴。
俗話說得好,富貴不能淫,貧賤不能移,威武不能屈,此之謂大丈夫。
