十年斑斑劣迹:特洛伊木马、孟加拉央行劫案、勒索病毒、加密圈毒瘤
回顾 Lazarus Group 的进化史,其活动轨迹最早可以追溯至 2007 年至 2009 年。在早期阶段,他们的技术手段还相对粗糙,主要以组织大规模的 DDoS 攻击为主。例如在 2009 年 7 月,他们策动了著名的“特洛伊行动(Operation Troy)”,瘫痪了美国和韩国的 30 多个重要官方机构及核心金融网站。虽然这一时期的手法简单粗暴,但他们借此积累了海量的真实网络对抗经验。
真正让 Lazarus Group 在一战封神的,是 2014 年那场针对好莱坞巨头索尼影业发动的核级网络报复战。当年,索尼影业决定制作并全球公映一部具有强烈政治讽刺意味的荒诞喜剧电影——《刺杀金xx》)。该片虚构了一个荒诞的刺杀桥段,这彻底触怒了 North Korea 的最高尊严。
2014 年 10 月 24 日清晨 7 点,索尼影业位于美国洛杉矶总部的员工们照例打开电脑准备上班。然而,所有人的电脑屏幕在一瞬间全部被强行替换成了一个巨大的、散发着血红色光芒的骷髅头图案,音响里同时循环播放着刺耳的枪击特效声。黑客组织以“和平卫士”的名义发出了最后的恐怖海报通牒,向全美发出警告:“胆敢去电影院观看这部电影的人,你们别忘了 911 恐袭的下场。”这种直白的恐怖主义威胁,吓得全美各大主流院线纷纷宣布紧急撤档该片。
不仅如此,Lazarus Group 随后发起了疯狂的远程格式化清洗,删除了索尼影业全公司范围内 3,262 台办公电脑以及 837 台核心服务器中的全部数据。他们还悄悄拷贝走了数以 GB 计的绝密内部文件并将其全网公开抛售。泄露的内容包括索尼影业所有高管和明星的薪资明细、数万名员工的美国社会安全码、高管之间大量涉及好莱坞明星隐私的内部往来吃瓜邮件,甚至包括数部尚未上映的机密好莱坞大片的完整拷贝。
这起地缘政治级的网络袭击引发了全球性的轩然大波,造成了无法估量的品牌与经济损失,最终导致索尼影业时任共同董事长Co-Chairperson) Amy Pascal 引咎辞职。
尝到甜头后,2016 年年初,Lazarus Group 再次向全球金融秩序发起了更加疯狂的挑战——针对孟加拉国中央银行(Bangladesh Bank)实施了一场精心策划的“网络抢劫案”。
为了确保计划万无一失,黑客们提前了一年开始潜伏布局。他们通过社会工程学钓鱼邮件成功渗透进了该国央行的内部网络,在极其耐心的长期潜伏中,成功窃取了访问 SWIFT 国际银行间安全通讯网络的核心最高权限。孟加拉国央行在纽约联邦储备银行开设有美元外汇账户。2016 年 2 月 4 日当地时间晚上 8:36,黑客伪造了完全合法的 SWIFT 凭证,向纽约联邦储备银行一口气发送了 36 笔总金额接近 10 亿美元的转账请求。
2 月 4 日当天是星期四。但孟加拉国作为一个以穆斯林人口为主的国家,周五是他们雷打不动的主麻日(Jummah),因此周五、周六是孟加拉国的法定公休日,央行系统全员放假。然而,当孟加拉国央行放假时,美国纽约那边的银行在周五却处于正常的工作日状态。黑客精准选择在周四晚上动手,就能完美确保在孟加拉国央行官员周日回单位上班发现异常之前,有足足几十个小时的让美国银行顺利完成所有的划款转账。
然而,人算不如天算,在这场涉案十亿美金的惊天博弈中,Lazarus Group 因为两个极其低级的拼写细节功亏于溃。在其中一笔由德意志银行负责中转、企图转往斯里兰卡泛亚银行的 2,000 万美元转账请求中,由于金额过于巨大,且收款方登记的是一家名不见经传的非政府组织(NGO),这瞬间触发了银行的人工合规风控。德意志银行的合规审核员在核对账单时,震惊地发现黑客居然把这家作为赃款承接平台的 NGO 组织空壳公司的英文名字给拼错了——他们把 “Shalika Foundation” 误拼写成了 “Shalika Fandation”(基金会拼成了“粉金会”)。这一低级错误导致交易被瞬间强行冻结。
同时,在另一笔转账请求中,黑客指定的收款账户公司名称中包含了“Jupiter”一词,而不巧的是,这个词恰好与一家当时正处于美国最高级别金融制裁名单上的伊朗关联特种船运公司重名。多重报警瞬间拉响,导致同一时间提交的 30 笔大额转账全部被自动转为了人工紧急审核。尽管如此,凭借着时间差的掩护,依然有 5 笔转账在警报大作前成功到账,使得 Lazarus Group 成功从纽约联邦储备银行里卷走了 8,100 万美元的现金。
2016 年 2 月 5 日凌晨 3:59,黑客在功成身退前利落地退出了 SWIFT 系统,并执行了底层代码擦除命令,以销毁一切入侵痕迹。事后,全球最顶尖的多家网络安全公司介入彻查。专家们惊讶地发现,这些擦除痕迹的代码,其底层架构和 2014 年血洗索尼影业的代码重合度高达 90%。更具决定性的铁证是,在攻击发生期间,一台位于欧洲的核心中转服务器中,极为罕见地出现了一条仅仅持续了几秒钟的、来自 North Korea 官方专用保密 IP 地址的登录日志。虽然黑客在全球攻击中都会使用无数层代理服务器来隐藏身份,但在这高强度的数天高压行动中,某位 North Korea 的天才黑客在疲惫中或许出现了几秒钟的断网误操作,直接用真实母网连接了。这转瞬即逝的几秒钟,成为了坐实其国家犯罪的呈堂证供。
2017 年 5 月 12 日,已经完全黑产化的 Lazarus Group 发动了臭名昭著的 WannaCry 勒索病毒 WannaCry 全球大流行。这款病毒具备极其恐怖的蠕虫式自动网络传播扩散能力。在短短几天内,WannaCry 迅速感染了全球 150 多个国家的超过 23 万台重要公共电脑,锁死了医疗系统、高等教育、商业银行及跨国物流系统的核心数据库。受害者被强制要求必须在屏幕限定的时间内支付比特币作为赎金。这场数字瘟疫造成的全球经济间接损失估计高达数十亿美元。幸运的是,英国天才安全研究员 Marcus Hutchins 在病毒爆发后的 8 小时内,敏锐地发现了 WannaCry 代码中隐藏的一个未激活的“终止开关”域名,并果断自费将其注册激活,这才强行阻断了这场数字黑死病的进一步全球蔓延。
在传统金融与现实世界遭到全球联合围剿后,自 2017 年起,Lazarus Group 敏锐地察觉到了去中心化世界里缺乏法律监管、资产流动性更强且更容易变现的财富新大陆——加密行业。根据区块链安全机构 Chainalysis 的最新追踪报告:仅在 2024 年,该组织就对全球加密行业发动了至少 47 起精准的网络围猎,累计窃取资产达 13.4 亿美元。而到了 Bybit 案爆发的 2025 年,这一数字更是飙升到了 20.2 亿美元,占据了当年全球加密货币总盗窃份额的近 60%。
在过去的十几年中,Lazarus Group 完成了令人惊叹的黑产进化。他们的武器库已经从早期粗暴笨拙的 DDoS 攻击,演变成了如今横跨高端社会工程学钓鱼、高度隐蔽的底层供应链投毒、以及专攻核心底层智能合约零日漏洞(Zero-Day Vulnerability)的多维、立体、军事级深层网络特种作战体系。
在这个没有硝烟的数字空间里,这支庞大的幽灵黑客军团,正作为最高层源源不断收割全球外汇资产的头号秘密战略武器,在暗夜中继续静静地凝视着下一个倒霉的猎物。
文章内容仅供参考,不构成投资建议,投资者据此操作风险自负。转载请注明出处:天府财经网
