朝鮮黑客組織六年來竊取30億美元加密貨幣

近期一份網路安全報告揭示，過去6年中，一個與朝鮮有關聯的黑客組織共竊取了價值30億美元的加密貨幣。

該報告指出，僅2022年一年，這個黑客組織就掠奪了17億美元的加密資產，很可能用於資助朝鮮的各項計劃。另一家區塊鏈數據分析公司表示，其中11億美元是從去中心化金融(DeFi)平台被盜的。美國國土安全部也在去年9月發布的報告中強調了這個黑客組織對DeFi協議的滲透。

這個黑客組織以資金盜竊見長。2016年，他們入侵孟加拉國中央銀行，竊取8100萬美元。2018年，又先後攻擊日本一家加密貨幣交易所和馬來西亞中央銀行，分別盜走5.3億美元和3.9億美元。

自2017年起，朝鮮將加密行業作爲網路攻擊重點目標。在此之前，朝鮮曾劫持國際銀行金融電訊協會(SWIFT)網路竊取資金，引起國際社會高度關注。金融機構隨後加強了網路安全防御。

2017年加密貨幣興起後，朝鮮黑客將目標從傳統金融轉向這一新興領域，最初瞄準韓國市場，隨後擴展到全球範圍。

2022年朝鮮黑客被指控竊取的17億美元加密貨幣，相當於朝鮮國內生產總值的5%左右，或其軍費開支的45%。這一數字幾乎是朝鮮2021年出口額的10倍。

朝鮮黑客在加密領域的作案手法，通常與利用混幣器、跨鏈交易和場外交易的傳統網路犯罪相似。但由於有國家支持，其規模遠超普通犯罪團夥。數據顯示，2022年約44%被盜加密貨幣與朝鮮黑客有關。

朝鮮黑客的攻擊目標不僅包括交易所，還涉及個人用戶、風投公司及其他技術和協議。行業內所有機構和個人都可能成爲潛在目標。

傳統金融機構也應密切關注朝鮮黑客的活動。被盜加密貨幣轉換成法幣後，會在不同帳戶間轉移以掩蓋來源。通常會利用被盜身分信息和修改後的照片繞過反洗錢和身分驗證。任何被攻擊者竊取的個人信息都可能被用於註冊帳戶，完成洗錢過程。

由於朝鮮黑客入侵多始於社會工程和網絡釣魚，組織應培訓員工識別此類活動，並實施強有力的多因素身份驗證，如符合FIDO2標準的無密碼認證。

朝鮮將持續竊取加密貨幣視爲主要收入來源，用於資助軍事和武器項目。雖然尚不清楚被盜資金直接用於彈道導彈發射的具體數額，但近年來被盜加密貨幣數量和導彈發射次數均大幅增加。如果沒有更嚴格的法規、網路安全要求和投資，朝鮮很可能繼續將加密貨幣行業作爲額外國家收入來源。

2023年7月，一家美國企業軟件公司宣布遭到朝鮮黑客入侵。隨後有研究人員指出，負責此次攻擊的可能是一個專注於加密貨幣的朝鮮黑客組織。截至2023年8月，美國聯邦調查局通報稱，朝鮮黑客組織涉及多起攻擊，共竊取1.97億美元加密貨幣。這些資金使朝鮮政府能在嚴格制裁下繼續運作，並資助高達50%的彈道導彈計劃成本。

2017年，朝鮮黑客入侵了韓國多家交易所，竊取約8270萬美元加密貨幣。同年，有報道稱韓國一家交易所用戶的個人信息遭泄露後，加密貨幣用戶也成爲攻擊目標。

除竊取外，朝鮮黑客還開始進行加密貨幣挖礦。2017年4月，研究人員發現一種門羅幣挖礦軟件安裝在朝鮮黑客的入侵中。2018年1月，有研究稱朝鮮一個組織入侵某公司服務器用於挖礦，獲得約70枚當時價值25000美元的門羅幣。

2020年，安全研究人員持續報告朝鮮黑客針對全球加密貨幣行業的新攻擊，並使用LinkedIn作爲初步接觸目標的方式。

2021年是朝鮮針對加密貨幣行業最活躍的一年，入侵至少7家機構並竊取4億美元。此外，朝鮮黑客開始瞄準各類代幣和NFT。

2022年1月，研究人員確認自2017年以來尚有1.7億美元被盜加密貨幣待兌現。2022年朝鮮黑客的顯著攻擊包括多個跨鏈橋，造成巨額損失。

2022年10月，日本警方宣布朝鮮黑客針對日本加密貨幣公司進行攻擊，一些公司遭成功入侵並被竊取資金。

2023年1月至8月間，朝鮮黑客據稱從多個平台竊取了2億美元。在2023年7月的一次攻擊中，黑客可能冒充招聘者針對目標公司員工發送郵件和消息，花費6個月時間試圖獲取網路訪問權限。

爲防範朝鮮黑客攻擊，建議採取以下措施：

• 啓用多重身分認證，使用硬件設備增強安全性
• 爲交易所帳戶啓用所有可用的多重身分認證設置
• 驗證社交媒體帳戶的真實性
• 謹慎對待任何空投或免費推廣活動
• 檢查官方來源確認空投等活動的真實性
• 檢查URL並觀察重定向，確保訪問官方網站
• 交易時保持高度警惕，使用硬體錢包
• 僅使用可信的去中心化應用，驗證智能合約地址
• 仔細檢查官方網站網址避免仿冒
• 對看似過於優惠的條件保持懷疑