北美站
收藏
举报
2月21日是普通的一天,位于迪拜的加密货币交易所ByBit的负责人周奔回忆道。睡前,他批准了公司账户之间的一笔资金转移,这是为全球超过6000万用户提供服务时的“常规操作”。
半小时后,他接到一个电话。
“出事了,”他的首席财务官声音颤抖地说,“我们可能被黑了……所有以太币都没了。”
独立调查人员和美国联邦调查局很快将矛头指向一个熟悉的嫌疑方:朝鲜。这个封闭国家的黑客已成为加密货币行业面临的最大威胁之一,也是金正恩政权的重要收入来源,帮助其应对国际制裁,取悦权贵,并资助导弹和核武器计划。
据加密货币调查公司Chainalysis称,2023年,朝鲜黑客共盗走了6.61亿美元;到2024年,这一数字翻倍,47起袭击中共计盗得13.4亿美元,占全球被盗加密货币总量的60%以上。
ByBit遭黑事件显示了朝鲜黑客不断增长的技术能力和野心:仅在这一次攻击中,朝鲜就从交易所窃取了相当于15亿美元的资产,创下加密货币历史上最大单笔盗窃案的纪录。
朝鲜的掠夺得益于数十年的投入。
朝鲜的第一批计算机科学学校可追溯到上世纪80年代。海湾战争促使朝鲜当局意识到网络技术在现代战争中的重要性。朝鲜前高级外交官、2016年叛逃的太永浩表示,有天赋的数学学生被送进特训学校,并获准免除每年一度的下乡劳动。
网络力量最初被设想为间谍和破坏工具,直到2010年代中期,朝鲜才开始将其用于网络犯罪。据说金正恩称网络战为“一把万能之剑”。
盗窃加密货币主要包括两个阶段。第一步是攻破目标系统,相当于在数字世界中找到通往银行金库的地道。钓鱼邮件可植入恶意代码。朝鲜特工会假扮招聘人员,引诱软件开发人员在假面试中打开带毒文件。还有一种方式是用虚假身份在外国公司远程从事IT工作,作为获取账户权限的第一步。
Chainalysis的安德鲁·菲尔曼说:“他们在通过社会工程手段寻找系统漏洞方面已经变得非常擅长。”
在ByBit事件中,黑客入侵了一家数字钱包软件开发商的一名开发人员的电脑。
加密货币一旦被盗,就必须进行洗钱。赃款会被分散到多个数字钱包中,与合法资金混合,并在不同加密货币之间转移,这在业内被称为“混币”和“链跳转”。
区块链分析公司Elliptic的汤姆·鲁滨逊说:“他们是我们见过最老练的加密洗钱者。”
最终,这些资金要被换成现金。
越来越多的地下服务商能帮助他们完成这一步,很多都与中国的有组织犯罪集团有关。虽然执法干预和服务费用会降低最终收益,但TRM Labs的前联邦调查局分析师尼克·卡尔森表示,朝鲜最终能拿回“至少80%,可能高达90%”的赃款。
朝鲜的优势之一是人才。
乍看之下这似乎与事实相悖:这个国家极度贫困,普通民众几乎无法上网或使用电脑。但首尔高丽大学网络安全学院的金承周说:“朝鲜可以把最聪明的人挑出来,让他们干自己想干的事。他们不用担心这些人跳槽去三星。”
在2019年的国际大学生程序设计竞赛中,朝鲜大学的一支队伍获得第八名,击败了剑桥、哈佛、牛津和斯坦福的代表队。
这些人才也被高度压榨。朝鲜黑客实行全天候轮班。他们在行动时极为大胆。佐治亚理工学院的珍妮·全说:“多数国家行为者都会避免引发外交风波,行动就像‘十一罗汉’那样,戴白手套,悄悄潜入,偷走目标,再全身而退。而朝鲜不这样,他们不在乎隐秘——他们一点也不怕闹大。”
对朝鲜政权来说,盗窃加密货币已成为一条生命线,特别是在国际制裁和新冠疫情限制了本已稀少的贸易活动之后。与传统收入来源如海外劳工或非法毒品相比,偷加密货币获取硬通货的效率要高得多。
联合国专家小组2023年报告称,网络盗窃已占朝鲜外汇收入的一半。去年朝鲜的数字掠夺额,是对中国出口总额的三倍多。
卡尔森说:“过去需要几百万劳工完成的事,现在几十个人就能搞定。”
这些资金支撑着政权运转。硬通货被用来购买奢侈品,安抚精英阶层,也可能用于军火。大部分被盗加密货币据认为流向朝鲜的导弹和核武项目。
加密货币调查人员在追踪区块链上赃款的能力正在提升。主流加密货币交易所和稳定币发行商常与执法部门合作,冻结被盗资产。2023年,美国、日本和韩国宣布联合应对朝鲜的网络犯罪。美国还制裁了数个朝鲜使用的“混币”服务商。
但执法仍然慢了一步。美国制裁了朝鲜偏爱的混币服务后,黑客就转而使用其他类似服务。要解决这个问题,需要政府和私营部门之间的多边合作,但这种协作正在削弱。
去年,俄罗斯动用联合国否决权,终止了联合国专家小组的运作。特朗普政府对美国发展援助的削减,也影响了旨在提升脆弱国家网络安全能力的项目。
相比之下,朝鲜政权正不断加大对网络犯罪的投入。
韩国情报机构估计,朝鲜的网络犯罪力量从2022年的6800人增长到去年的8400人。Observer Research Foundation的阿比谢克·夏尔马表示,随着加密行业在监管薄弱国家的扩展,朝鲜面对的是一个“越来越丰富的目标环境”。
他指出,去年朝鲜就攻击了设在印度和印度尼西亚的交易所。
朝鲜已知正在将人工智能应用于其行动。AI工具可以让钓鱼邮件更具欺骗性,也能更轻松地用多语言大规模生成内容。AI还可以帮助朝鲜黑客更容易伪装成远程科技工作者渗透公司。
像周奔那样的“坏日子”,今后可能会越来越常见。(经济学人)
