朝鲜的加密币网络战：“以骇养核”走到瓶颈了吗？

“你的一些重要文件被我加密保存了，想要恢复全部文档，需要付点费用。一个礼拜内未付款，将会永远恢复不了。”2017 年 5 月 12 日中午，全球超过二十万个Windows用家的电脑萤幕跳出一个红色警示页面，要求用家转帐价值约港币2,400元的比特币才能将档案解锁。

这个病毒后来被名为“WannaCry”。正当受害者都以为这是普通的加密货币勒索事件，美国政府则在同年年底宣布，这个席卷超过150个国家，有史以来最严重的加密货币勒索软件网路攻击背后的发动者，正是朝鲜政府旗下的黑客集团“Lazarus”。在朝鲜，只有少于1%的人有权使用国家内联网服务“光明网”（Kwangmyong），但平壤政府却培养出世界上最出色的黑客，与美国、中国、俄罗斯等主要国家并驾齐驱。近年，平壤政府看准了加密货币的去中心化特性，利用发展了二十年的网络战能力，以像“WannaCry”这样的大型金融勒索来筹集核武资金，而且非常成功。

国际社会真正认识到朝鲜网络战的时间，是2015年1月的孟加拉银行被骇事件。当时银行的数名员工收到了一封看起来很普通的求职电邮，有银行员工下载了附有病毒的履历和求职信，成功进入了环球银行金融电信协会（SWIFT）网络，并发出多条指令，通过SWIFT系统冒充孟加拉央行向纽约联邦储备银行提出将10亿美元的资金非法转出。可幸的是，其中一条指令企图将资金转到一家位于菲律宾马尼拉 Jupiter Street 的银行分行，而“Jupiter”这词恰好是被制裁的伊朗船只的名字，地址栏因而引起美联储注意，误打误撞发现这桩可疑交易而搁置其余多条指令。然而，仍然有五笔交易顺利通过，黑客们最终转走了8100万美元的赃款。

这次朝鲜在战略上显然比过往的DDoS攻击成熟得多，其社会工程（social engineering）系统足足在银行系统里潜伏了一年收集资料，等待时机才采取行动。黑客们运用了孟加拉的周末、纽约的时差，及菲律宾农历新年假期，争取更多的时间把钱汇出。而收到资金后，他们选择了将钱转到菲律宾首都马尼拉设立的银行账户，并将大部分金额转移到赌场，在赌桌上将资金洗净，继而再企图将资金转移到朝鲜。

这次孟加拉银行抢劫案，令西方国家真正意识到朝鲜的网络部队比想像强大。但这次劫案也令朝鲜坚定了盗窃加密货币的决心－－虽然朝鲜最后成功提走8100万美元，但只占目标10亿的十分一。同时，朝鲜经历了繁复的洗黑钱纸程序，更意外令另外的90%目标资金白白流走。经过这次行动，朝鲜体会到传统金融机构的要求的劳动力和时间消耗有多大。其后，而随着加密货币的兴起，朝鲜看中了其去中心化的特质－－这种不用经过银行﹑证券商或受政府监管的金融机构的开放式金融系统，正好让朝鲜绕过制裁，跳过洗黑钱的程序，直接将得来的资金放到其核武计划中。

朝鲜的“以骇养核”计划

平壤政府对网络攻击的野心可追溯到90年代。在1990年开始的波斯湾战争中，以美国为首的联军在常规武器以外，还利用电子装备辅助，在短时间击倒伊拉克。当时的中共看见电子战的潜力，成立了研究小组专责探讨 “电子情报战”。一本朝鲜人民军的出版的书籍引述当时的最高领导人金正日看到报告后说：“如果互联网就像一把枪，网络攻击就像原子弹”，并发布指令，要求人民军总参谋部发展“信息战”能力。 而发展网络战的目标就是支持其核武计划。

早在2008年，朝鲜就在人民军参谋部侦察局内成立了“121局”（Bureau 121）。121局也被称为电子侦察部或网络战指导部，负责进行网络攻击和网络间谍活动，收集有关海外政治、经济和社会的情报。121局成员皆从由朝鲜顶级技术学院中挑选出来，全体成员均享有朝鲜国内最高层次的待遇。2009年，朝鲜将其所有的情报和内部安全部门合并为“朝鲜人民军总参谋部侦察总局”（Reconnaissance General Bureau，RGB），121局也收归其中。据估计，121局现时有3000至6000名员工，分布在中国、印度、马来西亚和俄罗斯等不同国家。 而121局旗下则分成不同单位，专研不同技能和工具，负责不同类型的任务；例如“APT 37”和“Kimsuky”专门从事政治网络间谍活动，而发动Wannacry攻击的Lazarus则专注于金融勒索和网络犯罪。

2012年，金正恩上台，继承了父亲发展网络战的野心。上台翌年，金正恩公开宣称，网络战、核武器和导弹都一样，都是“一把万能剑（all-purpose sword​​）”，有了其“无情瞄准能力”，朝鲜军队便能所向披靡。这个宣言奠定了朝鲜至今为止以网络攻击为中心的战略。

朝鲜最早的有记录网络攻击是2009年针对韩国的“特洛伊行动”（Operation Troy）。在发现网战威力的初期，平壤政府倾向于在国际舞台上展示其网络能力，也因为当时朝鲜正值第二次核试验，无论在军事政策上还是网络战略，平壤政府也采取了激烈的立场，仿佛毫不担心遭到报复。而在2013年至2016年期间，朝鲜的网络活动越来越倾向于收集信息，多次向其主要敌人韩国及美国发起DDoS攻击－－短暂扰乱甚至瘫痪政府机构、电力基础设施、军事系统等运作。网络间谍活动在这时期极为频繁，仅对韩国就进行了至少六次重大间谍攻击。

多次的攻击经验后，朝鲜逐步磨练了黑客技术，攻击对象渐渐再不限于韩国和美国，手段也不再只限于DDoS，平壤政府看到网络攻击的真正潜力后，就更大力发展黑客活动，目的是筹集核武资金－－以网络攻击获得的资金，成为了平壤政府维持其独特“国际地位”的资本。而在2015年后，朝鲜更逐渐从攻击传统银行和金融机构，转向盗取去中心化的加密货币，用来继续为大型核试筹组资金。

美国副国家安全顾问Anne Neuberger估计，朝鲜盗取的加密货币中，约有三分之一用于其武器计划。联合国报告亦指朝鲜以网络攻击窃取的加密货币，是平壤的核和弹道导弹计划的“重要收入来源”。路透社早前引述联合国一份不公开的报告，指朝鲜在2022年内窃取的加密货币，价值创历年新高；区块链分析公司Chainalysis使用公开的区块链数据来追踪交易，查出朝鲜黑客单在去年，便盗窃了17亿美元的加密货币。对比朝鲜在2020年的出口总额只有1.42亿美元，可见加密货币黑客攻击已成为朝鲜国库收入的主要来源。

根据路透社早前报道，朝鲜领导人金正恩下令增加武器级核原料以提升国家核军火库，而美国智库“北纬38度”（38 North）3月公布的卫星影像显示，朝鲜主要核设施有著高度的活动。朝鲜单在2022年就发射了至少90枚导弹，数目创出历史新高，美国和韩国政府亦认为第七次核武器试验的准备工作已经完成。朝鲜核武的高速发展正正归功于金正恩政府善用网络攻击这把“万能剑”－－长年专注训练黑客网军，以网络攻击盗取大量资金，目标由政府机构，金融机构，以至wannacry的普罗网民，皆无一幸免。

DeFi：朝鲜的新收入来源

在传统金融业，法定货币如美金和港币皆由中央机构发行，要作出金钱交易需要依赖金融机构，例如透过银行提存法定货币。相反，加密货币则建基于区块炼技术上，并非由任何中央机构发行，也能匿名创建用以接收和汇出资金的的钱包，不依靠银行来验证交易。而当用家转移加密货币资金时，交易会被记录在一个“分散式帐本（Distributed ledger Technology，简称 DLT）”中，而该帐簿也不由单一机构持有，而是分布于对等式网络（peer-to-peer， 简称 P2P）上，当中每个节点都复制及储存与账本完全相同的复本，任由互联网使用者查阅。

加密货币“匿名性”和“去中心化”的特质意味着，盗窃加密货币的话，便不会再重复孟加拉银行的事件－－即再也没有美联储来阻止他们提取8.51亿美元。

Wannacry 攻击成功盗取了6.25亿美元的加密货币，使Lazarus更坚决要将攻击重心转移到加密货币目标。起初，他们的目标主要是加密货币交易所。尽管黑客的目标不再是传统金融机构，手法仍是大同小异－－以社会工程网络钓鱼将受到感染的档案设法植入到目标公司的电脑，从而进入公司的电脑系统以从其钱包转走大笔金额，当资金进入朝鲜控制的地址后，黑客便开始洗钱过程。

随着加密货币的兴起，全球亦出现大量集中式加密货币交易所（Centralized Exchanges，CEX），方便用家使用美元等法定货币购买加密货币，或者用一种形式的加密货币交换另一种形式的加密货币，以及加密货币替换成法定货币。这种加密货币交易所跟传统银行运作模式相似，用家先在交易所开设钱包，再汇入存款作为交易资金，用家可以在交易所内作出交易，亦可将存款汇出到别的交易所或是自己的离线加密货币钱包。这也意味着，这种集中式交易所跟传统银行一样，客户需要提供实名认证，而交易所也持有所有资金流动纪录。所以不论盗取加密货币有多容易，朝鲜仍需投放大量资源钻研洗钱技巧。

要入侵加密货币交易所不难，真正的挑战在于如何将加密货币兑换成现金以购买核武材料。值得国际社会关注和担忧的，并非谁是朝鲜的攻击目标，而是朝鲜日渐成熟的洗黑钱手段－－如何在转换法定货币之前，尽可能隐藏区块炼上的资金流向纪录，令调查人员无法追溯资金来源。

起初数次攻击，Lazarus通过编写自动程式（automation scripts） 执行剥离链（peel chain）洗黑钱。“剥离链”是指将盗来的大额资金逐少而密集地转移到不同的加密货币地址，以小额交易避过交易平台的注意。同时，黑客亦问始使用混币器 （mixer）。加密货币混币器用意在于透过将一笔加密货币交易与其他交易混合，从而减低第三方发现交易源头的可能。

然而，这个洗黑钱流程仍然存在漏洞，朝鲜多次重复使用了相同的混币器，令调查人员使更容易推断出组织的洗钱模式。加上前任美国总统特朗普于2017年扩大了美国单方面制裁的范围，任何人士或公司假如跟朝鲜有业务联系，在美国的资产皆会被冻结。各国企业因担心失去进入美国市场的机会，倾向停止与朝鲜进行交易，有效地切断了朝鲜与全球金融体系的联系，使平壤政府选择起用“场外交易经纪人”协助将被盗的加密货币资金兑现为法定货币。在这次攻击中，便有两名中国公民田寅寅（Tian Yinyin）和李家东（Li Jiadong）协助将被盗的加密货币兑现为法定货币，而被美国财政部制裁，冻结他们在美国的资产，并禁止美国人与他们从事交易。

2020年9月，新加坡一家名为KuCoin的加密货币交易所的网络安全遭到大规模破坏，黑客从该交易所的钱包中窃取了价值超过2.8亿美元的加密货币，当中以太坊区块链的ERC-20代币为主。占2020年所有被盗加密货币的一半以上。在这次攻击中，Lazarus开始使用Defi服务Uniswap。Uniswap是最大的去中心化ERC-20代币交易平台（DEX），通过使用智能合约，让用家可以从一个地址向Uniswap发送资金，就能在同一地址收到另一种代币。以被盗的ERC-20代币 LINK为例，黑客将被盗的LINK从地址A发送到Uniswap，以将其转换成以太币，同一地址会收到同等价值的以太币。因此，如果调查人员不知道黑客控制了哪些收发资金的钱包，就很难追踪这些资金的流动。

DeFi全名为“Decentralized finance”，即“去中心化金融”，意思是不依赖交易所或银行等受监管的金融机构，而是利用区块链上的智能合约（smart contract）让用户自由进行金融活动，例如是将一种加密货币换成另一种加密货币。严格来说，DeFi服务不是一个机构，而是一组在以太坊区块链上执行的电脑程式，所以不需要保管资金，也不需要中心化的基础设施或人力。与集中式交易所不同，端对端的性质，使DeFi交易几乎是即时发生的，以致很少有机制防止不正当交易，而且，许多DeFi平台不需要客户提供“客户身分审查”（KYC，Know your customer）信息，这些特质对于朝鲜匿名转移资金全部非常有利。

朝鲜黑客对加密货币不断变化的监管措施适应迅速，同时在混币器以外开始使用跨链桥（Cross-chain bridge），让资产在区块链之间移动。加密货币的“分散式帐簿”存放于区块链中，而目前通用的区块链不止一条，除了最有名的区块链比特币和以太坊之外，还有各种公链陆续冒出，例如 Solana、Terra、Binance Smart Chain 等。 这些区块链是独立和互不相通的，例如在以太坊上的资产，若不使用跨链技术，就无法转移到其他区块链。以传统金融系统作比喻，情况就像要将资产由香港的银行转移到美国的银行，我们需要使用银联等服务。但跟银联不同的是，去中心跨链桥不受任何中央机构监管，也不需实名认证。同时，跨链桥亦能将朝鲜持有的加密货币转换为Monero、Dash和Z-Cash等匿名加密货币，以减低交易的可追溯性，让追踪资金流动变得更复杂。

例如，朝鲜会将盗来的ERC-20代币以混币器打散，再将打散后的代币换成比特币，然后再次使用比特币混币器，继而将多次混合的比特币合并到新的钱包中。最后一步就是将资金存入亚洲监管较松散的加密货币交易所，换成人民币等法定货币，或是聘用“场外交易经纪人”协助洗钱。虽然朝鲜仍然需要依赖中心化交易所或第三方的协助，但透过DeFi、混币器和跨链桥等技术，要追溯资金来源的困难度大大提高。

跨链桥除了是朝鲜的洗黑钱工具，更进一步成为了黑客的攻击目标。Lazarus在2021年及2022分别攻击Ronin Network和Harmony Bridge两个跨链桥。像大多数跨链桥一样，这两个跨链桥使用权威证明（proof-of-authority，PoA）技术，原理是预先指派一定数量的验证者（validator）运行验证器节点（validator node），而只有验证者才有权限验证交易和将新区块添加到区块链。用家要进行交易，要先向智能合约发起交易，并提交到验证者网络，然后收到交易请求的验证者会签名，一旦有足够的验证，该区块链中就会添加一个新的区块，代表交易请求被接纳。以Ronin Network攻击为例，Ronin由 9 个验证器节点组成，Lazarus入侵系统，偷取了智能合约当中五个管理密钥，成功假冒了5个签名，将当时价值超过6.2亿美元的加密货币窃取到手。

加密币监管愈加严密，朝鲜的“以骇养核”计划会否受到威胁？

然而，尽管朝鲜不停改进洗黑钱和编程技术，其加密货币核武大计仍然起了无可预测的变数。

在朝鲜改进加密货币能力的同时，执法部门对加密地址网络追踪资金的能力也同步增强，陆续开始追回赃款。挪威警方在今年查获了朝鲜从Ronin Network攻击盗得的价值580万美元的加密货币。而美国联邦调查局也联同加密货币组织作出调查，追踪到朝鲜试图将被盗资金转换为法定货币的地点，并与执法部门和业内人士联络，冻结了超过3000万美元的加密货币，使朝鲜透过攻击交易所拿到手的资金白白流走。这既反映了联邦调查局和其他机构不断增强的能力，也反映了美国对打击朝鲜网络攻击的重视。

Chainalysis的的高级调查主任Erin Plante对记者表示，预计未来几年同样的情况陆续有来。“这是因为区块链的透明度。每笔交易都被记录在公共账簿中，意味著追查资金去向不受时间限制，可以在案发多年后仍然能追回资金。加上外国资产管制处等机构努力切断黑客首选的洗钱服务与加密货币生态系统的其他部分，意味著这些黑客将随著时间的推移变得越来越难，越来越没有成果。”

其次，无论朝鲜持有多少加密货币，要使用资金的话，仍然必须将货币兑换成现金。全球第二大加密货币交易所FTX继而在年尾宣布破产，随即被揭露资产负债模糊不清，创办人私下挪用客户资产，引起挤提。FTX的丑闻驱使各地政府对加密货币行业作出更大的监管审查，使加密货币更符合传统的金融体系及其监管结构，意味着朝鲜要将资金转成法定货币的难度将大大提高。

例如美国财政部已开始将制裁目标由平壤政府扩大到混币器。执法机构在追踪资金的过程识别出朝鲜经常使用的混币器，2022年，美国财政部下令冻结朝鲜常用的混币器 Tornado Cash 和Blender.io的资产，并禁止美国公民使用 Tornado Cash 平台。加密货币行业以致全球经济均受到影响，有加密货币贷款机构申请破产，或是暂停发放新贷款。

加密货币价格的不确定性也为朝鲜的核武大计带来了变数。2022年中，加密货币价值突然暴跌，而随着FTX的消亡，加密货币行业发展变得更不可预测。除了一众投资者大失预算，平壤政府的武器计划亦受到影响。Google旗下网路安全公司首席分析师Luke McNamara指出，朝鲜习惯将盗来的加密货币换成另一种加密货币，而各种货币的价格变动是独立的。所以，网络攻击中涉及的不同资产价格变动相互关联，因此我们没有办法得知朝鲜实际持有多少金额。但根据Chainalysis分析，朝鲜在2017年至2021年间49次黑客攻击盗得的资金，当中未被清洗的加密货币价值自2022年初以来已从1.7亿美元降至6500万美元。

印度软件公司Subex的网络安全部门Sectrio表示，有迹象表明朝鲜在最近数月又开始加强对传统银行的攻击。Chainalysis的的高级调查主任Plante亦指，其团队看到朝鲜黑客对非加密货币平台的攻击有所增加，而原因很大机会是日渐收紧的制裁和扣押被盗资金。

McNamara预计，朝鲜对加密货币行业的攻击并不会减少。加密货币仍是一个非常新的产业，因此不同类型的投资者投入了大量资金到不同的区块炼项目，但区块炼的资讯保安却没有赶上区块炼技术发展，没有好好彻底审查或测试的程式代码。同时，朝鲜政府旗下不同黑客集团互相协作也使执法部门追查资金困难增加。McNamara指出，调查团队进行分析的第一步，就是从恶意软件的代码入手，分析程式出自哪组开发人员的手笔。但朝鲜的网络攻击，我们会看到不同黑客集团重复使用同样的代码，令我们难以评估攻击出自哪个团队。

“尽管加密货币市场存在的巨大的波动性，有商机就有投资者。朝鲜便是看准了这一点，对于各项目系统背后的软肋进行了攻击。所以只要市场上持继出现新的区块炼项目，加密货币仍然会对朝鲜有很大的吸引力。”McNamara对记者说。

本刊載內容版權為端傳媒或相關單位所有， 未經端傳媒編輯部授權，請勿轉載或複製，否則即為侵權。