拉撒路集团 (Lazarus Group) 是一个高度复杂的黑客组织,网络安全专家认为,历史上一些规模最大、破坏性最强的黑客攻击都是该组织所为。2016 年,Novetta 在分析索尼影视娱乐 (Sony) 黑客攻击事件时首次发现了 Lazarus Group。
2014 年,索尼正在制作动作喜剧片《刺杀金正恩》,其主要情节点是金正恩遭受羞辱以及随后的刺杀。可以理解,这并没有受到朝鲜政权的欢迎,朝鲜政权通过入侵索尼网络、窃取数 TB 的数据、泄露数百 GB 的机密或其他敏感信息并删除原件进行了报复。正如当时的首席执行官迈克尔·林顿所说,「干这种事的人不仅偷走了房子里的所有东西,他们还把房子烧毁了」。最终,索尼在这次攻击中的调查和补救费用至少为 1500 万美元,损失可能更多。
随后在 2016 年,一个与 Lazarus Group 极为相似的黑客入侵了孟加拉国银行,意图窃取近 10 亿美元。在一年的时间里,黑客努力对孟加拉国银行的员工进行社会工程学攻击,最终获得远程访问权限并在银行内部网络内移动,直至到达负责与 SWIFT 网络交互的计算机。从那时起,他们就等待绝佳的攻击机会:孟加拉国银行周四休周末,但纽约联邦储备银行周五休周末。孟加拉国当地时间周四晚上,威胁行为者利用其对 SWIFT 网络的访问权限向纽约联邦储备银行发送了 36 个单独的转账请求,当时是当地时间周四早上。在接下来的 24 小时内,纽约联邦储备银行将这些转账转发给菲律宾的黎刹商业银行 (RCBC),后者开始采取行动。随后,当孟加拉银行重新开门营业时,发现了黑客攻击事件,他们试图通知黎刹商业银行停止正在进行的交易,却发现黎刹商业银行因为农历新年放假已经关闭。
最后,2017 年,大规模的 WannaCry 2.0 勒索软件攻击摧毁了世界各地的行业,部分原因被归咎于 Lazarus Group 。据估计,WannaCry 造成了数十亿美元的损失,它利用了 NSA 最初开发的 Microsoft Windows 0day,不仅加密了本地设备,还传播到其他可访问的设备,最终感染了全球数十万台设备。幸运的是,由于安全研究员 Marcus Hutchins 在八小时内发现并激活了终止开关,最终损失被限制在了一定范围内。
纵观 Lazarus Group 的发展历程,他们展现出了极高的技术能力和执行力,而他们的目标之一就是为朝鲜政权创造收入。因此,他们将注意力转向加密货币行业只是时间问题。
衍生随着时间的推移,随着 Lazarus Group 成为媒体描述朝鲜网络活动时喜欢使用的统称,网络安全行业为 Lazarus Group 和朝鲜的具体活动创造了更精确的名称。APT38 就是一个例子,它于 2016 年左右从 Lazarus Group 分离出来,专注于金融犯罪,首先针对银行(如孟加拉国银行),然后是加密货币。后来在 2018 年,一种名为 AppleJeus 的新威胁被发现正在传播针对加密货币用户的恶意软件。最后,早在 2018 年,当 OFAC 首次宣布对朝鲜人使用的两家幌子公司实施制裁时,冒充 IT 工作者的朝鲜人就已经渗透到科技行业。