牛市启动，如何防范国家级黑客组织？

采访 | 北辰

嘉宾 |Steven

昨晚公开的美联储3月会议声明及发布会讲话，让整个金融市场为之振奋。当然真正的降息还没有来临，但今年货币政策要逐步放松是确定下来了——流动性即将从银行系统流向风险市场。

此时比特币减半仅剩30天，而且比特币ETF打开了流动性从传统金融市场涌入加密市场的通道，所以可以预见加密市场的牛市已经启动，投资者面临的仅仅是赚多或赚少的问题。

但是「刺耳的Whistle」在这里要发出刺耳的哨音——国家级黑客组织正在盯着加密市场的资产，作为创业者和投资者的你一定要守护好自己的钱包！

本期邀请了老朋友Steven，他作为长期关注安全领域的通信技术专家，为我们揭开加密市场的公敌——东方神秘国家的国家级黑客组织Lazarus是如何运作，以及我们该如何抵御。

1.北辰：什么是国家级的APT ?

Steven：APT即Advanced persistent threat（高级持续性威胁），网络安全领域一般把有经济目的非法的黑客组织称为APT。合法的黑客组织是专门发现威胁并报告对方来盈利，这叫白帽子，不会被称为APT。

我们在日常生活中往往是通过电信诈骗这种黑灰产而间接地接触到APT。比如那些被泄露的个人信息，往往就是APT用爬虫整理出来或者直接从别的数据库里面偷出来的，但这种只能算是APT里的小虾米。比较大一点的APT如金眼狗，主要是攻击赌博类网站，还有一些是针对游戏网站。

最高级别的APT是国家级APT，往往是出于政治目的去攻击别人。不过大多数国家政治性的黑客组织一般都称不上APT，因为非常松散，基本是有人号召一下就展开攻击了。

2.北辰：所以只有组织严密且出于政治目的的国家级黑客组织才是国家级APT ？

Steven：只能说绝大多数的国家级APT没有经济诉求，主要是为了政治、军事目的来执行间谍任务。实力比较强的是隶属于美国国家安全局的方程式（Equation Group）和索伦之眼（Project Sauron），主要针对俄罗斯、中国等国家发动高级攻击来窃取敏感信息。俄罗斯的实力也比较强，比如隶属于俄罗斯总参谋部军事情报总局的奇幻熊和俄罗斯对外情报局的舒适熊。

我国遭遇最频繁的国家级APT的攻击是毒云藤、蔓灵花（BITTER）、响尾蛇（SideWinder）、海莲花（Ocean Lotus）和Lazarus。毒云藤是台湾地区官方背景的APT，蔓灵花和响尾蛇是印度的，海莲花是越南的，它们往往有明确的政治目的，所以很容易暴露背后的组织，只有Lazarus是出于经济目的展开攻击的，它隶属于东方某神秘国家，并且值得每一个crypto行业的人警惕。

3.北辰：那么Lazaru跟其他国家级APT有什么区别？

Steven：Lazarus是东方某神秘国家总参侦察总局的网络作战部队，而且很多组织成员是在中国接受高等教育或者培训，所以非常熟悉中国的网络环境。美国曾指控该组织在中国设有活动中心，其实这不太可能，我们不可能允许一个其他国家的情报组织在境内活跃，何况它的规模大概在8000人以上。

4.北辰：Lazaru都有过什么战绩？

Steven： Lazarus的成名之战是2014年入侵了索尼影业。当时有一部恶搞他们领导人的电影即将上映，于是就泄露了索尼影业大量未发行影片资料、商业邮件和员工隐私，最终索尼影业宣布取消了该电影的上映。

Lazarus后来的攻击越来越频繁，比如盗窃孟加拉国中央银行外汇储备、入侵印度核电站、多次攻击加密货币交易所等，大家最熟知的应该是用比特币支付赎金勒索软件。

5.北辰：按理说中央银行的资产只要还在SWIFT系统，就会被冻结，Lazarus是如何取出来这笔钱的？

Steven：这不是Lazarus第一次攻击央行系统，他们此前尝试窃取过很多其他的国家的央行及商业银行，但是都没有成功。2016年攻击孟加拉国中央银行并盗窃了1.01亿美元外储，其中2000万美元流向了斯里兰卡，8100万美元流向了菲律宾的赌场，但最终大部分被美国发现后追回了。

6.北辰：对Lazarus来讲，这笔钱几乎零成本的。

Steven：不是零成本，毕竟是在盗窃一个国家央行的钱，他们规划了很久，而且动用了假账户、金融中介、赌场和其他协同犯罪的参与方。

7.北辰：那么如何来确定这些攻击来自于Lazarus？

Steven：高水平的安全公司以及相关的政府情报机构都能判断得出来是Lazarus，因为网络活动一般都会有痕迹，何况他们的行为模式比较鲜明：攻击水平高，组织严密，很大部分攻击以窃取资金为主。

8.北辰：所以Lazarus主要是一个创收单位？

Steven：没错。据美国情报部门估计，每年被Lazarus窃取的资产大概是三到五亿美元。更为关键的是近五年来，该神秘国家90%以上的收入都是来自于币圈，而且他们更加熟悉中国人。

9.北辰：可以展开说说他们的案例。

Steven：2018年日本交易所Coincheck被盗取了5.3亿美元的加密货币，这就是Lazarus的手笔。

2022年更是盗取了约17亿美元的加密货币（其中11亿美元来自于DeFi协议），然后用Tornado Cash 等混币器来洗钱。值得一提的是，该神秘国家2022年对外出口总额才1.59亿美元。

自2023年下半年以来，Lazarus在币圈的攻击频率明显又加快了。比如6月份盗取Atomic Wallet 1亿美元，7月22日同一天攻击了两个不同的机构，共盗取近一亿美元。9月4号盗取在线加密赌场4100万美元。9月12号盗取交易所Coin EX 5400万美元。

其他小攻击更加不计其数，因为还有大量的攻击是针对个人用户的，很难统计，也很少被关注到。

10.北辰：Lazarus频频得手，是因为他们更懂crypto，还是说用传统的攻击方式就已经可以了？

Steven：Lazarus的攻击手段其实都是比较传统的黑客攻击，但是水平比较高。最常见的是鱼叉攻击，即没有针对性地发送一些文件（比如邮件），然后把病毒嵌在里面。当然，他们对币圈也确实很了解，才能很好地利用了水坑攻击和社会工程。

水坑攻击就是在你的必经之路上攻击，就好比猎食动物会躲在水源附近攻击前来喝水的动物。在币圈搞水坑攻击就是先去攻击项目方的网站，在网站上嵌入特定代码，用户只要交互就中毒了。

社会工程严格来说都不能算技术攻击，而是利用日常社交行为手段，利用人为疏忽漏洞来获取私人信息、访问权限。币圈的社会工程往往是黑客加入项目的社交社区（比如Telegram，Discord）进行监控，利用交易交易数据筛查出那些交易活跃且有大宗交易的人，然后有针对性地给这个人私聊，比如发一个空投信息，对方一旦打开就被攻击了。

更高阶的攻击方式其实是直接作为代码贡献者混入项目方，从而加入攻击代码。

币圈的项目基本都是分布式办公，一个技术水平高而且薪资要求又低的码农还是很容易加入团队，当他作为开发者掌握了一定权限时窃取加密货币是轻而易举的。

11.北辰：他们在应聘的时候一般是怎么伪装身份的？

Steven：Lazarus的组织分工明确，有负责进行数据监控的，有专门做社会工程寻找目标的，有钻研技术攻击的，还有些人是负责洗钱。总之这是一个超级大的有实力的团队专门做这件事，效率就非常高了。

12.北辰: 那么身处币圈的我们该如何避免资产被盗呢？

Steven：举例几个Lazarus在币圈常见的攻击方法。

一种是他们用KandyKorn软件攻击交易者。它是针对Mac操作系统，用一个python程序伪装成套利机器人，然后把攻击代码加载在Mac操作系统的内存里，攻击的有效负载却隐藏在Google云服务硬盘中加载，而且加载动作很隐蔽（病毒源码采用反射二进制加载作为混淆技术）。这使得杀毒软件的两个主要手段都失效了——代码特征检测无法检测出攻击代码，行为检测也无法发现异常的行为特征。

另一种就是在加密网络通信软件源头植入SIGNBT负载，感染后等于在内存中注入全功能的远程访问工具，这样就可以运行其他的恶意软件、外传数据甚至终止进程运行等任意命令，相当于电脑完全被对方控制了，哪怕私钥保护得再好，你只要进行一次签名就暴露出去了。

还有一种就是把代码切入到一些普通的应用程序。比如专门攻击一些公司和开源项目并把恶意代码塞进去，从而获取使用者的整个系统权限，无论是Mac还是Windows，iOS还是安卓，Lazarus都有相应的程序。大部分的区块链项目很多是采用现成的开源代码，所以Lazarus就在最源头把代码注入进去，从而很容易获取项目方的权限。

还有就是篡改浏览器扩展，大部分人是通过MetaMask钱包去领空投或者做交互，当项目方网页本身被他篡改了，等于所有和他交互过的钱包都已经不安全了。

13.北辰：上述攻击方式，具体是怎么展开的？

Steven：就以2022年Axie Infinity的开发者Sky Mavis做的侧链Ronin被盗6.2亿美元为例。

首先Lazarus通过社会工程知道有个Sky Mavis的员工在求职，于是虚假设置了一个Web3岗位需求，进行鱼叉攻击，把offer邮件发送给那个员工，员工打开PDF文件，他的电脑就中毒了，继而寻求感染整个Sky Mavis公司内部的其他成员的电脑和服务器。

Ronin项目账户因为多签钱包要求9个账户里至少5个签名才可以转账，而公司从安全角度出发只管理了其中4个账户，但是有一个DAO社区账户曾经授权公司管理但用完后没有及时取消授权，被黑客攻破，最后账上6.2亿美元全部被窃取，过了一周时间Sky Mavis公司才发现这件事。

14.北辰：前面不是说他们把钱转出去，在链上和互联网上都会有痕迹么？

Steven：首先把盗来的数字货币通过DEX全部换成ETH，然后归集到已经创建好的多个一次性钱包，再跑到混币器（比如Tornado，Sinbad），里面把钱洗到新创建的几十上百个钱包中再转移出去。

所以说Lazarus的每次攻击其实工作量非常大，前期要收集大量信息，然后单独开发攻击代码，准备洗钱的钱包地址，还要用到社会工程的手段。说不定项目社区里一些特别热心的码农出来贡献代码，他就是来自于Lazarus。

15.北辰：那么针对币圈的个人，请你总结一下应该怎么去避免？我感觉只要你链上交互比较多，就没办法避免。

Steven：第一是利用中心化交易所，尽管这不符合加密精神，但大部分人确实很难管理好自己的私钥，很多人就连自己的银行账户都不一定管得好，何况是去管理一个不可能记住的私钥，而且现在大家手上的钱包地址往往不止一个。

我觉得电脑操作能力比较差的小白索性相信中心化的交易所吧，毕竟合法的中心化交易所哪怕被盗，大部分资产是可以保全的。比如Mt.Gox的被盗资产就被保全到现在。

北辰：反而赚得更多了。

Steven：对，那时候比特币才只有两三千美元，大部分人是不可能守到现在的，也算是因祸得福吧。

第二是注意基本操作，比如新币空投，如果一定要进行链上操作进行交互，那就尽可能用iOS系统吧，而且最好专机专用。

第三是收到不明邮件不要去点开不明附件。对社交平台上套近乎的人要留点心眼，不要点开陌生人发的链接或者是邮件。

最后，如果资产确实比较多的话，而且又要进行链上操作，最好有个硬件钱包，并且冷、热钱包应该分级、分域，准备多个硬件（PC，手机）互相隔离，最核心的资产放在安全等级高的钱包，需要经常交互的资产多准备一些热钱包，只放少量资产，哪怕一个被盗，损失也不会伤筋动骨。

16.北辰：现在硬件钱包也不安全了，比如Ledger就被嵌入了恶意代码。

Steven：是的，但我还是推荐用大品牌的硬件钱包，作恶的门槛会提高很多，而且即使发现漏洞，也会及时弥补漏洞。

17.北辰:那么对于项目方有什么建议吗？

Steven：第一就是严格安全纪律，要有安全意识，设置多签钱包，并认真执行所有的安全守则，这样会提高攻击成本。

还有就是要引入安全团队，比如代码审核，比如引入一个蓝队（即防御队），白帽黑客，让他们来提供一些地址监控和安全预警，做比不做要很好，因为哪怕被盗了也能第一时间去找到转移地址（毕竟洗钱还是要一定时间），发现及时的话还是有很大可能截住这笔资金。而不是一星期过去了才发现钱包的钱不见了，那就很难追得到。

18.北辰:链上的资产怎么拦截？

Steven：要么报警，要么看你在圈内的人脉关系了，这就是为什么要引入安全团队，因为安全团队往往有这样的关系。不过要是遇上Lazarus这样的国家级APT就很难了。

19.北辰:现在行业的安全服务主要还是以代码审计为主，其他的服务项目方的付费意愿并不强。

Steven：代码审核是很基础的要求，可以提高单打独斗的小黑客的攻击难度，但像Lazarus这种国家级APT很难防住。所以我建议要找专业的蓝队，国内技术厉害的红队和蓝队的资源其实还挺丰富的。

20.北辰:比如360？

Steven：说实话，币圈的项目不可能请国内合法公司去做安全服务的。可以找慢雾，CertiK这类圈内的安全公司，其实通过每年的护网行动找到得分高的那些蓝队来做安全团队就可以了。在安全领域最强的并不是最大的网安公司，而是一些专业小团队，这个你从每年的红蓝对抗赛就可以发现。

21.北辰:最后再做一个总结吧。

Steven：现在的币圈还是个西部世界，政府管制很少参与，于是就有大量的抢劫偷盗的团伙和骗子，无论是项目方还是个人，最主要是大家脑子里应该有这根弦，把这个篱笆扎得高一点，这样即使遇到Lazarus这样的大兵团，还是能防住他的一些攻击。