“黑客也是人，背后也有老板、有组织、有道德”——这句话来自一个中国黑客的自白。

在加密产业的财富集中爆发的过去十年，黑客成为了一个全球各大媒体的头条高频词，然而正如这名黑客自白中的描述，大多数黑客都是一个有组织并掺杂着各种利益的团体。

▲拉撒路攻击过的国家

在这些黑客团体中，最为危险的存在当属由朝鲜政府直属的一个黑客组织拉撒路集团（英文：Lazarus Group，后面简称拉撒路），据Group-IB的追踪报告显示：拉撒路由朝鲜情报侦察总局下属的121局控制，而121局自成立以来一直负责朝鲜的网络军事活动。  

在过去一年多的活动中，拉撒路在加密货币产业至少盗取了5.71亿美元的资产。如果你在去年的加密投资中损失惨重， 偷走你钱的也许并非只有黑庄，还有一个急需外汇的国家——朝鲜。

文 / 石头

 来自韩国的全民公敌 

据GROUP-IB的资料显示：在2017年3月到2018年10月，拉撒路曾对位于多个国家的加密公司进行过袭击。其中韩国是拉撒路的最爱，占据了拉撒路在过去所有袭击中的80%。

至于原因，则源于韩国和朝鲜的历史问题，而拉撒路则只是充当了这些历史问题的罪恶之手。

拉撒路的成名首秀源于2009年的特洛伊行动，“特洛伊行动”是它成立后的第二次网络攻击，旨在通过攻击对方网站的服务器，而让网络停止工作和盗取信息，这次攻击主要针对了韩国的武装部的内部信息系统和韩国政府机构的对外网站。

对于一个网络强国的网络劫持，让拉撒路在国际黑客组织的声望上一战成名。

韩国虽然意识到了自己的网络安全已经被一个强大的黑客组织盯上，但却并未对拉撒路抱有足够的重视。

2013年3月20日，三家韩国电视台在正常播放节目时再次受到了拉撒路的网络劫持，因为拉撒路此前已经有过多次进攻实验，所以在这次名为“3·20电算大乱（DarkSeoul? peration）”的行动中，三家电视台的核心服务器直接瘫痪。

在三家电视台向韩国通讯监测单位进行信息上诉后发现，在同一天的行动中，让核心服务器直接瘫痪的还有“新韩银行”。事件发生的第二天，韩国金融委员会表示：济州银行、韩国农业协会、友利银行以及韩国放送公社等单位均在这次攻击中受到了入侵。

这次事件，也彻底让拉撒路成为了韩国网络安全预防名单上排名第一的黑客组织。

 索尼的挑衅和教训 

在韩国政府单位对拉撒路进行全方位警戒后，拉撒路对韩国军事及政府单位的网络攻击次数明显降低。而拉撒路在失去韩国的练手后，此时的日本索尼影业却在暗中策划对朝鲜政府的挑衅行为。

▲《刺杀金正恩》海报

显然，索尼并没有将朝鲜这个国家放在眼中。而索尼将因为拉撒路的存在，为自己的自大和傲慢，付出高昂的代价。

2014年，索尼影业投资4400万美元拍摄了一部喜剧电影《刺杀金正恩》，2014年11月在电影杀青后不久，索尼影业曾宣布12月25日圣诞节期间，首先在北美的各大影院上映这部“恶搞朝鲜领导人”的电影。

据31QU了解，这部电影讲述了2位美国脱口秀主持人在得知朝鲜最高领导人金正恩是《今夜胡闹秀》的粉丝后，美国中央情报局征集他们去暗杀金正恩，于是他们决定采访金正恩，并在采访过程中执行暗杀任务。

然而，就在索尼影业宣布这部电影即将上线时间后不久，11月24日索尼影业便遭遇了拉撒路的网络袭击，在这次袭击中拉撒路使用“和平保卫者”的名字，盗取了索尼影业的大量商业信息以及索尼员工的个人信息。

12月17日，拉撒路利用盗取的员工信息，给索尼的多位高管发送了一份匿名威胁信，在这封匿名信的中拉撒路直接写到：“还记得2001年的9月11日吗？”（美国911事件）

“我们将在上映《刺杀金正恩》的地点，包括首映式上，清楚地展示，那些从恐怖行径中取乐的人将注定迎来被毁灭的命运。”

面对拉撒路对索尼员工信息及所有上映地点信息的了解，索尼最终在收到威胁信的第二天就对外宣布，取消《刺杀金正恩》在2014年12月25日的公映。

在威胁信发出的24小时内，美国的大量影院便已经宣布取消了对这部电影的播放。

事实上，在攻击发生后，朝鲜官方还曾主动宣布自己和攻击事件无关，并声称这是同情朝鲜的人士发动的“义举”。不过这一说辞，很快便被网络安全组织Group-IB的调查结果打脸。

而索尼影业，之后便再也没有将这部电影搬上荧幕，这部耗资4400万美元的“喜剧片”，最后也只能在一些盗版资源网站进行流传。

 黑客人才的自我进阶 

索尼影业的黑客事件发生后，美国和日本也开始重视对拉撒路进一步的调查工作。

在对一名曾经参与过索尼影业袭击的黑客进行了四年追踪后，最终确定了这名黑客的真身份——Park Jin Hyok（中文名为朴智孝）。

美国为了追踪这个名为朴智孝的黑客，曾追查了他所有的恶意软件样本、域名、电子邮件以及社交媒体账户。并最终用多项证据证明，朴智孝曾参与了索尼影业服务器入侵事件、世界各大银行的ATM机盗窃案、洛克希德马丁公司入侵案以及孟加拉国银行抢劫案等多个拉撒路的重要活动。

2018年9月6日，美国司法部对朴智孝正式提出了长达179页的国际诉讼。在诉讼中，美国司法部将朴智孝定义为拉撒路的核心积极分子，而这个称呼意味着朴智孝在拉撒路组织中拥有不俗的地位。

在起诉过程中，司法部负责人约翰·德默斯曾对朴智孝评论到：“对于尊重法治的人来说，投诉所指控的网络犯罪的规模和范围是惊人的。”

而面对美国司法部的起诉书，朝鲜外交部官员韩永松则直接发言称：

“朝鲜并没有朴智孝这样的一个少年，美国应该认真思考散布虚假和煽动对抗朝鲜的负面后果！如果美国试图通过荒谬的谎言和高压手段从我们那里获得任何东西，那就完全错了”。

虽然朝鲜官方极力否认，但美国早已追踪到朴智孝个人的黑客经历，并确认了这个人的真实存在。

据悉，朴智孝是朝鲜平壤的金泽科技大学的一名学生，在毕业后因为成绩优秀而被国家派遣到一个韩国和朝鲜共同投资的企业“朝鲜博览会”进行实习，调查人员表示，朝鲜博览会涉及许多不同的在线服务业务，比如在线游戏和在线赌博，旨在成为电子商务和彩票网站。

其中，朴智孝使用Java、JSP、PHP、Flash以及Visual C ++在位于大连的分公司工作多年，而这些技能都是拉撒路病毒程序的编写语言。

2014年，朴智孝回到了朝鲜，并在朝鲜121局的一个旗下公司开始黑客生涯。而美国司法部在2018年9月6日对朴智孝进行起诉后，今天我们依然可以在FBI的官网上，找到朴智孝中文、英文和韩文的全球通缉令。

显然，朴智孝只要依然还在朝鲜，他的安全就将得到庇护。

 加密产业的洗劫 

2006年朝鲜进行第一次核试验后，联合国安理会通过多项决议开始对朝鲜实施经济制裁，但朝鲜前期的核试验成果大多并不具备实质威胁，所以在2016年以前，朝鲜的经济贸易依然属于“相对正常状态”。

但这种“相对正常”在2016年发生转变，2016年3月，随着朝鲜第四次核试验的成功，美国正式以2270号决议为理由，对朝鲜进一步加强了制裁。

在这次决议生效后，国际所有亲美国家将不再接收来自朝鲜的黄金、钒、钛、稀土金属以及煤炭等资源型商品的出口，只有纯粹用于“生计目的”的交易被“额外”豁免。

随着2270决议的生效，朝鲜的外汇来源被立刻切断。在国家危机时刻，拉撒路集团在充当了朝鲜外汇收入的第一先锋。

根据GROUP-IB的报告显示：2016年后的拉撒路集团，其活动行为从政治攻击转向经济攻击。

2016年2月，在朝鲜预感到经济制裁的时间后，拉撒路集团利用孟加拉国的银行安全漏洞渗透其系统，并获得可访问SWIFT网络的计算机。在得到这一权限后，拉撒路快速从孟加拉国的银行划去了10亿美元的资产，但最终在执行过程中因文件错误，而只盗走了8100万美元。

除了从银行的账户中盗窃，拉撒路此后还利用其他黑客组织的技术，学会了如何让银行ATM机自动吐钱，并凭借各种手段先后洗劫了波兰、印度和韩国等多个国家的银行存款。

2018年，根据美国政府的报告：拉撒路在2017年的活动中，至少让30多个国家的ATM机发生过吐钱故障；在2018年事件中，拉撒路则攻击了23个不同国家的自动取款机。

与此同时，世界各国对朝鲜的经济制裁进一步恶化。

2016年11月，在美国推动下联合国正式通过的第2321号决议限制了朝鲜的煤炭出口，并禁止铜、镍、锌和银的出口。

2017年8月通过的第2371号决议禁止朝鲜所有煤炭、铁、铅和海鲜的出口。

随着对朝鲜经济制裁的加剧，拉撒路的攻击目标也渐渐写上了加密产业的名字。其中除却我们先前提到的韩国和日本加密交易所被盗事件外，拉撒路还利用病毒软件来劫持计算机，用以收取比特币赎金，以及通过钓鱼网站来盗取个人用户的加密资产，来获得国家贸易所需要的美元。

据一些媒体报道，拉撒路是WannaCry勒索软件攻击的肇事者，这一病毒曾感染超过20000台计算机。

2018年，国际知名的情报公司Recorded Future发布的一份报告显示：拉撒路在朝鲜政府被经济制裁的最严重时期，可能还通过发行“空气币”的方式进行了国际诈骗。

在发布这一报告前的采访中，Recorded Future公司直言：“我们已经发现了一种加密货币骗局，名为Marine Chain，由新加坡的朝鲜人进行控制和运营。”

根据Marine Chain的线索，Recorded Future公司在深入调查后发现：该网站托管在四个不同的IP地址上，这些地址在2017年和2018年期间托管了其他几个与加密货币相关的骗局。

其中一个是名为Binary Tilt的二元期权交易公司，该公司被加拿大安大略省政府视为欺诈后关停，而另一个加密诈骗项目则在经历星际、恒星、持有以及HUZU的四次更名后彻底消失。

值得注意的是，这些“空气币”的诈骗项目的资金回款路径，均指向和拉撒路有关的比特币钱包地址。

在拉撒路加密领域的作恶行径曝光后，曾有媒体经过多次计算得出结论称：拉撒路是朝鲜被制裁期间外汇收入的主要创收来源。

 调查的止步 

从2009年的特洛伊行动至今，虽然拉撒路曾使用隐藏的COBRA、和平守护者、ZINC和尼克学院等名字，以及冒充俄罗斯黑客组织等方法作恶多端，但因为拉撒路整个组织受到朝鲜国家的庇护，所以目前各国对这群网络犯罪分子的抓捕却举步维艰。

此前，曾有美国的调查人员深入朝鲜来追查过拉撒路的办公场所。据Group-IB调查显示：在所有涉及拉撒路的网络终端信号的追踪中，他们的办公地点都会涉及到朝鲜平壤波东岗区的两个景点——朝鲜民主主义人民共和国国防委员会（NDC）和未完成的105层高的Ryugyong酒店。

Ryugyong酒店因为比邻朝鲜民主主义人民共和国国防委员会（NDC）的缘故，都会布满荷枪实弹的军人——禁止所有外国人的出入和拍照。

鉴于军队的贴身保护，目前所有网络安全公司对拉撒路的追踪也仅仅到此为止，但大家都清楚的知道——那里是121部队的所在地，神秘而充满未知的危险。

2018年5月，在《军武大本营第三季》节目中，360董事长周鸿祎对话局座召忠，两人大谈网络战争。

节目中周鸿祎表示：黑客都是很有个性的人，很难用一种批量化的方法去培养。他同时还透露，黑客的收入很高，年薪百万千万不是问题。

但对于朝鲜这样的一个国家而言，黑客可能肩负的并不止是个人利益，还有国家命运、民族荣誉以及所有同族人民的敬仰。这些光环，属于金钱之外，却比金钱的快感更能唤起一批民族黑客的成就感。

即便，他们被世界上其他黑客们唾弃，他们也依然在自己的信仰下，对无辜的人举起屠刀。