这是一名被FBI全球通缉的朝鲜男子。他的名字叫朴镇赫,年龄约为40岁。而他被通缉的原因是“黑客攻击”。
朴镇赫参与的黑客攻击包括但不限于,攻击索尼影业,盗窃孟加拉央行,以及前两天的BYBIT加密货币盗窃案。这些难度系数极高的盗窃案,肯定不是朴镇赫一人所为。
据外媒曝光,朝鲜侦查总局旗下存在一个名为 “拉撒路” 的黑客组织,部分地区也将其称作 “和平卫士” 或 “APT38”。该组织规模约有上千人,内部还细分为多个专项部门 —— 有的专注于攻击金融机构,有的专攻加密货币领域,有的负责执行特殊任务,还有的专门针对韩国开展网络行动。
自 2010 年起,拉撒路便频繁在全球范围内发起网络攻击,而朴镇赫正是该组织的核心成员之一。
众所周知,朝鲜对互联网实施严格限制,部分技术工作在境内难以开展。因此,这些黑客并非全部驻守朝鲜,甚至可以说,朝鲜黑客的踪迹遍布世界各地。更值得注意的是,成员也不局限于朝鲜籍 —— 只要具备出色的技术能力,就有可能被朝鲜招募加入该组织。
由此可见,拉撒路是一个由国家主导、面向全球招募成员的黑客组织。那么,这个组织究竟发起过哪些重大攻击?又从中获取了怎样的回报呢?
攻击索尼影业:因电影引发的网络报复
2013 年,索尼影业筹拍了一部以朝鲜为背景的喜剧电影,公开名为《采访》,但剧本最初的名字实为《刺杀金正恩》。仅从片名就能推测剧情走向,而影片结尾更是设计了 “刺杀成功” 的情节。因此,当索尼影业公布拍摄计划后,朝鲜方面表达了强烈不满。
此时,拉撒路已提前采取行动:通过蠕虫病毒成功潜伏进索尼公司的网络系统。不过,他们并未立即展开攻击,而是静静潜伏观察。在此后的一年里,索尼影业持续为电影宣传造势,朝鲜方面则多次发出警告。
2014 年 6 月,索尼宣布电影定于 10 月上映。消息公布后,朝鲜方面随即发出威胁:“一部暗杀他国现任领导人的电影,与恐怖主义行径毫无区别。若索尼执意发行,朝鲜将立即采取反制措施。”
面对朝鲜的强硬态度,索尼影业似乎有所顾虑,不仅删减了电影中的死亡镜头,还将上映时间推迟至 12 月。或许索尼认为这样的让步已足够有诚意,但在朝鲜看来,这种修改不过是敷衍之举。
客观而言,这部电影的内容确实存在不妥 —— 无论如何,金正恩作为一国领导人,遭到如此无底线的恶搞、讽刺与 “暗杀” 剧情设计,难免引发对方怒火。
于是,半个月后,拉撒路正式对索尼影业发起攻击:首先,使索尼公司的电脑系统全面瘫痪;其次,从数据库中盗取了 100TB 的核心数据,其中包括《蜘蛛侠》系列、《007》系列等多部未上映电影的素材。
除影视数据外,黑客还窃取了 4.7 万条员工个人信息,以及公司高管的往来邮件。最后,拉撒路还对大量关键信息进行了破坏性清除。攻击结束后,他们开始在网络上曝光电影片段,随后又将部分员工的姓名、住址、财务信息公之于众。
更引发争议的是,黑客还曝光了高管与明星之间的邮件对话 —— 内容中负面评价远多于夸赞,甚至包含种族歧视言论。而种族歧视在欧美国家属于严重禁忌,此事瞬间引爆美国文化圈,众多明星与企业高管纷纷出面辟谣,试图撇清关系。
与此同时,索尼员工也向公司讨要说法 —— 个人信息泄露导致他们面临敲诈勒索的风险。经此一役,索尼影业陷入狼狈境地:一方面要应对多起法律诉讼,另一方面需耗费上千万美元修复网络系统。
此外,电影上映与否也让索尼陷入两难:继续上映恐引发更大风波,取消上映又显得底气不足。最终,索尼选择了折中方案 —— 将电影直接在网络平台上线。得益于此前事件引发的高关注度,电影的网络收入还算可观。
事件发生后,专家追踪到一个关键 IP 地址,该地址位于朝鲜境内,因此外界普遍认为这起攻击是朝鲜黑客所为。当然,朝鲜方面始终否认与此事相关。
盗窃孟加拉央行:潜伏一年的金融窃案
2015 年初,孟加拉央行工作人员收到一封求职邮件。邮件中,求职者自称 “某某某”,希望应聘某岗位,并附上简历链接,称 “点击即可查看详细简历”。
当时,孟加拉央行有 5 名工作人员随手点击了链接 —— 不出所料,这位 “求职者” 正是拉撒路组织成员,链接中隐藏着恶意病毒。病毒随之侵入孟加拉央行的网络系统,此后一段时间里,拉撒路一直在系统内寻找可乘之机,最终锁定了一台特殊电脑。
彼时,孟加拉央行有上百亿美元外汇储备存放在纽约联邦储备银行,而这台电脑正是专门处理外汇转账的核心设备。经过漫长的潜伏与运作,拉撒路不仅掌握了完整的转账流程,还获取了转账操作权限。
潜伏一年后,拉撒路在 2016 年采取行动:通过这台 “外汇电脑” 向纽约联邦储备银行提交了 36 笔转账申请,总金额达 9.5 亿美元。其中,1 笔 2000 万美元计划转入斯里兰卡某小型银行,其余 35 笔则全部定向转往菲律宾里兹尔银行木星分行。
通常情况下,这类转账申请无需人工审核,但此次却出现意外:35 笔转往木星分行的申请中,有 30 笔触发了人工审核机制。原因颇为巧合 —— 当时美国正制裁伊朗,而菲律宾有家 “木星航运公司” 因违规与伊朗开展业务,被美国列入黑名单,“木星” 一词也因此成为敏感词汇。
因此,当拉撒路向 “木星分行” 发起转账时,纽约联邦储备银行的系统自动提示需人工审核。工作人员发现,短时间内如此频繁的转账,且全部指向个人账户,存在明显异常,随即拒绝了这 30 笔申请。
但不知为何,系统未检测到另外 5 笔转账,这 5 笔共计 8100 万美元的资金顺利转入木星分行的 4 个账户。再加上斯里兰卡的 2000 万美元,拉撒路此次共盗取 1.01 亿美元。
不过,这 1 亿多美元并未被全部转移:斯里兰卡方面以 “收款人信息拼写错误两个字母” 为由,暂扣了 2000 万美元;剩余 8100 万美元中,拉撒路仅成功转移 6100 万美元 —— 这笔资金通过菲律宾赌场洗白后转至境外,剩下的 2000 万美元则支付给了协助开设账户、转移资金的菲律宾中间商,而该中间商并未知晓拉撒路的真实身份。
盗窃案发生后,美国相关公司对孟加拉央行感染的病毒进行分析,发现黑客使用的工具与攻击索尼影业时高度相似,代码中不仅出现韩语内容,还关联到朝鲜 IP 地址。因此,美国指责朝鲜是这起窃案的幕后主使,朝鲜方面依旧予以否认。
加密货币盗窃:转向匿名领域的新目标
从孟加拉央行窃案中不难发现,传统金融系统完备性强,资金转移过程中总会留下痕迹。因此,近年来拉撒路逐渐将攻击重心转向加密货币领域 —— 加密货币的匿名性与易提现特性,更符合其隐蔽转移资金的需求。
2022 年,拉撒路盗取约 7 亿美元加密货币;2023 年,盗取金额达 3 亿美元;2024 年,又盗取 2 亿多美元;2025 年开年,该组织更是一次性盗取近 15 亿美元加密货币,创下有史以来最大规模加密货币盗窃案纪录。
就在不久前的 3 月 4 日,被盗的加密货币已全部完成洗白,意味着其流向彻底无法追踪。以这 15 亿美元为例,可清晰看到拉撒路的操作流程:
总部位于迪拜的 BYBIT 是一家加密货币交易平台,用户可在该平台开设账户进行加密货币买卖。2025 年 2 月 19 日,拉撒路将一段恶意代码注入平台的多重签名钱包(用于管理加密货币的核心工具)。
两天后的 2 月 21 日,平台方按常规操作,计划将近 50 万枚以太币从 “冷钱包”(不联网的离线存储钱包)转移至 “热钱包”(联网可操作钱包)。就在转移过程中,恶意代码篡改了 “收款账户” 信息,导致 50 万枚以太币直接转入拉撒路控制的账户。
事件发生两分钟内,恶意代码被立即销毁;与此同时,这些以太币被迅速转移至 40 个不同地址,随后经过多次辗转转移,最终通过 “混币器” 完成洗白。混币器的核心作用是打乱资金交易路径,使追踪工作几乎无法进行。
举个简单例子:10 个人各拿 10 元放入一个资金池,经混币器处理后,每人仍能取回 10 元,但这 10 元可能包含张三的 1 元、李四的 2 元等,与最初的 10 元已无直接关联。因此,混币器成为加密货币领域高效的洗钱工具。经过十天的操作,近 15 亿美元以太币彻底洗白,拉撒路可随时提现。
由于拉撒路的作案风格极具辨识度,且有多次前科,事件发生后,外界第一时间将怀疑指向朝鲜黑客。后续,网络安全专家公布的多项证据,也均指向朝鲜。不过截至目前,朝鲜尚未对此事表态,即便表态,大概率也会延续以往的否认态度。
据非官方统计,近 8 年间,朝鲜黑客已累计盗取超 30 亿美元加密货币。由于加密货币领域仍处于相对灰色地带,相关监管机制不完善,许多国家对拉撒路的行为难以采取有效反制措施。
在可预见的未来,拉撒路仍将是全球各大加密货币平台面临的主要威胁之一。回头再看此前朝鲜制造美元假钞的行为,不难发现,黑客攻击获取资金的效率远高于假钞制造。
事实上,无论是制造假钞还是发起黑客攻击,朝鲜的核心目的都是获取美元外汇。西方国家的制裁导致朝鲜经济困境加剧,而经济压力又促使其寻求非常规手段获取资金,这些手段反过来又引发更严厉的制裁,最终形成难以打破的恶性循环。
随着互联网技术的持续发展,朝鲜黑客势力或将成为不可忽视的网络力量。不过,作为普通民众,我们只需关注相关事件动态即可 —— 加密货币、黑客攻击等领域风险极高,切勿轻易涉足,否则可能面临血本无归的后果。