[董毅智律师]董案 | 神秘的Lazarus集团，朝鲜的“外汇天团”（下）

上篇提及拉撒路集团所作知名案件之一的孟加拉央行大劫案，目前美国就主谋进行起诉，认为三位朝鲜男性为共谋。

外界推断，三人已回朝鲜。

上图为FBI所通缉的朝鲜黑客，姓名为朴镇赫JinHyok Park，另外曾用名还有PakJin Hek, Pak KwangJin，美国警方认为，其为拉撒路集团的主要犯罪分子，并参与主导了孟加拉银行盗窃案以及其他网络黑客抢劫案件。（孟加拉央行盗窃案可见上篇）

早在2018年，司法部就已经对朴镇赫提起刑事诉讼，179页的起诉书指控称其正是此前众多恶意软件攻击与入侵活动的背后参与者之一，具体包括：

2017年WannaCry勒索软件爆发。2016年尝试入侵美国国防承包商洛克希德马丁公司。2016年孟加拉国中央银行网络劫案。2014年索尼电影娱乐入侵活动。2014年入侵美国连锁影院AMC Theatres与Mammoth Screen。多年来针对韩国新闻媒体、银行与军事实体的一连串黑客攻击。2015年至2018年期间进行的一系列全球银行黑客活动。

DOJ认为，朴镇赫面上为一名政府雇员，曾在朝鲜世博会合资企业（KEJV）工作了十多年，这家公司为朝鲜与韩国政府共同建立的合资企业，旨在建立各类电子商务与彩票网站。目前韩国方面已经退出合作，但朝鲜政府继续通过多名个人管理这家公司，并发布包括在线游戏与博彩服务在内的各类在线内容。该公司被美国OFAC列为制裁公司，认为属于对美国国家安全、外交政策或经济的威胁。

KEJV在朝鲜与中国都设有办事处，而朴镇赫则在该公司位于大连市的驻中国办事处工作多年。

据BBC报道称，根据FBI截获的一份电邮显示，朴镇赫在大连住了8年之后，似乎急着想要回平壤于自己的未婚妻完婚，然而该计划被索尼案件所打破。

今年2月17日美国司法部通报的信息显示，同一时间被美国起诉的还有两位朝鲜男性，JonChang Hyok ()，31岁；金日（），27岁。DOJ认为，这三位为朝鲜军事情报机构侦察总局RGB的成员，而该机构主要从事犯罪黑客活动，DOJ认为相关的犯罪集团包括拉撒路集团还有AdvancedPersistent Threat 38 (APT38)（该计划被认为是朝鲜通过网络犯罪在交易所窃取加密货币以资助该国武器计划）。

外界认为，上述三人在被美国通缉前已经返回朝鲜。

具体的网络犯罪指控计划包括：

对娱乐业的网络攻击：2014 年 11 月，索尼影业遭到破坏性的网络攻击，以报复虚构刺杀朝鲜领导人的电影《采访》；2014 年 12 月又以 AMC 剧院为目标，因该剧院计划放映这部电影；2015 年对 Mammoth Screen 的入侵，因该公司正在制作一个虚构电视剧，但其中涉及一名在朝鲜被俘的英国核科学家。（注：该部黑色讽刺喜剧由塞斯·罗根（SethRogen）和詹姆斯·法兰科（JamesFranco）主演，对朝鲜领导人金正恩极尽嘲讽，而且故事围绕一场虚构的刺杀行动展开。）

对银行进行网络抢劫：从 2015 年到 2019 年，试图入侵银行计算机网络，并向全球银行间金融电信协会(SWIFT)发送欺诈性信息，包括从越南、孟加拉国、台湾、墨西哥、马耳他和非洲的银行窃取了总额超过 12 亿美元。网络ATM盗窃：通过ATM提现而进行的盗窃——美国政府称为“FASTCash”——包括2018年10月从巴基斯坦伊斯兰银行有限公司(Bank Islami)盗窃了610万美元。勒索软件和网络勒索：2017年5月创建了破坏性的WannaCry2.0勒索软件，以及2017年至2020年对不同公司进行了勒索和计划勒索，其中涉及盗窃敏感数据和埋伏其他勒索软件。恶意加密货币应用程序的创建和部署：从 2018 年 3 月到至少 2020 年 9 月，开发多个恶意加密货币应用程序——包括 Celas Trade Pro、WorldBit-Bot、iCryptoFx、Union Crypto Trader、Kupay Wallet、CoinGo Trade、Dorusio、CryptoNeuro Trader 和Ants2Whale——为朝鲜黑客提供进入受害者计算机的方式。针对加密货币公司进行盗窃加密货币：数百家加密货币公司被其盗窃了价值数千万美元的加密货币，其中包括 2017 年 12 月来自一家斯洛文尼亚加密货币公司的 7500 万美元；2018 年 9 月，来自印尼一家加密货币公司的 2490 万美元；以及 2020 年 8 月来自纽约一家金融服务公司的 1180 万美元，其中黑客使用恶意的 Crypto Neuro Trader 应用程序作为后门。鱼叉式网络钓鱼活动：从 2016 年 3 月到 2020 年 2 月，针对美国国防承包商、能源公司、航空航天公司、技术公司、美国国务院和美国国防部的员工进行了多次鱼叉式网络钓鱼活动。Marine Chain 代币和初始代币发行：在 2017 年和 2018 年开发和营销 Marine Chain 代币，使投资者能够购买由区块链支持的海运船舶的部分所有权权益，这将使朝鲜能够秘密地从投资者那里获得资金，控制海运船舶的利益，逃避美国的制裁。

（图片来源：TRENDMICRO，为截至2018年拉撒路集团活动的时间表，2018年后其更多转向加密货币）

DOJ另外起诉了一名加拿大裔美国公民，这位37岁的Ghaleb Alaumary对洗钱指控进行认罪，其中包括ATM“提现”操作和朝鲜黑客的银行抢劫提供网络支持，罪名最高可判处20年监禁。

在2018年，Alamary组织了美国和加拿大的同谋，对通过ATM提现业务获得的数百万美元进行洗钱，其中包括BankIslami和印度的一家银行。在2019年2月，Aaumary还与Ramon Olorunwa Abbas（又名“Ray Hushpuppi”）和其他人在一起朝鲜实施的网络抢劫案中洗钱。不过在去年夏天，Abbas已经在另一起洗钱案件中被起诉。

除了刑事指控之外，FBI还与国土安全部、财政部合作，发布了一份关于朝鲜加密货币恶意软件的联合网络安全咨询和恶意软件分析报告，再次强调了朝鲜政权对加密货币构成了网络威胁。

在此基础上，美国检察官办公室和FBI还获得了扣押令，授权FBI扣押朝鲜黑客从受害者（纽约的一家金融服务公司）手中窃取的加密货币以还给受害者。这些加密货币被存于两家加密货币交易所，按市值计算总计约190万美元。