不止盗币，还挖矿？

本周三，美国国土安全部就朝鲜黑客组织“BeagleBoyz”发出警告，称该组织对金融机构和加密货币交易所进行了大规模攻击。根据最新发现，该组织似乎在今年早些时候进行了重组，并开发了针对加密交易所的新的“不可逆的盗窃方法”。

已试图盗窃近 20 亿美元

据美国政府介绍，黑客组织“BeagleBoyz”由朝鲜情报机构控制，专门通过远程互联网访问抢劫银行。

BeagleBoyz 的银行抢劫案给一些公司带来了严重的经营风险，不仅是名誉损失和盗窃造成的经济损失，还有回收成本。据公众估计，至少自 2015 年以来，BeagleBoyz 已经试图盗窃近 20 亿美元。

这些恶意操纵有时会使银行和其他金融机构的关键计算机系统无法操作。2018 年，“FASTCash”事件后，非洲的一家银行近两个月无法为其客户恢复正常的 ATM 或销售点服务。“FASTCash”的目标是银行的零售支付系统基础设施。欺诈性 ATM 提款单起事件就影响了 30 多个国家。同年，他们还针对智利的一家银行部署了恶意软件，致使该银行数千台计算机和服务器崩溃。

2015 年来，BeagleBoyz 的攻击目标分布，来源：美国国土安全部

BeagleBoyz 还利用不知情的银行，包括美国的银行进行 SWIFT 诈骗。这些银行是受害银行账户的托管人，或在不知情的情况下充当了诈骗的中间人。2016 年，BeagleBoyz 从孟加拉银行 (Bank of Bangladesh) 偷走了 8100 万美元。纽约联邦储备银行 (Federal Reserve Bank of New York) 在发现收到的转账指令出现异常情况后，停止了余下的 10 亿美元盗窃企图。

美国国土安全部表示，除了传统金融机构，加密货币交易所也是 BeagleBoyz 的目标，一次盗窃涉及金额可达数亿美元。

BeagleBoyz 为加密货币交易所提供了一种不可逆转的盗窃方法，可以将其转换为法定货币，因为加密货币转移的永久性质不允许采用回扣机制。

COPPERHEDG 被认为是该组织盗窃加密货币交易所的首选工具。COPPERHEDGE 是功能齐全的远程访问工具，能够运行任意命令，执行系统侦察和提取数据。有关 COPPERHEDGE 的完整技术分析，可访问 https://us-cert.cisa.gov/northkorea。

被盯上的加密货币交易所

联合国安理会在 2019 年 8 月发布的一份报告显示，朝鲜曾试图窃取多达 20 亿美元的资金，其中 5.71 亿美元是对加密货币进行盗窃。

除了 BeagleBoyz，还有很多朝鲜黑客组织在盯着加密货币交易所。

Lazarus 黑客组织在加密世界中最为人所知，其在 2018 年从位于韩国和亚洲各地的各个交易所中盗走了 5.71 亿美元的资金。该组织成立于 2007 年，也是受朝鲜政府支持。2017 年到 2018 年，其窃取的加密货币据传价值已超过 6 亿多美金，占同期全球被窃金额的 65%。

芬兰网络安全公司 F-Secure 最新安全报告显示，Lazarus 去年在 LinkedIn 上冒充英国区块链技术公司给一些不知情的区块链从业人员发送招聘广告，一旦受害人点击这些钓鱼信息中包含的文件，就会启动文件中的宏代码安装恶意软件，黑客即可掌握受害者的信息。之后黑客会使用一种叫 Mimikatz，提取受害人加密钱包或银行账号信息。

2017 年 5 月，朝鲜政府资助的网络参与者开发了勒索软件“WannaCry 2.0”，感染了遍布 150 多个国家 / 地区的医院，学校，企业和家庭的数十万台计算机，勒索使用者以比特币支付赎金。

2019 年 7 月，与朝鲜有联系的黑客入侵了一家加密货币交易所。黑客窃取了价值超过 27.2 万美元的替代加密货币和代币，包括 Proton、PlayGame 和 IHT 房地产协议代币。在随后的几个月中，这些资金通过多个中介地址和其他虚拟货币交易所进行了清洗。

在许多情况下，黑客为了混淆交易路径，会将加密货币转换为 BTC，Tether 或其他形式的加密货币。尽管使用了先进的洗钱技术，但执法人员仍能够追查资金。

2019 年 9 月，一家美国公司遭到黑客攻击。与朝鲜相关的黑客可以访问该公司的加密货币钱包、该公司在其他平台上持有的资金以及该公司合作伙伴持有的资金。黑客窃取了近 250 万美元，并通过某个加密货币交易所的 100 多个帐户进行了清洗。

去年，POE 发布中期报告称，其正在调查朝鲜使用““cryptojacking”技术的情况。“cryptojacking“是一种入侵受攻击机器并窃取其计算资源以开采数字货币的方案。

POE 已经确认了几起被加密恶意软件感染的计算机挖数字货币事件均与此有关，其中大部分匿名增强的数字货币 (有时也被称为“隐私币”) 被发送到位于朝鲜的服务器，包括平壤金日成大学的服务器。

争夺加密货币帐户控制权

美国金融行动特别工作组 (FATF) 于去年 6 月修订了标准，要求所有成员国监管和监督加密货币服务提供商、交易所。近期，美国移民和海关执法局的国土安全调查 (HSI) 报告披露了一个针对 P2P 平台、论坛和暗网市场的加密货币情报计划。

今天，美国政府提起诉讼，试图夺取对 280 个比特币和以太坊账户的控制权。2020 年 3 月，朝鲜黑客通过其他交易所盗取了价值 2.5 亿美元的加密货币。据悉，这些账户持有朝鲜黑客从两家加密货币交易所窃取的资金。

值得注意的是，检察官认为，被盗资金是通过一系列不具名的加密货币交易所以及中国境内的场外交易者（OTC）进行洗钱的。

今年 3 月份，美国政府曾指控两名中国公民涉嫌帮助朝鲜洗黑钱，并协助处理朝鲜政府窃取的价值 1 亿美元的加密货币，这背后还与 Lazarus 组织有关联。美国财政部已经将与这两人相关的 20 个与比特币地址列入黑名单。

“该诉讼公开暴露了朝鲜的网络黑客与中国加密货币洗钱网络之间的持续联系。”美国司法部刑事司代理助理检察长 Michael R. Sherwin 说道。