拉撒路集團:替北韓盜取加密貨幣的黑客部隊

A+A-
2015 年,北韓領袖金正恩在朝鮮科學技術殿堂作指導。 圖片來源:路透社

北韓可算是東亞最封閉的國度,1948 年立國以來,金氏家族一直壟斷軍政大權。該國長期面對國際社會的外交孤立和經濟制裁,除了依賴唯一盟友中國的支援,還要透過一連串非法活動,例如販毒偽鈔,來為政權續命。近年,北韓就把犯罪行為網絡化,透過黑客部隊「拉撒路集團」(Lazarus Group),盜取加密貨幣。

根據美國財政部的資料,拉撒路集團約始於 2007 年,隸屬於北韓人民軍總參謀部偵察總局第三局旗下的 110 號研究中心,而第三局就是專門負責網絡戰的部門。財政部的聲明指,拉撒路集團持續攻擊多個重要機構,例如政府、軍事、金融,以至媒體、娛樂和基建公司,其所用的手段,包括網絡間諜、數據盜竊,搶劫和惡意軟件。2017 年,侵襲全球的 WannaCry 軟件,據悉就是出自拉撒路集團之手。

「麻省理工科技評論」就報道,拉撒路集團持續盜取各地銀行和交易所的加密貨幣,以支援北韓的核武計劃。美國司法部今年公佈,鎖定了約 280 個由北韓黑客控制的加密貨幣帳戶。在 2018 年一次行動中,拉撒路集團成功從兩個交易中心,偷取約值 2.5 億美元的加密貨幣;2019 年,集團又攻擊南韓一所虛擬交易所,非法獲取價值 4,800 萬美元的加密貨幣。

美國國家稅務局的特別探員 Chris Janczewski 負責調查 2018 年那宗加密貨幣案。他認為,入侵加密貨幣系統不算複雜,最難是要把這些非法財產洗白。經過多年實戰,警察和監管人員已能熟練地追蹤黑客,執法單位又與交易所建立緊密關係,對加密貨幣的監管也愈來愈嚴格。加上區塊鏈監控工具已經普及,整個加密貨幣交易過程,不再毫無痕跡。

若果黑客要把大額加密貨幣,直接轉換成美元,勢必會驚動執法單位,而且不是每種加密貨幣都能做到如此大筆的交易,黑客始終要兌換成比特幣。故此,黑客要先想法子,令調查人員無法追蹤他們,再把各種加密貨幣互相轉換,如「以太幣」(Ether)兌成比特幣,繼而變成美元、歐羅或人民幣,然後才可以買到武器、奢侈品和必需品。

他直言,拉撒路集團正在進化,他們一個有名的戰術是「剝離鏈」(peel chains),原理是把非法得來的資產,透過數以千宗計交易,不斷拆分到不同小帳戶之中,當調查人員發現時,資產早已流入到各大交易所,難以追蹤源頭。另一個戰術是「跳鏈」(chain hopping),把得來的資產轉換成不同種類的加密貨幣,有些私人貨幣缺乏監管,令執法人員無法追蹤,有時黑客又會特意高調進行合法交易,聲東擊西,製造「錯誤警報」(false alarm)。

Janczewski 認為,拉撒路集團要控制數以百計的假帳戶和身份,手法極為熟悉,需要投放大量資源進行訓練,可見北韓政府高度重視該黑客計劃。專家估計,北韓全國有 15% 的收入來自非法活動,當中黑客活動佔比極大。當然,北韓黑客也需要好幫手,他們有時會繞過交易所,在中國進行「場外交易」(over-the-counter trade),以避開網絡監管。2018 年的 2.5 億美元案,有兩名中國公民就被控幫助北韓黑客,洗白高達 1 億美元的非法資產。