是什么样的黑客组织,能让全球安全专家和各国政府如临大敌?又是什么样的网络势力,能够在短短几年间发动多起轰动全球的黑客攻击,甚至让价值数十亿、上百亿乃至千亿美元的金融系统与加密市场“闻风丧胆”?如果要在黑客世界里评选“最危险榜单”,朝鲜黑客组织拉撒路集团(Lazarus Group)恐怕常年霸榜。
这支神秘而令人忌惮的黑客团队,被指控与朝鲜政府有着千丝万缕的联系,自 2010 年以来多次对大型企业、金融机构、政府部门乃至全球加密货币行业发起猛烈攻击。本文将带你深入了解拉撒路集团的前世今生,回顾其“成名作”——索尼影业黑客案、孟加拉银行大劫案、WannaCry 勒索病毒肆虐,以及他们在 2025 年对 Bybit 交易所发起的精准“供应链攻击”。无论是传统银行系统,还是新兴的加密货币市场,都难以在他们严密且复杂的攻击下幸免。
一、最新曝光:2025 年 Bybit 交易所被盗 15 亿美金
在加密货币行业,规模巨大的盗币事件时有发生,但 2025 年 2 月针对 Bybit 交易所的这场攻击仍然震惊了整个市场。根据美国联邦调查局(FBI)以及 Bybit 自身的调查报告,拉撒路集团通过供应链攻击,成功篡改了 Bybit 所使用的第三方多签钱包(Safe{Wallet})前端代码,诱导 Bybit 多签钱包的签名人错误地签署恶意交易,进而盗走价值高达 15 亿美元 的加密资产。
- 关键节点:
- 2025 年 2 月 19 日,拉撒路集团将恶意代码潜入 Safe{Wallet} 的 AWS S3 存储桶。
- 2025 年 2 月 21 日,Bybit 在执行多签交易时触发恶意代码,导致大额资产被转移到黑客地址。
- 仅在2 分钟内,黑客移除存储桶恶意代码,试图抹去攻击痕迹。
这次成功的精准打击,再次凸显了拉撒路集团的可怕之处:
- 他们对供应链攻击运用娴熟,直接掌控第三方工具的前端代码。
- 专门针对大型加密货币交易所,对目标的运营流程和安全机制了如指掌。
事件被披露后,Safe 进行了紧急修复并启动彻查,Bybit 也加强了内部审计,然而这起案件再度证明,拉撒路集团已把触角深深伸进了全球数字金融体系。
二、拉撒路集团的起源与演变
拉撒路集团(Lazarus Group,也称“和平卫士”或“Whois Team”)被广泛认为与朝鲜政府存在密切关联。最早记录可追溯至 2009-2012 年的“特洛伊行动”(Operation Troy),当时他们主要以简单的 DDoS 攻击和网络间谍手段针对韩国政府网站。随着时间推移,组织规模和技术水平不断升级,逐渐成为全球最令人畏惧的国家级黑客部队。
起源背景
朝鲜长期面临经济制裁和外汇短缺。在网络时代,进攻性网络战为朝鲜获取外汇、收集情报提供了新渠道。拉撒路集团可能是由数量不详、受过专业训练的程序员组成,隶属于朝鲜军方情报部门或 Reconnaissance General Bureau,通过攻击全球金融机构、企业、政府部门,为朝鲜获取急需的资金和技术。组织架构
根据卡巴斯基实验室和美国政府的调查,拉撒路集团内部还分化出不同子组织,如 BlueNorOff(APT38)专司金融盗窃、AndAriel(Silent Chollima)聚焦对韩国的间谍与破坏活动。每个子组织都有自己特定的分工,形成一个立体的网络攻击生态。教育与培训
一些成员在中国沈阳受训,回国后进入金策工业综合大学、金日成大学、牡丹峰大学等顶尖院校深造。这些学校会从全国选拔天才学生进行集中培训,学制长达六年。其中的精英还会被送往牡丹峰大学或美林学院接收更高级别的网络攻防教育。
三、重大攻击事件回顾
1. 2014 年索尼影业黑客案
拉撒路集团在国际上首次引起轰动,正是因为索尼影业遭黑。
- 原因:索尼即将上映讽刺朝鲜领导人的电影《采访》(The Interview)。
- 结果:海量内部文件、未上映影片、员工个人信息被泄露,引发索尼公司高层震荡。
- 后果:美国政府直接指责朝鲜政府支持这起攻击,朝鲜官方则矢口否认。
2. 2016 年孟加拉银行盗窃案
被誉为史上最胆大妄为的银行抢劫案之一:
- 黑客通过 SWIFT 系统伪造 35 条转账指令,试图从纽约联邦储备银行账户中转走近 10 亿美元。
- 由于拼写错误,银行方面起疑并拦截了大部分转账,但 8100 万美元 仍然被成功盗走,去向不明。
3. 2017 年 WannaCry 勒索病毒
拉撒路集团直接将一场网络威胁扩散到全球:
- 利用美国 NSA 泄露的 EternalBlue 漏洞,短短几天内席卷 150 多个国家,造成数十亿美元损失。
- 英国 NHS 医院系统一度陷入瘫痪,国内外高校、企业、政府机构也受到严重影响。
4. 针对加密货币的疯狂劫掠
- 2017 年,攻击韩国的 Bithumb、Youbit 等交易所,窃取价值上千万美元的比特币。
- 2022 年,被曝入侵区块链游戏 Axie Infinity(Ronin Network),盗走 6.2 亿美元加密资产。
- 2025 年,正是本文开篇提到的 Bybit 被盗 15 亿美金事件,攻击手法更显精准且隐蔽。
四、典型攻击手法
社交工程与钓鱼攻击
拉撒路集团常通过伪装成政府、银行或企业的邮件,引诱受害者点击钓鱼链接或下载恶意附件。勒索软件
从 WannaCry 事件中可见一斑。他们利用 Windows SMB 协议漏洞快速蔓延,加密用户文件后索要赎金。分布式拒绝服务(DDoS)
早期最常见手段,用于瘫痪网站、媒体、金融系统,转移注意力或制造混乱。供应链攻击
近年频频出现,比如 2025 年 Bybit 盗币事件,通过攻破第三方安全工具(如 Safe{Wallet})来下手,极具隐蔽性。零日(zero-day)漏洞利用
他们擅长挖掘尚未公开或修补的系统漏洞,并对高价值目标进行定向打击。数据擦除(Wiper)
2013 年“DarkSeoul”攻击中,他们针对韩国广播公司和金融机构进行数据彻底毁灭,造成严重破坏。金融盗窃与加密货币洗钱
通过钓鱼、供应链、零日漏洞等综合手段实现盗币,并迅速利用混币器或跨链桥进行洗钱。
五、外界对拉撒路集团的应对与反制
国际制裁与缉捕行动
- 美国司法部多次起诉该组织核心成员,如 朴镇赫(Park Jin Hyok),将其列入 FBI 通缉名单。
Lazarus Group成员 Park Jin Hyok 是一名朝鲜黑客。因涉嫌参与历史上代价最高的一些计算机入侵而闻名。 - 联合国安理会和欧盟刑警组织冻结部分与朝鲜相关的银行资产。
- 美国司法部多次起诉该组织核心成员,如 朴镇赫(Park Jin Hyok),将其列入 FBI 通缉名单。
安全补丁与技术防御
- 微软在 2017 年以后针对 EternalBlue 等漏洞多次紧急发布补丁。
- 安全公司、加密交易所、银行纷纷升级多重身份验证(MFA)、零信任架构等技术措施。
行业协作
- 全球金融机构、区块链项目加强威胁情报共享,一旦检测到可疑资金流向,立即冻结或追踪。
- 与司法部门合作,对混币器或可疑交易地址实施黑名单或制裁。
六、结语
从 2009 年最初的 DDoS 攻击,到 2014 年索尼影业黑客案,再到 2016 年惊天银行盗窃、2017 年 WannaCry 大范围勒索,以及如今直击加密生态要害的 2025 年 Bybit 供应链攻击,拉撒路集团无疑已经成为数字时代最恐怖的网络威胁之一。
这个神秘组织拥有国家级资源与顶尖人才,目标从传统银行体系扩展到加密货币领域,攻击方式更是不断推陈出新。毫无疑问,未来他们还会继续进化,对全球的金融安全与网络秩序构成严峻挑战。如何更好地协同防御、提升供应链安全、强化漏洞修补与应急响应,将成为国际社会与加密行业持续探索的重大课题。
在这个信息化与数字货币浪潮蓬勃发展的时代,每一次重大攻击都在提醒我们:网络安全从来不是一个人的事,也绝不仅限于某个行业、某个国家。当拉撒路集团这样的国家级黑客组织出手,所有人都必须警惕。只有凝聚全球力量、强化安全意识,才能真正筑起一道足以抵挡“数字风暴”的防线。
Comments 1