朝鲜和加密货币:政权是否对重大黑客负责?
多年来,媒体定期报道关于朝鲜黑客所谓的恶作剧的消息,这些恶作剧似乎对目标金融科技业务不利。但考虑到国际电信联盟估计朝鲜民主主义人民共和国使用互联网的人口实际百分比接近于零,这一事实似乎很奇怪。
确切地说,这是一个不利于培养恶劣的网络罪犯和诚实的网络企业家的技能和野心的环境。然而,朝鲜的案例表明,加密货币 – 出生于国籍中立和无政府 – 可以扭曲成为一种战略武器,以及各国之间权力斗争中使用的更多传统工具。
两个国家的故事
将北韩与韩国分开的差距似乎很大,而韩国也在考虑加密货币和区块链产业。所有朝鲜半岛都拥有相同的语言,种族和文化。然而,由于一场毁灭性的战争,它被分成两部分。
相关:Legit Vs.非法加密货币:北韩和韩国的方法比较
从那时起,南部大韩民国走上了一条发展道路,使其首先实现了自由市场经济繁荣,然后实现了全面的民主。最近,韩国成为领导区块链革命的国家之一,在从技术到监管的领域展示了一种创新方法。与此同时,北方仍然是世界上最后一个共产主义国家之一,由白痴山血统及其现任领导人金正恩统治的铁拳,他是该政权创始人的直系后裔。
朝鲜政权旨在监测与世界其他地区的所有通信,这种态度也会影响其对信息技术的态度。关于这个国家的数据通常是去中心化的,很难更新;然而,所有来源似乎都证实了技术基础设施的形象,这些基础设施既不发达又受到中央电力的严格控制。
只有少数特权精英才能进入互联网,由于与政权的联系,他们还可以享受合法或非法进口的最新设备和软件。在中国或印度等国外定居的少数朝鲜互联网用户可以识别出类似的资料,这些用户可直接访问上层本地资源。
因此,将密码世界中的所有朝鲜存在 – 或者更广泛地说,在互联网上 – 作为中央政府政策的直接后代,或者至少作为享有中央权力支持的倡议,都是合理的。
黑客入侵许可
要了解朝鲜是如何“异常”的,应该考虑朝鲜从未使其与世界其他国家 – 特别是与美国 – 的关系正常化的事实。此外,自1992年以来,美国对朝鲜实施多重制裁,企图迫使朝鲜当局放弃军事核计划和相关的导弹扩散活动。
2006年,联合国安理会通过了一些旨在防止任何联合国成员国进口和出口到朝鲜的决议,对朝鲜的第一次Atom武器试验做出了反应。因此,政治支持的朝鲜黑手党活动非常可能,这既是一种旨在给对手县带来压力的武器,也是一种收集经济资源的手段。
网络战与经济制裁之间的直接联系似乎非常线性。专家报告称,自2009年7月以来,朝鲜一直使用针对韩国目标的分布式拒绝服务攻击(DDoS),而在接下来的一年中,黑客专注于银行业和国际实体。例如,索尼影视娱乐公司在2014年遭到袭击,然后朝鲜几乎在2016年抢劫了孟加拉国中央银行。
自2017年以来,美国政府将据称由朝鲜赞助的恶意网络活动标记为隐藏眼镜Serpent,并密切监视黑客企图。到那时,朝鲜黑客第一次参与了加密货币社区。
媒体首次报道了对朝鲜间谍活动参与韩国交易所Bithumb安全漏洞事件的怀疑,其中2017年2月发生了大约700万美元的加密货币盗窃事件。
2017年5月,名为WannaCry的臭名昭着的勒索软件袭击了150个国家的数千台计算机。尽管有一些消息来源将恶意软件与中国黑客联系起来,但白宫在2017年12月正式将这次网络攻击归咎于朝鲜政权。
勒索软件活动结束后,自2017年夏季以来,朝鲜黑客似乎加强了对韩国金融科技产业的活动,引起了韩国互联网和安全局(KISA)的关注。尽管如此,据称得到朝鲜支持的网络犯罪分子在2017年12月成功地执行了其他大规模的交易所抢劫,击中了韩国服务公司Youbit,窃取了五分之一的用户资金,并且这样做使公司破产。
相关:2019年迄今为止的加密货币交易所黑客攻击 – 它们如何被停止?
其他重大违规事件涉及韩国公司在接下来的几个月,即使归属于朝鲜集团并不总是清楚。例如,Coinrail违规行为的肇事者,即2018年6月大约4000万美元的加密货币被盗,仍然是匿名的。 Bithumb在2019年3月再次被击中,大约1900万美元失踪。但是,目前还不清楚这是一项内部工作,还是匪徒与朝鲜有关。韩国安全专家非常肯定朝鲜是2019年5月针对UPbit的网络钓鱼活动的幕后推手。
由于每次打击的归属总是令人怀疑,对朝鲜黑客收集的战利品的估计还远未确定。联合国安理会在2019年3月泄露的文件计算出朝鲜赞助的2015年至2018年的黑客攻击活动约占6.7亿美元。来自同一消息来源的最新报告声称,20亿美元的加密货币被朝鲜黑客从银行和加密货币交易所中窃取,占该国年度GDP的7%。联合国目前正在调查涉及17个国家的35起袭击事件,但大多数与韩国目标有关。
拉撒路起身走路(可能坐牢)
在2017年的最后几个月,安全研究公司FireEye的专家已经注意到,在那一年记录的朝鲜支持的攻击与之前的活动相比显示出与众不同的特征。 FireEye的报告解释了将私人钱包和加密货币交易作为目标的选择,这可能是“逃避制裁和获取硬通货以资助该政权的手段”。
这是市场上法定汇率与加密货币汇率上涨的直接后果,该报告得出结论:“加密货币作为一种新兴资产类别正在成为一个政府关注的目标,这应该不足为奇。在很多方面都像犯罪企业一样运作。“
黑客的操作策略依赖于鱼叉式网络钓鱼,这是针对数字货币交易所中员工的私人电子邮件地址的攻击,使用虚假消息来部署恶意软件,这使得黑客可以控制公司的IT基础设施。
在2018年进行的分析将许多攻击与一个群体联系起来,将自己称为Lazarus(又名DarkSeol)。网络犯罪公司Group-IB将从加密货币交易所窃取的价值的约65%归因于2017年初至2018年底的Lazarus。 Lazarus扣押的资产的主要份额–5.71亿美元中的5.34亿美元 – 来自于2018年1月发生的一次网络抢劫,即日本交易所Coincheck的安全漏洞。
Group-IB制作的关于Lazarus的广泛报告披露了该组与IP地址之间的联系,指的是朝鲜最高的军事机构。该保安公司表示,拉撒路可能是朝鲜民主主义情报局侦察总局的一个部门121局的一个分支机构。其活动可以追溯到2016年。
Group-IB的分析师发现了一种基于选择性攻击和在受损基础设施内部实施恶意多层服务器结构的非常复杂的策略。除此之外,朝鲜黑客开发了一种模块化工具集,可以对受感染的PC进行远程控制。此解决方案使恶意软件检测变得复杂并提供额外的灵活性,从而可以重复使用或组合软件以针对特定公司,从而允许黑客在团队之间划分开发活动。
在2019年春天,网络安全和反病毒公司卡巴斯基实验室报告了Lazarus工具箱的演变,目前包括Windows和macOS恶意软件,允许在目标基础架构中使用恶意PowerShell脚本。
让你的思绪;让自己自由
朝鲜黑客的真正目标可能是双重面孔:一方面,他们的攻击旨在破坏被视为竞争对手的国家的IT基础设施。另一方面,他们试图在国际社会强加的范围之外抓住硬通货 – 或理论上可以用硬通货兑换的资产。后一个目标也解释了韩国采取的小规模挖矿尝试,韩国消息来源已经报道,这种尝试始于2017年春末,但没有取得一致的成功。
目前受经济禁运的其他国家确实探讨了使用加密货币作为避免国际金融制裁的潜在手段的可能性 – 例如,伊朗试图利用挖矿甚至建立自主的国际金融转移网络。类似的野心支持了备受争议的委内瑞拉石油公司,而在克里米亚危机之后,俄罗斯对加密的态度也会受到国际制裁问题的影响。
相关:委内瑞拉石油公司反对美国制裁:加密的历史和使用
然而,尽管与“流氓”政权或恐怖主义团体的关联带来了加密的严重声誉损害,但加密货币以避免国际监管的实际可用性似乎至少是可疑的。
例如,朝鲜的案例表明,转移和转换来自当地挖矿或非法活动的加密的途径是多么曲折。此外,最臭名昭着的勒索软件活动的实际经济效果似乎远低于他们在媒体上的共鸣,同时加密货币交易所已经合作以防止在最成功的攻击期间被盗资产的转换。
实际上,朝鲜黑客似乎在隐私和采用方面遇到了一些影响合法加密货币活动的困难。出于这个原因,一些安全专家更多地将朝鲜主持的反对加密货币行业的活动解释为一种手段,以确定可以在“法定世界”中对传统金融实体进行操作的其他目标或信息,而不是将加密货币作为主要目标。
尽管有实际的经济结果,但朝鲜的案例可能是接近加密货币政权在政府层面追求同样优势的一个最极端的例子,它在个人层面上否认其公民。没有任何矛盾像朝鲜一样如此公然,在这种情况下,加密货币是国家军火库内部开发的相关资源,而普通民众缺乏对它们的基本了解甚至是访问互联网的可能性。
互联网的前身ARPANET是在20世纪60年代发展起来的,以便在发生核战争时在美国国防部内提供可靠的通信手段。它向全球,国家中立和民主的基础设施的演变似乎难以预测。
另一方面,加密货币诞生于自由之中,而朝鲜案则清楚地表明它们如何成为极权主义政权手中的可控武器。
机构,社会和周围的经济环境似乎再次比技术架构更有意义地确定颠覆性创新的演化路径。