​FireEye:朝鲜为什么对加密货币兴趣浓厚?


E安全9月13日讯 据传,朝鲜似乎在挖比特币或其它加密货币,以逃避贸易制裁,包括联合国安理会通过的最新制裁。

联合国安理会11日一致通过决议,决定对朝鲜实施包括减少石油供应以及禁止纺织品出口等严厉制裁措施。美国官员表示,新制裁会削减朝鲜90%的纺织品出口,限制其获取硬货币的能力。

朝鲜四处“筹钱”或充实私人金库

FireEye 9月11日发报告指出,朝鲜黑客正不断攻击韩国加密货币交易所及相关网站。报告作者Luke McNamara(卢克·麦克纳马拉)表示,制裁是此类活动的巨大驱动力,朝鲜黑客可能认为这种活动是成本最低的攫取现金解决方案。

报告显示,FireEye 2016年开始观察朝鲜黑客利用入侵能力实施网络犯罪活动,攻击银行和全球金融系统。经济落后的朝鲜利用政府机构从事非法经济活动。朝鲜从事网络犯罪活动不足为奇,由于朝鲜对军事和情报能力控制得相当严,从事这种活动可能是为国家提供资金支持或充实某些个人的私人金库。

FireEye还发现第二波此类网络犯罪活动:国家支持型黑客企图窃取比特币和其它虚拟货币逃避制裁,获取硬货币为国家提供资金支持。自2017年5月以来,FireEye发现朝鲜黑客锁定至少三所韩国加密货币交易所,涉嫌窃取加密货币。

此外,朝鲜黑客还通过鱼叉式网络钓鱼针对数字加密交易所员工的个人电子邮箱,通常使用税收相关主题作为诱饵,在其中部署恶意软件(PEACHPIT及类似变种)。

FireEye:朝鲜为什么对加密货币兴趣浓厚?-E安全

2016年,朝鲜还通过水坑式攻击将目标瞄向比特币新闻网站,再加上朝鲜疑似运作虚拟货币挖矿活动,FireEye认为朝鲜对加密货币尤感兴趣,自今年开始比特币涨幅高达400%或有其功劳。

攻击方式离不开钓鱼攻击

报告列出今年朝鲜针对韩国加密货币目标发起的攻击:

  • 4月22日---韩国加密货币交易所Yapizon 遭遇不明身份黑客攻击,导致该交易所超过3800比特币(约合1500万美元)被盗。值得注意的是,据传,这起攻击中的有些策略、技术和程序与FireEye之后发现的入侵企图不同,目前尚无明显的迹象表明朝鲜参与其中。

    4月26日---美国宣布加大对朝鲜的经济制裁。国际制裁可能让朝鲜将目光投向加密货币。

  • 5月初---对韩国一交易所发起鱼叉式网络钓鱼

  • 5月底---对韩国第二所交易所发起鱼叉式网络钓鱼攻击。

  • 6月初---朝鲜涉嫌攻击未具名受害者,据称是朝鲜一家加密货币服务提供商。

  • 7月初---通过鱼叉式网络钓鱼攻击第三所韩国交易所的个人账户。

朝鲜电信部未回应评论请求。朝鲜的外交官和官方媒体否认参与网络攻击,包括2014索尼影业被黑一事。

朝鲜侦察总局预计有6千成员

韩国认为朝鲜有一支黑客军团逐渐从军事活动转向金融盗窃。澳大利亚战略政策研究所(Australian Strategic Policy Institute)国际网络政策中心2016年一份报告指出,直接向金正恩汇报工作的朝鲜侦察总局(Reconnaissance General Bureau)负责和平时期的网络间谍活动和网络破坏等网络行动,预测该局雇用了6000名官员。

最近几波攻击中,韩国成为目标不仅仅是因为其地理位置和语言原因,韩国今年已成为最繁忙的加密货币交易中心之一,首尔的Bithumb是全球最大的以太币(Ethereum)交易所。据悉,今年6月黑客从该交易所一名员工的电脑中窃取了客户信息,至今攻击者身份不明。

FireEye:朝鲜为什么对加密货币兴趣浓厚?-E安全

McNamara指出,随着越来越多的资金流入加密货币交易所,越来越多人蜂拥购买比特币和以太币等加密货币,加密货币交易所因此成为目标。目前没有证据证明朝鲜攻击韩国以外的加密货币交易所,但未来不排除这种可能性。

英语比特币新闻网站也中招

除了加密货币交易所,FireEye指出,朝鲜也曾攻击英语比特币新闻网站,黑客也许能识别该网站的访客。FireEye并未提及网站名称,但表示朝鲜倾向于交易所这类更大的目标。

经FireEye识别,利用鱼叉式网络钓鱼或PEACHPIT恶意软件攻击韩国交易所的黑客组织为TEMP.Hermit,该黑客组织因盗窃比特币成名, 2015年曾攻击韩国核工业。其它安全公司认为该组织与去年三星电子公司Messenger应用遭遇攻击有关。

McNamara表示,相比朝鲜其它黑客组织,这支黑客组织能力超群,使用网络间谍能力的方法独具创新。

黑客的最终目的是将虚拟货币套现

FireEye写到,国家支持型黑客选择比特币和加密货币交易所作为目标看似有些奇怪,但朝鲜的一些非法行径进一步证明该国在从事经济犯罪。朝鲜神秘的“39号办公室”(Office 39)参与黄金走私、伪造外币、甚至经营餐馆等活动。韩国某研究院最近的发布的报告指出,除了关注全球银行系统和加密货币交易所,朝鲜黑客还利用恶意软件攻击ATM。

如果攻击交易所(而不是个人账号或钱包),黑客可能会将加密货币转出在线钱包,换成其他其它知名度不太高的加密货币,或直接将其发送到不同交易所的其它钱包中,兑换成法定货币,例如韩元、美元或人民币。

FireEye:朝鲜为什么对加密货币兴趣浓厚?-E安全

再由于各国仍在采取加密货币强化监管举措,不同司法管辖区的交易所的反洗钱控制相对松懈,从而使得这些加密货币交易所吸引着追求硬货币的人。

FireEye指出,朝鲜黑客首先可能会将比特币或以太币兑换成难以追踪的加密货币,例如门罗币(Monero),之后再换成法定货币,黑客上月曾使用类似的技术清空与WannaCry有关的比特币钱包。

加密货币未来或迎接更多攻击者

FireEye分析后总结称,过去一年,随着比特币和其它加密货币价值不断飙升,开始引起各国重视。最近,普京的顾问宣布筹资计划抢占俄罗斯比特币挖矿领域份额,澳大利亚议会参议员提议开发自己的国家加密货币。

由此可见,加密货币逐渐成为犯罪团伙的目标。虽然,朝鲜目前参与金融犯罪的意愿和执着网络间谍能力表现有些与众不同,但新兴网络大国也许会看到类似潜力,因此这种活动可能不会持久太久。网络犯罪分子也许不再是该领域唯一的恶意分子。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。