FX168财经报社(北美)讯 去年,一名在区块链游戏公司Sky Mavis工作的工程师原以为,他即将获得一份薪水更高的新工作。
一位招聘人员通过领英(LinkedIn)找到了他,两人通过电话交谈后,招聘人员给了这位工程师一份文件,让他审阅,这是面试过程的一部分。
但这名招募者是朝鲜庞大行动的一部分,目的是为这个现金匮乏的独裁政权注入资金。这份文件其实是一个特洛伊木马,一种恶意的计算机代码,可以让朝鲜人进入工程师的计算机,并允许黑客侵入Sky Mavis。最终,他们从Sky Mavis的电子宠物游戏《Axie Infinity》的玩家那里窃取了6亿多美元。
根据区块链分析公司Chainalysis的数据,这是朝鲜五年来最大的一次数字盗窃,为朝鲜净赚了30多亿美元。美国官员说,朝鲜弹道导弹项目约50%的资金源于黑客盗窃的资金,该项目是与核武器一起开发的。国防开支占朝鲜总开支的很大一部分;美国国务院估计,2019年平壤在国防上的支出约为40亿美元,占其整体经济的26%。
Sky Mavis首席运营官Aleksander Larsen表示,尽管该公司现在已经向网络攻击的受害者提供了赔偿,但这一事件威胁到了这家当时成立四年的公司的生存。“当你看到被盗资金的数量时,(它)似乎对你正在建立的东西构成了生死存亡的威胁。”
这一事件也引起了白宫的注意,该事件以及朝鲜在2022年期间的其他加密攻击引起了白宫的严重关注。美国负责网络和新兴技术的副国家安全顾问Anne Neuberger说:“去年真正激增的是针对世界各地持有大笔资金的中央加密基础设施,比如Sky Mavis,这导致了更多的大规模抢劫。”“这促使我们高度关注打击这种活动。”
朝鲜的数字窃贼在2018年左右开始了他们的第一次大型加密攻击。根据詹姆斯·马丁防扩散研究中心(James Martin Center for Nonproliferation Studies)追踪的数据,自那以来,朝鲜的导弹发射尝试和成功如雨后春笋般增加,在2022年成功发射了42枚以上。
美国官员警告称,在西方的制裁下,朝鲜的资金来源尚不清楚,因此不可能准确了解加密货币盗窃在导弹试射率上升中所起的作用。但与此同时,金正恩这个与世隔绝的政权进行了核试验,加密货币盗窃事件也出现了令人担忧的上升。
Neuberger说,朝鲜为其弹道导弹项目购买外国部件的外汇资金中,目前约有50%是由该政权的网络行动提供的。这比之前的估计大幅增加,当时的估计是该项目总资金的三分之一。
美国官员说,朝鲜已经在包括俄罗斯和中国在内的世界各国建立了一个实质上由数千名IT工人组成的影子劳动力队伍,这些人从事普通的技术工作,有时年收入超过30万美元。但调查人员表示,这些人往往与朝鲜政权的网络犯罪活动有关。
他们假扮成加拿大IT工作者、政府官员和自由职业的日本区块链开发人员。他们会通过视频面试来获得一份工作,或者,就像Sky Mavis的例子一样,伪装成潜在的雇主。
为了被加密公司雇佣,他们会雇佣西方的“前台人员”——本质上是演员,他们在面试时坐着,以掩盖朝鲜人才是真正被雇佣的事实。前受害者和调查人员说,一旦被雇佣,他们有时会对产品做一些小改动,从而让自己被黑客攻击。
(图源:Chainalysis)
美国官员说,从两年前开始,与朝鲜有关的黑客开始用勒索软件感染美国医院,以筹集资金。勒索软件是一种网络攻击,黑客锁定受害公司的文件,并要求支付赎金才能释放这些文件。
“这似乎是一个现代的海盗国家,”前联邦调查局(FBI)分析师、目前在区块链追踪公司TRM Labs工作的Nick Carlsen表示,“他们只是在那里抢劫。”
Carlsen和加密货币行业的其他人表示,清除这些假IT工作者是一个长期存在的问题。
国际专家长期以来一直表示,朝鲜一直在发展一支数字银行抢劫军队,以逃避严厉的制裁,并支持其通过核武器和弹道导弹投射地缘政治力量的雄心。联合国2020年的一份报告发现,朝鲜政权的创收黑客活动已被证明是“低风险、高回报、难以发现的,而且它们越来越复杂,可能会挫败溯源。”
多年来,美国和其他西方国家政府指责朝鲜实施了一系列肆无忌惮的网络攻击,从2014年对索尼影业(Sony Pictures)的黑客攻击到2017年大规模的全球勒索软件攻击无一不与朝鲜有关。但据美国官员和安全专家说,该国越来越多地寻求将网络攻击的重点放在赚钱上,同时大幅提高其技术水平,以实施大规模盗窃。
白宫的Neuberger说:“大多数国家的网络项目都侧重于传统地缘政治目的的间谍活动或攻击能力。”“朝鲜专注于盗窃,利用硬通货来规避严厉的国际制裁。”
2016年,与朝鲜有关联的黑客从孟加拉国央行窃取了8100万美元,其是纽约联储阻止的10亿美元网络抢劫案的一部分。
据Chainalysis调查副总裁Erin Plante说,朝鲜人还从自动取款机上偷钱,甚至从一种迅速传播的名为“想哭”(WannaCry)的蠕虫病毒中赚取了超过10万美元的加密货币,但没有什么比他们从2018年开始的一系列加密货币抢劫案更赚钱了。“他们很早就进入了加密领域,而且他们是早期加密技术最先进的用户之一。”
与此同时,平壤在社会工程方面表现得更加大胆,其黑客的技术水平也越来越高。过去一年,朝鲜网络犯罪的高超技巧给美国官员和研究人员留下了深刻印象,一些人说,他们看到朝鲜黑客实施了其他任何地方都未曾见过的精心策划的行动。
在今年早些时候的一次引人注目的攻击中,与朝鲜有关的黑客实施了安全研究人员所说的首次级联式供应链攻击。他们一次入侵一个软件制造商,破坏他们的产品,以进入他们客户的计算机系统。
为了策划这次攻击,他们首先攻击了一家名为Trading Technologies的在线交易软件制造商。该公司产品的一个损坏版本随后被3CX的一名雇员下载,该公司本身也是一家软件开发公司,然后利用访问3CX系统的权限来破坏该公司的软件。
调查人员表示,朝鲜人试图从那里闯入3CX的客户,其中包括加密货币交易所。
Trading Technologies表示,它已经聘请了一家取证公司来调查这一事件,但它在2020年4月,也就是3CX遭到入侵两年前,就关闭了有问题的软件。
3CX表示,自从黑客入侵以来,他们已经加强了安全措施。该公司首席执行长Nick Galea说,该公司不知道最终有多少客户受到影响,但由于发现得很快,预计数量不多。
“这是一场与黑客的军备竞赛,”Sky Mavis的Larsen说。
