拉撒路集團：替北韓盜取加密貨幣的黑客部隊

2020年9月23日

北韓可算是東亞最封閉的國度，1948 年立國以來，金氏家族一直壟斷軍政大權。該國長期面對國際社會的外交孤立和經濟制裁，除了依賴唯一盟友中國的支援，還要透過一連串非法活動，例如販毒和偽鈔，來為政權續命。近年，北韓就把犯罪行為網絡化，透過黑客部隊「拉撒路集團」（Lazarus Group），盜取加密貨幣。

根據美國財政部的資料，拉撒路集團約始於 2007 年，隸屬於北韓人民軍總參謀部偵察總局第三局旗下的 110 號研究中心，而第三局就是專門負責網絡戰的部門。財政部的聲明指，拉撒路集團持續攻擊多個重要機構，例如政府、軍事、金融，以至媒體、娛樂和基建公司，其所用的手段，包括網絡間諜、數據盜竊，搶劫和惡意軟件。2017 年，侵襲全球的 WannaCry 軟件，據悉就是出自拉撒路集團之手。

「麻省理工科技評論」就報道，拉撒路集團持續盜取各地銀行和交易所的加密貨幣，以支援北韓的核武計劃。美國司法部今年公佈，鎖定了約 280 個由北韓黑客控制的加密貨幣帳戶。在 2018 年一次行動中，拉撒路集團成功從兩個交易中心，偷取約值 2.5 億美元的加密貨幣；2019 年，集團又攻擊南韓一所虛擬交易所，非法獲取價值 4,800 萬美元的加密貨幣。

美國國家稅務局的特別探員 Chris Janczewski 負責調查 2018 年那宗加密貨幣案。他認為，入侵加密貨幣系統不算複雜，最難是要把這些非法財產洗白。經過多年實戰，警察和監管人員已能熟練地追蹤黑客，執法單位又與交易所建立緊密關係，對加密貨幣的監管也愈來愈嚴格。加上區塊鏈監控工具已經普及，整個加密貨幣交易過程，不再毫無痕跡。

若果黑客要把大額加密貨幣，直接轉換成美元，勢必會驚動執法單位，而且不是每種加密貨幣都能做到如此大筆的交易，黑客始終要兌換成比特幣。故此，黑客要先想法子，令調查人員無法追蹤他們，再把各種加密貨幣互相轉換，如「以太幣」（Ether）兌成比特幣，繼而變成美元、歐羅或人民幣，然後才可以買到武器、奢侈品和必需品。

他直言，拉撒路集團正在進化，他們一個有名的戰術是「剝離鏈」（peel chains），原理是把非法得來的資產，透過數以千宗計交易，不斷拆分到不同小帳戶之中，當調查人員發現時，資產早已流入到各大交易所，難以追蹤源頭。另一個戰術是「跳鏈」（chain hopping），把得來的資產轉換成不同種類的加密貨幣，有些私人貨幣缺乏監管，令執法人員無法追蹤，有時黑客又會特意高調進行合法交易，聲東擊西，製造「錯誤警報」（false alarm）。

Janczewski 認為，拉撒路集團要控制數以百計的假帳戶和身份，手法極為熟悉，需要投放大量資源進行訓練，可見北韓政府高度重視該黑客計劃。專家估計，北韓全國有 15% 的收入來自非法活動，當中黑客活動佔比極大。當然，北韓黑客也需要好幫手，他們有時會繞過交易所，在中國進行「場外交易」（over-the-counter trade），以避開網絡監管。2018 年的 2.5 億美元案，有兩名中國公民就被控幫助北韓黑客，洗白高達 1 億美元的非法資產。

https://www.cup.com.hk/2020/09/23/lazarus-group/

朝鮮黑客組織拉撒路再度出手劫持部分電商網站竊取用戶信用卡信息

2020年7月7日11日

拉撒路集團是目前全球最為臭名昭著的黑客集團之一，原因是拉撒路這些年頻繁活動並且炮製多次網絡攻擊案例。

其中被用戶熟悉的WannaCry勒索軟件就是拉撒路所為，孟加拉國家銀行和台灣遠東銀行失竊案也與拉撒路有關。

安全機構已經證實拉撒路是朝鮮官方控制的黑客集團，與普通黑客集團不同的是，拉撒路集團還有些特殊的任務。

通常由國家支持的黑客集團主要目的都是低調行事悄悄竊取情報數據，而拉撒路集團則被戲稱是朝鮮的外匯天團。

因為拉撒路經常發動攻擊都是以竊取錢財為目的的，比如盜竊銀行、襲擊韓國虛擬貨幣交易所都是以賺錢為目的。

拉撒路又被發現偷錢：

據荷蘭安全公司SanSec 發布的分析報告，該公司在荷蘭部分流行電商網站發現拉撒路集團悄悄植入的惡意腳本。

這種攻擊方式通常被稱為網頁掠奪或Magecart 攻擊, 主要目的是通過惡意腳本竊取用戶填寫的信用卡詳細數據。

在國外信用卡使用率非常高，在網上支付時用戶只需填寫信用卡卡號、CVV2 安全碼、姓名以及有效期即可支付。

支付環節是無需密碼或者短信驗證碼之類進行驗證的，所以已經有很多攻擊者瞄準電商網站來竊取用戶卡片信息。

而網頁掠奪攻擊實際上就是通過惡意腳本竊取用戶卡片信息的，理論上說只要成功竊取這類信息即可進行盜刷等。

用戶很難避免這類攻擊：

拉撒路和多數網頁掠奪攻擊者使用的方法類似，通過惡意腳本在網頁上生成虛假信用卡信息填寫框誘導用戶填寫。

用戶在電商網站完成購買跳轉到支付頁面時就會出現這種信息框，支付出現這類信息框很正常所有用戶不會懷疑。

但當用戶輸入信用卡信息後這類信息也會發送到控制者的服務器，接下來控制者可利用信息對用戶卡片進行盜刷。

安全公司經過分析後發現黑客使用的腳本代碼與拉撒路的具有同源性，經過追踪後確定是臭名昭著的拉撒路集團。

而被黑的電商網站則是非常知名的Claire's 連鎖店，就目前來說無法預估到底有多少用戶的信用卡信息遭到竊取。

拉撒路集團是怎麼完成襲擊的：

在支付頁面生成虛假的支付信息框純粹依靠前端完成有點難度，通常這類攻擊都是在網站服務器上進行直接篡改。

安全公司猜測拉撒路集團可能用釣魚攻擊等方式竊取Claire's 員工憑證，通過員工憑證登錄服務器安裝惡意腳本。

不過這只是猜測無法進行證實， 但安全公司證實黑客在4月和6月兩度黑進服務器，所以受影響用戶可能非常多。

SanSec 聯繫該公司後其運維人員已經將惡意腳本撤下，不過被盜的信用卡用戶接下來可能要聯繫銀行封卡換卡。

信用卡信息洩露或被盜刷應該怎麼辦：

信用卡卡號、安全碼、有效期和姓名是信用卡的關鍵因素，這些關鍵因素不應該在任何地方洩露否則會引起盜刷。

如果用戶不慎在某些地方洩露以上關鍵信息尤其是有效期和安全碼，應該立即致電銀行凍結卡片併申請更換卡片。

如遇盜刷即非本人發起的交易也應該立即致電銀行進行凍結並嘗試撤銷交易，以上都應該在發現時立即進行凍結。

另外在這裡也提醒大家國內發行的雙幣種信用卡通常會有安全鎖，可以嘗試將境外刷卡和無卡消費鎖定禁止交易。

而在國內外網站進行支付時如需要填寫信用卡卡號和安全碼這類的, 建議通過第三方支付例如支付寶或者PayPal。

https://www.landiannews.com/archives/76567.html