FireEye视点:为什么朝鲜对比特币如此感兴趣?

2017-09-12 23:49:58 IN小编 MottoIN


 

前情提要

 

2016开始,我们观察到疑是有朝鲜政府背景的黑客团体,利用他们的入侵能力进行网络犯罪的行为,目标是银行和全球性的金融体系。这标志着北朝鲜的黑客组织的网络间谍活动与其之前的传统的活动方式有所背离。

 

鉴于朝鲜的特殊政治形势,该国经济与全球大部分经济体相隔离,且历来就有国家背景的政府部门从事非法经济活动的先例,因此,北朝鲜的黑客们选取金融部门作为攻击目标以谋取利益,并不奇怪。随着朝鲜对其军事和情报能力的控制日趋严格,国际对被朝鲜的经济制裁严重影响了该国的经济发展,因此推测这些网络非法活动很可能是为了资助国家或平壤精英阶层的个人金库。

 

以虚拟货币为目标,背后由国家资助的网络攻击

 

目前,我们可能正在目睹这场运动的第二波:政府资助的行动者试图窃取比特币和其他虚拟货币作为逃避制裁、获取硬通货来为政权提供资金的手段。

 

20175月以来,我们已经观察到至少有三例针对韩国人的试图窃取其虚拟货币的网络攻击行为,似乎与朝鲜的黑客组织有关。在这几起案例中,攻击者通常会向受害目标的个人电子邮件帐户发送包含虚拟货币交易的链接,邮件的措辞一般以税收为主题,诱骗目标用户安装并部署恶意软件(PEACHPIT及类似的变种),所使用的恶意软件与涉嫌在2016年侵入全球多家银行机构的朝鲜黑客组织有关。

 

除此之外,2016年就有迹象显示朝鲜的运营商与一起利用水坑攻击入侵某个比特币新闻网站有关联,以及至少有一个秘密的虚拟货币矿工的实例,这些证据使我们开始留意到朝鲜对虚拟货币的兴趣,自今年年初以来,仅比特币的资产类别就增长了400%以上。

 

2017年朝鲜针对韩国的窃取虚拟货币的行为

 

  • 422日:韩国比特币交易所Yapizon被黑客入侵,丢失了客户3,831BTC,市场价约合500万美元,相当与该平台总资产的37.08%。(值得注意的是,根据报道显示的,这起攻击事件中入侵者使用的一些战术、技术和程序与我们随后发现的一些入侵企图中的情况有所不同。迄今为止还没有明确的迹象表明该事件与朝鲜有关)。

  • 426日:美国宣布增加对朝鲜的经济制裁的战略。来自国际社会的制裁可以驱动虚拟货币在朝鲜的发展,如前面所讨论的,朝鲜希望借此突破经济制裁。

  • 5月初:第一起针对韩国某交易所的、以窃取虚拟货币为目标的鱼叉式网络钓鱼攻击被发现。

  • 5月底:第二起针对韩国某交易所的、以窃取虚拟货币为目标的鱼叉式网络钓鱼攻击被发现。

  • 6月初:更多的可能与朝鲜有关的攻击活动,目标是未知的受害者(疑是针对韩国的虚拟货币服务提供商)。

  • 7月初:第三起针对韩国的某一个人账户的、以窃取虚拟货币为目标的鱼叉式网络钓鱼攻击被发现。

 

窃取虚拟货币的好处

 

虽然由国家/政府背景的黑客以比特币和虚拟货币交易为目标的网络攻击活动看起来有点奇怪,不过其真正的用以或许只是为了资助国库,另外,朝鲜政府的一些其他的非法活动进一步表明了该国黑客团体在政府名义下进行金融犯罪的兴趣。例如金氏最神秘的敛财机构:朝鲜劳动党39号室,其成员大量从事黄金走私、伪造外币甚至经营餐馆等活动。

 

韩国研究所最近发布的一份报告指出,除了关注全球银行系统和虚拟货币交易外,朝鲜黑客还试图通过向自动取款机植入恶意软件的方式窃取资金。

 

如果黑客的攻击目标是交易平台本身(而不是一个单独的帐户或钱包),那么他们更多的可能是会在线移动的虚拟交易平台上用户的钱包,将账户内的虚拟货币转移给其他的用户或直接发送到不同交易所的其他钱包中,然后再想办法提现,兑换成现实可用的法定的货币,如韩元、美元、人民币等。


由于大多数国家对虚拟货币的监管环境还不成熟,有的地区的司法管制比较宽松,在反洗钱控制流程上处理不当,因此就为攻击者留下了可乘之机。虚拟货币交易平台容易吸引那些寻求硬通货的目标人群。

 

结论

 

作为比特币和其他虚拟货币在过去一年中的增值相当明显,受到各国政府的关注。

 

近日,俄罗斯总统普京的顾问宣布了筹集资金计划,称会增加俄罗斯在比特币挖矿方面的份额;澳大利亚工党和联盟党的参议员们越过了政治鸿沟,共同呼吁国内的储备银行支持比特币,推动将比特币作为一种官方货币形式。

 

因此,虚拟货币,作为一个新兴的资产类别,受到各国政府机构关注是理所当然的,尤其是很多犯罪分子开始借此盈利、试图逃避监管和制裁的情况下。目前朝鲜以政府背景支持的黑客团体参与此类金融犯罪,似乎具有一定的独特性,但依照经验,这种情况不会持续很多酒,其他的一些新兴的网络大国也可能会看到类似的潜力。

 

网络空间的犯罪行为,不再只是由邪恶的黑客操控。