朝鲜APT38黑客组织：银行劫案背后的神秘力量

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

根据美国网络安全公司FireEye发布的一份最新报告，朝鲜的黑客活动可以明确地分为两类：一类专注于政治网络间谍活动，另一类则专攻银行和金融机构的网络抢劫。这份报告揭示了这些黑客组织之间的区别，并特别指出了一个名为APT38的金融犯罪集团。

APT38：不同于拉撒路集团的新面孔

自2014年索尼影业被黑事件以来，朝鲜在网络间谍领域的实力引起了全球的关注。多年来，新闻媒体一直将所有与朝鲜相关的黑客行为统称为“拉撒路集团”。然而，FireEye的专家认为，应当明确区分这三个不同的黑客组织，尤其是那些专门从事金融犯罪的APT38。

从钓鱼邮件到复杂的网络攻击

与其他日常网络犯罪集团不同，APT38展现出了国家支持威胁者的耐心和技术能力。他们不会采取快速行动，而是等待最佳时机发起攻击。据FireEye估计，自2014年以来，APT38试图从全球各地的银行窃取超过1.1亿美元，实际得手金额大约为1亿美元。

经济制裁下的资金获取手段

专家们认为，在联合国因朝鲜进行核试验而实施经济制裁后，面对国家收入的减少，朝鲜转向其军事黑客部门寻求帮助，通过非常规手段从外部获取资金。这些手段包括对银行、金融机构和加密货币交易所的攻击。地理区域对他们来说并不重要，波兰、马来西亚、越南等国都曾遭受过APT38的攻击。

APT38的关键时间线

2014年2月 APT38首次已知行动开始。

2015年12月 尝试攻击TPBank。

2016年1月 同时在多个国际银行进行入侵。

2016年2月 孟加拉国央行通过SWIFT系统遭到攻击。

2016年10月 报告称APT38开始针对政府和媒体网站发动水坑攻击。

2017年3月 SWIFT禁止所有受联合国制裁的朝鲜银行接入系统。

2017年9月 多家中国银行限制朝鲜个人和实体的金融活动。

2017年10月 台湾远东国际银行遭ATM现金提款计划攻击。

2018年1月 尝试攻击墨西哥Bancomext。

2018年5月 成功从智利Banco de Chile盗取1000万美元。

悄无声息的潜伏者

FireEye指出，APT38通常会在受害者的网络中潜伏长达数月甚至数年，以深入了解网络布局、权限和技术细节。平均而言，他们在受害者网络中的停留时间为约155天，最长记录达到了678天（近2年）。

当面临被捕风险或完成攻击后，APT38还会使用勒索软件或磁盘擦除恶意软件来销毁证据或作为转移注意力的策略。例如，在台湾远东国际银行的攻击中，APT38在大额提款后部署了Hermes勒索软件，企图转移IT团队的注意力。

结论

尽管FireEye的报告是区分朝鲜黑客单位的重要一步，但要完全厘清这些组织之间的关系仍然困难重重。由于朝鲜黑客基础设施的高度重叠，某些恶意软件和在线资源可能被用于各种操作。随着国际社会对金融信息系统安全意识的提高，预计APT38会采用新的策略来继续其资金掠夺行动。

对于全球金融机构来说，加强防御措施并保持高度警惕显得尤为重要。只有通过持续的技术创新和紧密的国际合作，才能有效应对这一复杂且不断演变的网络威胁。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜APT38黑客组织：银行劫案背后的神秘力量