北朝鲜的加密货币盗窃活动
根据多边制裁监测小组(Multilateral Sanctions Monitoring Team)的一份新报告,自2024年1月以来,北朝鲜已盗取了28.4亿美元的加密货币。该小组负责监测对朝鲜民主主义人民共和国(DPRK)联合国制裁的违反情况,并发现DPRK在今年1月至9月期间至少盗取了16.5亿美元,其中大部分是2月份Bybit黑客攻击的结果。
远程IT工作的扩展
然而,MSMT还报告称,北朝鲜正在扩大其远程IT工作的使用。国际上雇佣IT工人违反了联合国安全理事会第2375号和2397号决议,这些决议禁止雇佣北朝鲜工人,但这并没有阻止DPRK参与至少八个国家的劳动市场。这些国家包括中国、俄罗斯、老挝、柬埔寨、赤道几内亚、几内亚、尼日利亚和坦桑尼亚。
“MSMT得出结论认为,北朝鲜的网络力量是一个全方位的国家项目,其运作的复杂程度接近中国和俄罗斯的网络项目。”
报告详细说明了大约1000到1500名DPRK工人驻扎在中国,并且平壤计划向俄罗斯派遣多达4万名工人。尽管如此,西方机构和公司在应对这一问题方面的能力正在不断增强。
应对北朝鲜网络威胁的能力
Chainalysis国家安全情报负责人安德鲁·菲尔曼(Andrew Fierman)表示:“虽然与北朝鲜有关的黑客构成了重大威胁,但执法机构、国家安全机构和私营部门识别相关风险和反击的能力正在增强。”
在接受Decrypt采访时,菲尔曼举了一个例子,提到美国外国资产控制办公室(OFAC)在8月份对一个与DPRK有关的虚假IT工人网络实施了制裁。他解释道:“这些参与者因参与将DPRK IT工人所产生的收入转移到支持DPRK大规模杀伤性武器和弹道导弹项目的计划而被指定。”
菲尔曼还提到,自2月份的Bybit黑客攻击以来,已经追回了价值数千万美元的加密货币,而Decrypt在6月份报道过部分资金已追踪到一家希腊加密交易所。
加强合作以应对威胁
“私营部门在识别DPRK IT工人威胁方面变得更加有效,最近在2025年5月的Kraken努力中得到了证明,”菲尔曼补充道。8月份,Binance的首席安全官告诉Decrypt,该交易所每天都会丢弃来自北朝鲜攻击者的求职简历。
识别和阻止北朝鲜活动的能力至关重要,因为正如报告和菲尔曼所明确指出的,DPRK活动产生的资金通常被转移到其武器项目中。菲尔曼表示:“MSMT报告详细说明了这些资金如何被用于采购从装甲车到便携式防空导弹系统的各种物品。”
同时,DPRK的网络间谍活动针对包括半导体、铀加工和导弹技术在内的关键行业,形成了其金融犯罪与军事能力之间的危险反馈循环。
建议与未来展望
面对这样的威胁,菲尔曼建议加强公共和私营实体之间的合作,这也是MSMT报告的成果,因为Chainalysis、谷歌云的Mandiant、DTEX、Palo Alto Networks、Upwork和Sekoia.io等机构参与其中。他表示:“数据共享倡议、政府建议、实时安全解决方案、先进的追踪工具和针对性的培训可以使利益相关者迅速识别和消除恶意行为者,同时建立保护加密资产所需的韧性。”
通过利用区块链智能和传统网络安全措施,受影响方将能够在资金被洗钱之前识别和冻结被盗资金,同时绘制北朝鲜的金融网络。基于此,菲尔曼和Chainalysis建议组织“实施全面的区块链监测,增强IT承包商招聘的尽职调查,部署先进的威胁检测系统,定期进行安全审计,并为大额交易建立明确的协议。”
