撰文：samczsun，Paradigm 研究合伙人

编译：Bright，Foresight News

二月的一个早晨，SEAL 911 群组的灯亮了，我们困惑地看着 Bybit 从他们的冷钱包中取出超过 10 亿美元的代币到一个全新的地址，然后迅速开始清算超过 2 亿美元的 LST。几分钟内，我们从 Bybit 团队和独立分析（多重签名，之前使用公开验证的 Safe Wallet 实现，现在使用新部署的未经验证的合约）确认，这实际上不是例行维护。有人发动了加密货币历史上最大的黑客攻击，而我们是坐在历史戏幕的最前排。

虽然团队的一部分成员（以及更广泛的侦查社区）开始追踪资金并向合作交易所发送通知，但团队的其他成员正在试图弄清楚到底发生了什么，以及是否有其他资金处于危险之中。幸运的是，识别肇事者很容易。在过去几年中，只有一个已知的威胁者成功从加密货币交易所窃取了数十亿美元：朝鲜，也称为 DPRK。

然而，除此之外，我们几乎没有什么可用的线索。由于朝鲜黑客的狡猾性格和他们自我隐匿的高超手段，不仅很难确定入侵的根本原因，而且甚至很难知道究竟是朝鲜内部的哪个特定团队应对此负责。我们唯一能依靠的就是现有的情报，这些情报表明朝鲜确实喜欢通过社会工程学来入侵加密货币交易所。因此，我们猜测朝鲜很可能入侵了 Bybit 的多重签名者，然后部署了一些恶意软件来干扰签名过程。

事实证明，这个猜测完全是无稽之谈。几天后我们就发现，朝鲜实际上已经破坏了 Safe Wallet 本身的基础设施，并部署了专门针对 Bybit 的恶意过载。这种复杂程度是任何人都未曾考虑或准备过的，这对市面上的许多安全模型来说是一个重大挑战。

朝鲜黑客对我们的行业构成了日益严重的威胁，我们无法击败一个我们不了解或不理解的敌人。关于朝鲜网络行动的各个方面，有大量记录在案的事件和文章，但很难将它们拼凑在一起。我希望这篇概述能让人们更全面地了解朝鲜的运作方式以及他们的策略和程序，从而让我们更容易实施正确的缓解措施。

也许需要解决的最大误解就是如何对朝鲜的大量网络活动进行分类和命名。虽然口语中使用「Lazarus Group」一词来概括是可以接受的，但在详细讨论朝鲜的系统性网络威胁时，使用更严谨的说法会有所帮助。

首先，了解朝鲜的「组织结构图」会有所帮助。朝鲜最高层是朝鲜的执政党（也是唯一的执政党）——朝鲜劳动党 (WPK)，朝鲜所有政府机构都受其领导。其中包括朝鲜人民军 (KPA) 和中央委员会。人民军内有总参谋部 (GSD)，侦察总局 (RGB) 就设于此。中央委员会下属有军需工业部 (MID)。

RGB 负责几乎所有朝鲜网络战，包括加密货币行业观察到的几乎所有朝鲜活动。除了臭名昭著的 Lazarus Group，RGB 中出现的其他威胁行为者包括 AppleJeus、APT38、DangerousPassword 和 TraderTraitor。另一方面，MID 负责朝鲜的核导弹计划，是朝鲜 IT 工作者的主要来源，情报界将其称为 Contagious Interview 和 Wagemole。