朝鲜黑客部队如何窃取30亿美元加密货币，为核计划提供资金——《华尔街日报》

今年春天，首尔市民目睹了朝鲜的一次导弹发射。专家表示，朝鲜试图通过核武器和弹道导弹来展示其地缘政治实力。图片来源：Ahn Young-joon/Associated Press去年，区块链游戏公司Sky Mavis的一名工程师以为自己即将获得一份薪水更高的工作。

一位招聘人员通过LinkedIn联系了他，两人通过电话交谈后，招聘人员给了这位工程师一份文件作为面试流程的一部分。

但这位招聘人员是一个庞大的朝鲜行动的一部分，该行动旨在为这个资金匮乏的独裁政权筹集资金。而这份文件是一个特洛伊木马，恶意的计算机代码让朝鲜人能够访问工程师的电脑，并让黑客入侵了Sky Mavis。最终，他们窃取了超过6亿美元——大部分来自Sky Mavis的数字宠物游戏《Axie Infinity》的玩家。

根据区块链分析公司Chainalysis的数据，这是该国五年来数字盗窃中最大的一笔，为朝鲜人净赚了超过30亿美元。美国官员表示，这些资金被用于资助朝鲜约50%的弹道导弹计划，该计划与其核武器同步发展。国防支出占朝鲜整体支出的很大一部分；美国国务院在2019年估计，平壤在国防上的支出约为40亿美元，占其整体经济的26%。

Sky Mavis首席运营官亚历山德·拉森表示：“我们与这些黑客的对抗是一场军备竞赛。“图片来源：Sky Mavis公司首席运营官亚历山德·拉森称，尽管Sky Mavis现已偿还网络攻击受害者的损失，但该事件曾威胁到这家当时成立仅四年的公司的生存。“当你看到被盗资金规模时，会发现这简直是对我们事业的生存性威胁。”

该事件还引起了白宫关注，2022年朝鲜实施的一系列加密货币攻击已引发严重关切。拜登总统的网络安全与新兴技术副国家安全顾问安妮·纽伯格表示：“过去一年真正的激增是针对像Sky Mavis这样持有大量资金的全球核心加密基础设施，导致更大规模的盗窃案频发。这迫使我们全力聚焦打击此类活动。”

朝鲜的数字窃贼在2018年前后开始发动首批重大加密货币攻击。根据詹姆斯·马丁防扩散研究中心追踪的数据，此后朝鲜导弹试射次数呈爆发式增长，2022年观测到的成功发射就超过42次。

美国官员警告称，在西方制裁下，朝鲜资金来源存在大量未知信息，无法准确判断加密货币盗窃对其加速导弹试验的具体影响。但值得注意的是，金正恩封闭政权加强导弹试验的同时，加密货币劫案也呈现令人担忧的上升趋势。

纽伯格表示，朝鲜用于购买弹道导弹项目外国零部件的外汇资金中，约50%现在由该政权的网络行动提供。这一比例较早前估计的三分之一有显著上升。

美国官员称，朝鲜已建立了一支由数千名IT工作者组成的影子队伍，这些人员在俄罗斯和中国等世界各地从事普通技术工作，年收入有时超过30万美元。但调查人员表示，这支队伍常与该政权的网络犯罪活动有关联。

他们曾伪装成加拿大IT工作者、政府官员和日本自由职业区块链开发者。为获取工作机会，他们会进行视频面试，或如Sky Mavis案例所示，冒充潜在雇主。

前受害者和调查人员透露，为受雇于加密公司，他们会雇佣西方"前台人员”——实质上是替身演员参与面试，掩盖朝鲜人实际受雇的事实。一旦入职，他们有时会对产品进行微小改动以便实施黑客攻击。

美国官员指出，自两年前开始，与朝鲜有关的黑客开始用勒索软件攻击美国医院——这种网络攻击会锁定受害企业的文件并索要赎金——以此筹集资金。

“这看起来像一个现代海盗国家，”曾在联邦调查局工作、现就职于区块链追踪公司TRM Labs的分析师尼克·卡尔森表示，“他们就在那里肆意劫掠。”

卡尔森和加密货币行业的其他人表示，清除这些假冒的IT工作者是一个持续存在的问题。

国际专家长期指出，朝鲜一直在发展一支数字银行抢劫部队，以规避严厉制裁，并支持其通过核武器和弹道导弹投射地缘政治野心的目标。2020年联合国的一份报告发现，该政权的创收黑客行为已被证明是“低风险、高回报且难以检测的，其日益复杂的操作可能会阻碍溯源”。

多年来，美国和其他西方国家政府指责朝鲜实施了一系列大胆——有时甚至是草率执行的——网络攻击，从2014年索尼影业被黑到2017年大规模的全球勒索软件攻击。但据美国官员和安全专家称，该国越来越倾向于将网络攻击重点放在获取现金上，同时大幅提升其复杂技术能力以实施大规模盗窃。

“大多数国家支持的网络项目都专注于传统地缘政治目的的间谍活动或攻击能力，”白宫的纽伯格表示，“而朝鲜人专注于盗窃，专注于硬通货以绕过国际制裁的严厉限制。”

2016年，与朝鲜有关的黑客从孟加拉国中央银行窃取了8100万美元，这是一起试图盗取10亿美元的网络盗窃案的一部分，该行动被纽约联邦储备银行挫败。

美国几年前在洛杉矶对一名朝鲜公民提出了一系列网络攻击的指控。图片来源：Mario Tama/Getty Images朝鲜黑客还从自动取款机中窃取资金，甚至通过一种名为WannaCry的快速传播的蠕虫病毒获得了超过10万美元的加密货币，但据Chainalysis调查副总裁Erin Plante称，没有什么比他们自2018年开始的一系列加密货币盗窃更为有利可图。“他们很早就进入了加密货币领域，并且是最早的加密货币高级用户之一。”

在平壤在社会工程方面表现出更大胆的同时，其黑客在技术上变得更加复杂。过去一年，朝鲜网络犯罪的技能给美国官员和研究人员留下了深刻印象，一些人表示，他们看到该国的黑客执行了在其他地方从未见过的复杂操作。

在今年早些时候一次引人注目的攻击中，与朝鲜有关的黑客完成了一项安全研究人员称为首次的级联供应链攻击。他们逐个入侵软件制造商，并破坏其产品，以获取其客户计算机系统的访问权限。

为了策划这次攻击，他们首先入侵了一家名为Trading Technologies的在线交易软件制造商。随后，软件开发公司3CX的一名员工下载了该公司产品的受感染版本，并利用对3CX系统的访问权限破坏了该公司的软件。

调查人员称，朝鲜黑客随后试图入侵3CX的客户，包括加密货币交易所。

Trading Technologies表示已聘请法务公司调查此事，但该公司已于2020年4月停用了相关软件，比3CX被入侵早了约两年。

3CX表示自黑客攻击以来已加强了安全措施。公司首席执行官Nick Galea表示，不知道最终有多少客户受到影响，但由于发现及时，怀疑受影响的客户数量很少。

“与这些黑客的斗争是一场军备竞赛，”Sky Mavis的Larsen说。

联系Robert McMillan，邮箱：[email protected]，以及Dustin Volz，邮箱：[email protected]

本文发表于2023年6月12日的印刷版，标题为《数字劫案为朝鲜导弹提供资金》。