为”核”而”黑”：揭秘朝鲜的加密货币勒索团伙

June 22, 2023 区块链

为了筹集资金用于核武器计划，朝鲜将比特币盗窃行为”工业化”，并且其国家赞助的黑客越来越善于窃取资金。但随着国际执法官员的紧追，现在更难以兑现加密货币。

“我已加密了你的文件，如果你在一周内不付款，你将无法恢复它们。” 这是出现在电脑屏幕上的威胁。

2017年5月12日中午，超过30万Windows用户的屏幕上出现了一个红色警报页面，要求他们发送价值约300美元的比特币以恢复文件。

美国政府称，这是由朝鲜政府控制的黑客组织“Lazarus”发动的最严重的加密货币勒索软件网络攻击，后来被称为“勒索软件”。最初，受害者认为这只是一起普通的加密货币勒索软件事件。

尽管不到1%的朝鲜人口能够访问“光明内联网”（Kwangmyong Intranet service）服务，但该国政府仍然培养了与美国、中国和俄罗斯等超级大国不相上下的世界顶级黑客。

近年来，平壤政府利用加密货币的去中心化特性和其两十年历史的网络战能力，通过像“勒索软件”这样的大规模金融勒索计划成功筹集了核武器研究的资金。

孟加拉银行黑客事件

世界各国首次真正意识到朝鲜在网络战方面的能力是在2015年1月的孟加拉银行袭击事件中。当时，一些银行员工收到了一封看似普通的求职电子邮件。然而，附带的简历和求职信被感染了病毒，下载后连接到了国际银行间电信联合会（SWIFT）网络。

恶意软件通过SWIFT系统发送了许多指令，假冒孟加拉国央行，欺诈性地转移了10亿美元资金从纽约联邦储备银行。得益于其中一条指令试图将资金转到菲律宾马尼拉的朱庇特街上的一家银行分行，FBI得到了警报，并阻止了可疑交易。幸运的是，“朱庇特”是一艘受到制裁的伊朗船只的名字。然而，仍然完成了五笔交易，黑客们成功窃取了8100万美元的资金。

这次攻击表明朝鲜在之前的攻击中无疑改进了自己的方法。这次黑客在银行系统中潜伏了一年，收集数据并争取了行动的时间。

西方逐渐认识到朝鲜的网络力量比之前认为的更强大。

黑客利用孟加拉的周末时间、孟加拉和纽约的时差以及菲律宾的农历新年假期来延长发送资金的时间。他们决定将资金转移到菲律宾首都马尼拉的一家银行账户，然后再转到一家赌场，在那里利用赌桌洗钱，然后再将资金送回朝鲜。

通过这次在孟加拉的银行诈骗，西方逐渐认识到朝鲜的网络武器比之前认为的更强大。尽管只成功窃取了8100万美元，远未达到目标的10亿美元，但朝鲜显然因此银行诈骗增强了窃取加密货币的决心。

在同一时间，还有90%的目标资金被注销，朝鲜进行了复杂的洗钱过程。朝鲜在这次行动之后才意识到传统金融机构的要求是多么费力且耗时的。

然而，随着加密货币的出现，朝鲜看到了这种去中心化的技术，即无需经过银行或受政府监管的金融机构的开放金融系统，作为逃避制裁、绕过洗钱流程并直接将资金投入核武器计划的手段。

朝鲜的网络历史

朝鲜政府对网络攻击的雄心可以追溯到上世纪90年代。1990年开始的海湾战争中，美国领导的联军除了使用传统武器外，还利用电子设备协助攻击伊拉克。当时的中国共产党看到了电子战的潜力，并成立了一个专门研究”电子情报战”的研究组。

根据朝鲜人民军（KPA）出版的一本书籍，当时的最高领导人金正日在看到报告后说：”如果互联网就像一把枪，那么网络攻击就像原子弹。”他随后指示KPA总参谋部开发”信息战”能力，以支持朝鲜的核武器计划。

早在2008年，朝鲜政府在朝鲜人民军总参谋部侦察局内成立了121局（又称电子侦察部门或网络战指导部门）。该部门负责进行网络攻击、网络间谍活动，并收集海外政治、经济和社会方面的情报。

2009年，朝鲜将其所有情报和内部安全机构合并为朝鲜人民军总参谋部侦察总局（RGB），其中包括121局。

121局现在在中国、印度、马来西亚和俄罗斯等各国估计有3000至6000名员工。其部门包括专门从事政治网络间谍活动的”APT 37″和”Kimsuky”，以及发起WannaCry攻击的”Lazarus”，专注于金融勒索。

首次网络攻击与该国的第二次核试验同时发生。
2012年，金正恩上台并继承了他父亲发展网络战的雄心。上任后的第二年，金正恩公开宣称，网络战、核武器和导弹是一样的：”一把多功能剑”，凭借其”无情的定向能力”，朝鲜军队可以无敌。这一宣言为迄今为止朝鲜以网络攻击为中心的战略奠定了基础。

朝鲜最早记录的网络攻击是2009年针对韩国的特洛伊行动。在发现了网络战的威力之初，朝鲜政府旨在向国际舞台展示其网络能力。此次攻击与该国的第二次核试验同时发生，当时朝鲜对军事政策和网络战略采取了毫不妥协的立场，毫不畏惧报复。

2013年至2016年间，朝鲜的网络活动越来越多地旨在收集信息，并多次对其主要敌人韩国和美国发动了分布式拒绝服务攻击（DDoS），暂时瘫痪了政府机构、电力基础设施、军事系统等的运作。在此期间，网络间谍活动也很常见，仅对韩国就进行了至少六次重大间谍攻击。

朝鲜的黑客技能逐渐提高，攻击不再局限于韩国和美国，手段也不再局限于DDoS。2015年后，朝鲜转向攻击传统银行和金融机构以窃取去中心化的加密货币，以继续为其重大核试验提供资金。

区块链数据

朝鲜快速发展核武器是由金正恩政府利用网络攻击的”多功能剑”——为期一年的训练网络军队黑客通过针对政府机构、金融机构甚至普通民众的网络攻击来窃取大笔资金。

金正恩下令增加武器级核材料，以提升该国的核武库，朝鲜仅在2022年就发射了至少90枚导弹，创下纪录。美国和韩国政府认为朝鲜已完成第七次核武器试验的准备工作。

美国副国家安全顾问安妮·诺伯格估计，朝鲜窃取的加密货币中约有三分之一用于其武器计划。联合国的报告也指出，朝鲜通过网络攻击窃取的加密货币是平壤核武器和弹道导弹计划的”重要收入来源”。

据路透社援引一份未公开的联合国报告称，朝鲜在2022年窃取了创纪录的加密货币资产——根据区块链分析公司Chainalysis对公开可获得的交易数据的分析，总额达到了17亿美元。与朝鲜2020年仅有的1.42亿美元的出口总额相比，可以明显看出，加密货币黑客活动已成为朝鲜财政的重要收入来源。

去中心化金融

在传统金融行业中，如美元和港元等法定货币是由中央机构发行的，并依赖金融机构进行货币交易，如通过银行提取和存入法定货币。相比之下，加密货币建立在区块链技术上，不由任何中央机构发行，并可以用来创建”钱包”以匿名接收和发送资金，无需依赖银行验证交易。

当用户转移加密货币资金时，交易记录会被记录在”分布式账本技术”（DLT）中，该技术不由单一机构持有，而是分布在点对点（P2P）网络上，每个个体都复制并存储着相同的公共账本副本。

加密货币的”匿名性”和”去中心化”特性意味着加密货币的窃取不会像孟加拉国银行事件那样，即没有联邦储备系统来阻止他们提取8.51亿美元。

WannaCry攻击成功窃取了6.25亿美元的加密货币，使得Lazarus更加决心将攻击重点转向加密货币目标。最初，他们的目标主要是加密货币交易所。虽然黑客们不再针对传统金融机构，但策略仍然类似：通过网络钓鱼或社会工程学将带有病毒的文件插入目标公司的计算机，并获得对信息系统的访问权限，以从数字钱包中转移资金。当资金转移到朝鲜控制的地址后，黑客们开始洗钱过程。

随着加密货币的兴起，全球范围内出现了许多中心化交易所（CEX），以便使用美元等货币购买加密货币。这包括将一种加密货币交换成另一种加密货币，以及将加密货币兑换成法定货币。

朝鲜仍需要投入资源进行洗钱。
这也意味着中心化交易所，就像传统银行一样，需要客户提供实名验证，并且交易所保存了所有资金流动的记录。因此，无论窃取加密货币有多容易，朝鲜仍需要投入资源进行洗钱。

黑客攻击加密货币交易所并不困难；真正的挑战在于将加密货币转换成现金以购买核武器材料。

引起国际关注和担忧的不是朝鲜的攻击目标，而是朝鲜日益复杂的洗钱手段——在将加密货币转换为法定货币之前，如何尽可能地隐藏在区块链上的资金流动记录，使调查人员无法追踪资金的来源。

在最初的几次攻击中，Lazarus通过编写自动脚本来执行”剥皮链”进行洗钱。”剥皮链”是指将大量窃取的资金通过多笔小交易转移到不同的加密货币地址，避免交易平台的注意。与此同时，黑客们还开始使用混币器。混币器的目的是通过将一笔加密货币交易与另一笔交易混合，减少第三方发现交易来源的可能性。

然而，在洗钱过程中仍存在漏洞，因为朝鲜反复使用同一个混币器，使调查人员更容易推断出该组织的洗钱模式。此外，前美国总统唐纳德·特朗普于2017年扩大了单边美国制裁的范围，冻结了与朝鲜有业务联系的任何个人或公司在美国的资产。

各国企业担心失去进入美国市场的机会，倾向于停止与朝鲜的贸易往来，有效地切断了朝鲜与全球金融系统的联系，使平壤政府只能借助”场外经纪人”将窃取的加密货币资金转换为法定货币。

在这次攻击中，两名中国公民田音音和李佳东因协助将窃取的加密货币兑换为法定货币而被美国财政部制裁。他们在美国的资产被冻结，并禁止美国人与他们进行业务往来。

2020年9月，黑客从新加坡加密货币交易所KuCoin窃取了超过2.8亿美元，相当于2020年所有被盗加密货币总额的一半以上。