拉扎勒斯集团:朝鲜网络攻击者如何窃取加密货币
历史上,有一个黑客组织窃取的加密货币数量超过了任何其他组织。而且,它还为政府效力。拉撒路集团是朝鲜的国家黑客组织,对他们来说,窃取加密货币并非副业,而是主业,是国家财政收入的重要来源,背后还有专门的工资发放。按照他们的标准,如果年份“顺利”,该组织每年就能从交易所、桥接器和普通钱包中窃取超过20亿美元。其中大部分在有人举报之前就已经消失得无影无踪。
本指南涵盖了这些犯罪集团的身份、与其相关的最大盗窃案、袭击的实际运作过程、洗钱方式以及最终消失的金额。重点始终放在加密货币上。故事的焦点也正是加密货币。
拉撒路集团的真实面目是什么?
别再想象一个穿着连帽衫的孤胆黑客了。拉撒路集团更像是一个有固定工资的政府部门。西方机构将其与朝鲜侦察总局(该国主要的对外情报机构)以及有时被称为“121局”的部门联系起来。网络安全研究人员将其视为一个单一的威胁组织,但实际上,它是由多个团队组成的集群,负责执行朝鲜政府的网络攻击行动。键盘背后的黑客们接受过培训,领取薪水,并被分配了任务,他们的目标清单也由国家设定。
根据报告撰写者的不同,该组织有许多不同的名称:APT38、Hidden Cobra、Guardians of Peace、Labyrinth Chollima。分析人士将其划分为多个子团队,各司其职。BlueNoroff 负责攻击银行和加密货币公司以获取资金,Andariel 则倾向于间谍活动和破坏活动,而更广泛的 Lazarus 组织则负责发起引人注目的网络攻击。该组织自 2009 年左右就开始以某种形式活跃至今,使其成为世界上持续时间最长、经济动机最强的网络威胁组织之一。
拉扎勒斯与其他大多数国家黑客组织最大的区别在于其动机。俄罗斯和中国主要从事间谍活动,而朝鲜则通过窃取资金来维持自身运转。2019年9月, 美国财政部正式制裁了拉扎勒斯及其两个关联组织——BlueNoroff和Andariel,并将它们列为朝鲜政府的工具。一家安全公司一针见血地指出,这是一个披着朝鲜国旗的犯罪集团。
从索尼到WannaCry:早期岁月
在加密货币出现之前,拉撒路公司就以制造混乱而闻名。2014年,该公司对索尼影视娱乐公司旗下的《和平守护者》发起了攻击,导致系统数据丢失、未上映影片泄露,以及多年内部邮件曝光。其动机似乎是为了拍摄一部讽刺朝鲜领导人的喜剧。该公司行事张扬、政治化、破坏性强,但当时尚未盈利。
接下来就是钱了。2016年,该团伙几乎成功实施了史上最大的银行抢劫案之一,他们发送欺诈性SWIFT信息,企图从孟加拉国银行在纽约联邦储备银行的账户中盗走9.51亿美元。一个拼写错误和一点运气使大部分计划化为泡影。大约8100万美元仍然落入他们手中。那次网络攻击证明了“拉撒路”团伙能够通过键盘窃取金融机构的资金,并将国家主导的网络犯罪变成了一个真正的利润中心。
随后,2017 年爆发了 WannaCry 勒索软件,这种蠕虫病毒瘫痪了大约 150 个国家/地区的数十万台计算机,并导致英国多家医院瘫痪。它漏洞百出,几乎没有造成任何损失。但它展现了其影响力。因此,当加密货币发展成熟时,Lazarus 已经积累了十年转移其无权触碰的资金的经验。
为什么朝鲜黑客会攻击加密货币?
对于一个与全球银行体系隔绝的政权而言,加密货币几乎过于便捷。制裁可以冻结银行账户并阻止SWIFT转账,但没有人能够阻止钱包接收资金。加密货币可以在几分钟内跨境转移,结算不可逆转,并且可以通过旨在追踪资金流向的工具进行转移。
因此,朝鲜改变了策略。既然利用桥接攻击获利十倍且无法追回,为何还要冒着被一个电话就能撤销的银行劫案的风险呢?经济效益对攻击者极其有利。SWIFT转账失败会被冻结并退回;而桥接攻击一旦成功,区块确认后即告完成。没有交易对手方可以追讨,没有拒付机制,也没有法院对钱包拥有管辖权。调查人员和联合国目前估计,被盗加密货币为朝鲜提供了很大一部分外汇收入和相当一部分武器计划资金,尽管这些具体比例来自情报评估,而非公开账目。
拉撒路集团最大的加密货币劫案
这些数字听起来早已不像犯罪案件,倒像是国家预算。其中最大的一笔盗窃案——Bybit黑客事件——比接下来几起案件的总和还要多,也超过了历史上任何一起非加密货币银行抢劫案的规模。
| 抢劫 | 日期 | 数量 | 方法 |
|---|---|---|---|
| 拜比特 | 2025年2月 | 约15亿美元 | 操纵的多重签名接口 |
| 浪人桥(Axie) | 2022年3月 | 约6.25亿美元 | 被盗的验证器私钥 |
| DMM比特币 | 2024年5月 | 约3.08亿美元 | 假冒招聘人员,受胁迫的员工 |
| WazirX | 2024年7月 | 约2.35亿美元 | 钱包基础设施漏洞 |
| 和谐地平线 | 2022年6月 | 约1亿美元 | 受损的桥钥匙 |
| 原子钱包 | 2023年6月 | 超过1亿美元 | 恶意软件更新 |
仔细观察,你会发现同样的弱点反复出现。Ronin钱包被盗之所以得逞,是因为攻击者控制了九个验证密钥中的五个,这些密钥用于保护钱包桥,足以批准他们自己的提款操作。而 Bybit 的攻击则更为隐蔽:攻击者并没有直接破解冷钱包,而是篡改了签名者看到的界面,导致团队批准了一笔看似例行实则暗藏玄机的转账。在这两起案例中,加密技术本身没有问题,问题出在人为因素和软件上。
由于金额通常与代币当日价格挂钩,而 Lazarus 倾向于窃取以太币等波动性较大的资产,因此不同来源的金额有所差异。Ronin 的损失金额在 5.4 亿美元到 6.25 亿美元之间,具体数字取决于统计机构;Bybit 的损失金额则在 14 亿美元到 15 亿美元之间。其背后的模式始终如一:攻击加密货币桥接器、交易所和钱包软件,这些关键节点一旦出现故障,就会释放出巨额财富。
Lazarus Group黑客事件始末
最令人惊讶的是,这些破纪录的盗窃案很少始于某种匪夷所思、势不可挡的阴谋诡计,而是始于有人被骗。真正高明且不可逆转的部分发生在之后,也就是如何让赃款彻底消失的时候。
切入点:虚假招聘和网络钓鱼
拉撒路组织耐心且善于交际。其长期惯用的伎俩,通常被称为“梦想工作行动”,是在LinkedIn或开发者社区中冒充招聘人员,提供一家听起来很正规的公司的理想职位。面试过程中,会突然出现一份“编程测试”或PDF文件,打开后就会安装恶意软件。据信,DMM比特币盗窃案正是由此开始的,一名假冒招聘人员入侵了关联公司的一名员工。同样的伎俩也针对整个行业的开发者,通过伪装成合法工作示例的、带有恶意程序的npm包和GitHub代码库来实施攻击。没有任何防火墙能够阻止被告知文件是工作任务的工程师,这正是为什么打开这些攻击之门的往往是社会工程学,而不是什么坚不可摧的漏洞利用。
大楼内有假冒的IT人员
朝鲜的新伎俩更加大胆:他们不再是潜入,而是主动申请工作。数千名朝鲜IT人员伪装成远程开发人员,使用盗取的美国身份信息,并通过当地中间人运营的“笔记本电脑集群”进行工作,使员工看起来像是从德克萨斯州而非平壤登录。一旦被西方科技和加密货币公司录用,他们就会将工资汇回朝鲜,有时还会植入一些账户,以便日后窃取数据。美国司法部已对这一骗局的两端展开调查,包括2024年12月对14名朝鲜人提起诉讼,以及2025年对托管这些笔记本电脑的美国中间人采取行动。这是一种伪装成工资单的间谍活动。
套现:混合器和桥牌
窃取加密货币只是成功的一半;更难的是花掉它。拉扎勒斯先将窃取的资金通过诸如 Tornado Cash(美国于 2022 年制裁)和 Sinbad(将于 2023 年底制裁)之类的混币器进行洗钱,然后通过桥接和资产互换在不同区块链之间转移资金,以掩盖资金流向,最后通过监管薄弱的交易所兑现。整个过程快速且自动化;在 Bybit 事件之后,调查人员发现资金在几个小时内就分散到了数百个钱包中。这是一种工业规模的洗钱活动,而且屡试不爽,因此该政权才会持续使用这种手段。
拉撒路集团究竟窃取了多少资金?
退一步来看,这些数字令人难以置信。据Chainalysis 的数据显示,与朝鲜有关联的黑客在 2025 年窃取了价值约 20.2 亿美元的加密货币,比上一年增长了 51%,使历史总窃取金额超过 67.5 亿美元。到 2025 年,朝鲜窃取的加密货币价值估计占全球加密货币服务被盗总额的 76%。一个国家,四分之三的损失。
| 时期 | 被盗(加密货币) | 来源 |
|---|---|---|
| 2024年(已获各国政府确认) | 约6.59亿美元 | 美日韩联合声明 |
| 2024(完整署名) | 约11.9亿美元 | Chainalysis / Mandiant |
| 2025 | 约20.2亿美元 | 链分析 |
| 历史最低值 | 约67.5亿美元 | 链分析 |
2024年的数据存在差异,原因在于衡量指标不同:各国政府确认了少数具体的盗窃事件,而分析公司则通过链上追踪确定了更多案件。无论如何,趋势都指向上升。联合国专家小组的一项审查显示,在2024年和2025年的数据统计之前,2017年至2023年间,疑似朝鲜发起的加密货币攻击约有58起,总价值约30亿美元。该小组还报告称,这笔资金被用于资助朝鲜的武器计划。这一说法并非基于审计报告,而是来自成员国的情报,但它将每一次交易所安全漏洞都重新定义为地缘政治事件。
制裁、起诉及应对措施
那么,究竟能做些什么呢?指名道姓,制裁他们,起诉他们。逮捕他们?几乎不可能,因为他们身处平壤。
事情的来龙去脉如今已相当复杂。财政部早在2019年就将Lazarus列入黑名单,随后又对其依赖的现金兑换商Tornado Cash和Sinbad展开调查。检察官也紧随其后,早在2021年就对一些黑客提起诉讼,最近又将矛头指向了运营虚假IT从业人员渠道的人员。祝他们执行搜查令顺利。
追回赃款更是难上加难。浪人组织被盗后,调查人员在联邦调查局和Chainalysis的协助下追回了一部分资金。仅仅是一部分而已。其余的早已不知所踪。制裁往往只是把问题转移开来:把Tornado Cash列入黑名单,钱就流向了辛巴达;制裁辛巴达,团伙又会找到下一个洗钱者。每一次转移都让兑现赃款的成本更高、手段更拙劣。但这一切都无法从源头上阻止盗窃。你不可能引渡一个政府。
拉撒路集团能被阻止吗?
说实话,单靠制裁是不够的。真正有效的防御措施发生在数据泄露之前,而且责任在于交易所和用户,而非检方。这意味着对大额转账进行硬件强制审批,将主动招募者视为威胁而非机会,并且绝不允许任何一台被入侵的笔记本电脑泄露整个金库。这也意味着要核实你实际签署的内容,而不是仅仅相信屏幕上的信息——这正是导致Bybit损失超过10亿美元的漏洞所在。这种不对称性非常残酷:防御者必须每次都万无一失,而Lazarus只需要一名工程师打开一个文件就能得逞。现实的目标并非彻底铲除整个犯罪团伙,而是让每次盗窃的速度更慢、金额更小、洗钱难度更高,从而彻底杜绝下一个价值数十亿美元的漏洞出现。
为什么拉扎勒斯集团对加密货币如此重要
拉扎勒斯利用了加密货币最引以为傲的特性——无国界性和不可逆性——将其变成了国家融资工具。这才是令人不安的教训:同样的机制既让资金摆脱了银行的束缚,也使其难以追回。加密货币安全不再仅仅是个人私钥的问题,它已经演变成多个国家共同面临的国家安全问题。每一个未经审计的桥接器和每一个监管松懈的交易所都可能成为导弹预算中的一项支出。值得深思的问题是:一个开放、无需许可的金融体系,如何才能抵御一个耐心且资金雄厚的对手,后者将大规模盗窃视为外交政策的一部分?
