朝鮮黑客部隊如何竊取30億美元加密貨幣，為核計劃提供資金——《華爾街日報》

今年春天，首爾市民目睹了朝鮮的一次導彈發射。專家表示，朝鮮試圖通過核武器和彈道導彈來展示其地緣政治實力。圖片來源：Ahn Young-joon/Associated Press去年，區塊鏈遊戲公司Sky Mavis的一名工程師以為自己即將獲得一份薪水更高的工作。

一位招聘人員通過LinkedIn聯繫了他，兩人通過電話交談後，招聘人員給了這位工程師一份文件作為面試流程的一部分。

但這位招聘人員是一個龐大的朝鮮行動的一部分，該行動旨在為這個資金匱乏的獨裁政權籌集資金。而這份文件是一個特洛伊木馬，惡意的計算機代碼讓朝鮮人能夠訪問工程師的電腦，並讓黑客入侵了Sky Mavis。最終，他們竊取了超過6億美元——大部分來自Sky Mavis的數字寵物遊戲《Axie Infinity》的玩家。

根據區塊鏈分析公司Chainalysis的數據，這是該國五年來數字盜竊中最大的一筆，為朝鮮人淨賺了超過30億美元。美國官員表示，這些資金被用於資助朝鮮約50%的彈道導彈計劃，該計劃與其核武器同步發展。國防支出佔朝鮮整體支出的很大一部分；美國國務院在2019年估計，平壤在國防上的支出約為40億美元，佔其整體經濟的26%。

Sky Mavis首席運營官亞歷山德·拉森表示：“我們與這些黑客的對抗是一場軍備競賽。“圖片來源：Sky Mavis公司首席運營官亞歷山德·拉森稱，儘管Sky Mavis現已償還網絡攻擊受害者的損失，但該事件曾威脅到這家當時成立僅四年的公司的生存。“當你看到被盜資金規模時，會發現這簡直是對我們事業的生存性威脅。”

該事件還引起了白宮關注，2022年朝鮮實施的一系列加密貨幣攻擊已引發嚴重關切。拜登總統的網絡安全與新興技術副國家安全顧問安妮·紐伯格表示：“過去一年真正的激增是針對像Sky Mavis這樣持有大量資金的全球核心加密基礎設施，導致更大規模的盜竊案頻發。這迫使我們全力聚焦打擊此類活動。”

朝鮮的數字竊賊在2018年前後開始發動首批重大加密貨幣攻擊。根據詹姆斯·馬丁防擴散研究中心追蹤的數據，此後朝鮮導彈試射次數呈爆發式增長，2022年觀測到的成功發射就超過42次。

美國官員警告稱，在西方制裁下，朝鮮資金來源存在大量未知信息，無法準確判斷加密貨幣盜竊對其加速導彈試驗的具體影響。但值得注意的是，金正恩封閉政權加強導彈試驗的同時，加密貨幣劫案也呈現令人擔憂的上升趨勢。

紐伯格表示，朝鮮用於購買彈道導彈項目外國零部件的外匯資金中，約50%現在由該政權的網絡行動提供。這一比例較早前估計的三分之一有顯著上升。

美國官員稱，朝鮮已建立了一支由數千名IT工作者組成的影子隊伍，這些人員在俄羅斯和中國等世界各地從事普通技術工作，年收入有時超過30萬美元。但調查人員表示，這支隊伍常與該政權的網絡犯罪活動有關聯。

他們曾偽裝成加拿大IT工作者、政府官員和日本自由職業區塊鏈開發者。為獲取工作機會，他們會進行視頻面試，或如Sky Mavis案例所示，冒充潛在僱主。

前受害者和調查人員透露，為受僱於加密公司，他們會僱傭西方"前台人員”——實質上是替身演員參與面試，掩蓋朝鮮人實際受僱的事實。一旦入職，他們有時會對產品進行微小改動以便實施黑客攻擊。

美國官員指出，自兩年前開始，與朝鮮有關的黑客開始用勒索軟件攻擊美國醫院——這種網絡攻擊會鎖定受害企業的文件並索要贖金——以此籌集資金。

“這看起來像一個現代海盜國家，”曾在聯邦調查局工作、現就職於區塊鏈追蹤公司TRM Labs的分析師尼克·卡爾森表示，“他們就在那裏肆意劫掠。”

卡爾森和加密貨幣行業的其他人表示，清除這些假冒的IT工作者是一個持續存在的問題。

國際專家長期指出，朝鮮一直在發展一支數字銀行搶劫部隊，以規避嚴厲制裁，並支持其通過核武器和彈道導彈投射地緣政治野心的目標。2020年聯合國的一份報告發現，該政權的創收黑客行為已被證明是“低風險、高回報且難以檢測的，其日益複雜的操作可能會阻礙溯源”。

多年來，美國和其他西方國家政府指責朝鮮實施了一系列大膽——有時甚至是草率執行的——網絡攻擊，從2014年索尼影業被黑到2017年大規模的全球勒索軟件攻擊。但據美國官員和安全專家稱，該國越來越傾向於將網絡攻擊重點放在獲取現金上，同時大幅提升其複雜技術能力以實施大規模盜竊。

“大多數國家支持的網絡項目都專注於傳統地緣政治目的的間諜活動或攻擊能力，”白宮的紐伯格表示，“而朝鮮人專注於盜竊，專注於硬通貨以繞過國際制裁的嚴厲限制。”

2016年，與朝鮮有關的黑客從孟加拉國中央銀行竊取了8100萬美元，這是一起試圖盜取10億美元的網絡盜竊案的一部分，該行動被紐約聯邦儲備銀行挫敗。

美國幾年前在洛杉磯對一名朝鮮公民提出了一系列網絡攻擊的指控。圖片來源：Mario Tama/Getty Images朝鮮黑客還從自動取款機中竊取資金，甚至通過一種名為WannaCry的快速傳播的蠕蟲病毒獲得了超過10萬美元的加密貨幣，但據Chainalysis調查副總裁Erin Plante稱，沒有什麼比他們自2018年開始的一系列加密貨幣盜竊更為有利可圖。“他們很早就進入了加密貨幣領域，並且是最早的加密貨幣高級用户之一。”

在平壤在社會工程方面表現出更大膽的同時，其黑客在技術上變得更加複雜。過去一年，朝鮮網絡犯罪的技能給美國官員和研究人員留下了深刻印象，一些人表示，他們看到該國的黑客執行了在其他地方從未見過的複雜操作。

在今年早些時候一次引人注目的攻擊中，與朝鮮有關的黑客完成了一項安全研究人員稱為首次的級聯供應鏈攻擊。他們逐個入侵軟件製造商，並破壞其產品，以獲取其客户計算機系統的訪問權限。

為了策劃這次攻擊，他們首先入侵了一家名為Trading Technologies的在線交易軟件製造商。隨後，軟件開發公司3CX的一名員工下載了該公司產品的受感染版本，並利用對3CX系統的訪問權限破壞了該公司的軟件。

調查人員稱，朝鮮黑客隨後試圖入侵3CX的客户，包括加密貨幣交易所。

Trading Technologies表示已聘請法務公司調查此事，但該公司已於2020年4月停用了相關軟件，比3CX被入侵早了約兩年。

3CX表示自黑客攻擊以來已加強了安全措施。公司首席執行官Nick Galea表示，不知道最終有多少客户受到影響，但由於發現及時，懷疑受影響的客户數量很少。

“與這些黑客的鬥爭是一場軍備競賽，”Sky Mavis的Larsen説。

聯繫Robert McMillan，郵箱：[email protected]，以及Dustin Volz，郵箱：[email protected]

本文發表於2023年6月12日的印刷版，標題為《數字劫案為朝鮮導彈提供資金》。