18億元台幣被駭轉出！遠東商銀10/3日內部電腦遭駭客植入後門，至今仍有1500萬台幣追不回

遠東商銀傳出遭到駭客入侵，高達6000萬美元（18億元台幣）遭分拆數筆，轉往柬埔寨、斯里蘭卡等地，創下國內銀行體系遭駭最高金額。不過銀行方面拒絕證實遭駭金額，僅表示至今多數款項已經追回，目前僅有50萬美元（1500萬台幣）還在追蹤中。

這起事件，駭客是利用 SWIFT（Society for Worldwide Interbank Financial Telecommunications，環球銀行間金融電訊網路）這個各金融機構進行跨國匯款的媒介。SWIFT是銀行之間統一的標準作業模式，透過這個機制可以讓不同國家的不同銀行，用相同格式、語言，進行資金匯款。

而遠東銀行是在10/3日核對帳務時發現帳務異常，資訊部門發現內部的SWIFT系統遭到駭客植入病毒，進行虛擬交易將多筆款項匯往海外帳戶。之後會同趨勢科技、微軟等專家來對系統進行盤查，刪除遭到植入的病毒以及後門。遠東銀行表示因為事件剛開始的狀況不是很清楚，因此直到10/5才通報金管會。

SWIFT的匯款機制有多種，某些代號僅能匯至銀行，某些代號則是匯至特定帳號（受益人）。所幸這次遠銀大多數款項都是被匯至銀行，而收款方的銀行因為並沒有被指定匯入戶頭，因此這些匯款都會變成無主款項，這些錢仍然在SWIFT體系內，因此遠銀可以透過機制向受款方銀行追回這些款項，錢並不會不見，因此至今已經追回大部分的筆數。

而遠東商銀也懷疑這起事件是有人想利用SWIFT機制來洗錢，指在第一時間除主動通報金管會，也已經向調查局通報疑似洗錢交易。

針對這起事件，金管會也發出說明如下：

(一)依遠東銀行清查因屬虛偽交易，不是從個別客戶帳戶匯出資金，故客戶沒有損失。未來若有損失，全額由該行承擔，故客戶權益不受影響。金管會已要求該行立即強化網路安全防禦。 

(二)金管會於10月5日接獲遠東銀行通報SWIFT系統異常後，已請其他銀行進行清查；依其他銀行回報結果，SWIFT系統均屬正常。

(三)為加強金融機構資訊安全維護，金融機構除應依「金融機構辦理電子銀行業務安全控管作業基準」等規定辦理外，金管會並要求各銀行在連續假期應注意以下事項：

1. 加強各類異常情形之監控，包括資訊系統異動、防毒防駭事件警訊、internet存取紀錄、派版軟體及病毒碼更新設備等之監控處置。

2. 原則禁止遠端連線。即禁止由外部連線至銀行內部營運區進行系統維護作業，若真有緊急需要，應加強監控管理，例如身分驗證、授權人工確認等。

3. 防止駭客透過內部系統入侵，將交易系統設定與SWIFT系統脫鉤(即自動化介接機制改為人工處理)。

4. 為加強管控通匯交易，交易金額大於一定金額以上者，要求call back確認。

金管會表示，資訊安全是金融機構須面對並重視之課題，金管會將持續督促金融機構強化資訊安全防護。

遠銀遭駭傳被盜走6000萬美元，遠銀：損失可能小於50萬美元

遠東商銀遭到駭客入侵，傳出駭客利用SWIFT交易前後兩波盜走6000萬美元，遠銀周五發佈重大訊息澄清，在積極追回匯款後，損失可望小於50萬美元，或完全追回款項。

根據遠銀的重大訊息聲明，因遭到駭客以電腦病毒入侵，導致SWIFT交易異常，經查發現被植入電腦病毒，已以防毒程式清除，受影響的SWIFT交易款項則積極追回，遠銀並向司法單位報案且通報金管會，向SWIFT聯盟、資安公司請求協助。

國內媒體報導駭客前後兩次共盜走6000萬美元，損失高達18億台幣，但遠銀並未說明被盜損失金額，僅表示發現被駭後立即透過通匯行向受匯行追回款項，損失可能小於50萬美元，甚至完全追回。為防範未來類似事件再次發生，已加強SWIFT交易內控機制，並和資安公司合作強化網路安全防護。

金管會也發出聲明，指遠銀被駭產生虛擬交易，並非從個別客戶的帳號匯出金額，因此該行客戶並沒有損失，未來若有損失應由銀行負責，金管會並要求遠銀強化網路安全。而在接到遠銀通報後，金管會已要求其他銀行檢查，其他銀行並沒有發現SWIFT交易異常的情形。

因明天開始國慶連假，金管會依「金融機構辦理電子銀行業務安全控管作業基準」要求銀行業者在連假期間密切注意，監控系統的異常情形，例如網路的異常存取、軟體更新、系統異動、防毒事件警訊等等，並應禁止從外部連到銀行內部進行系統維護，如果有其必要，需加強身份驗證，另外，為防駭客入侵，應將交易設定和SWIFT脫勾，從自動化處理改為人工處理。通匯交易超過一定金額，應做好再次確認。

此次遠銀被駭，駭客入侵的手法還不得而知，去年3月孟加拉銀行也曾被駭，駭客取得相關憑證，利用SWIFT交易匯款盜走高達1億美元，這起事件引起SWIFT(環球金融電信協會)的注意，要求會員銀行加強網路安全，避免再被駭客利用SWIFT交易盜走鉅額款項。

銀行體系遭駭最高金額？很明顯野菜國銀行非常不錯！很容易入侵！

被駭18億 遠銀竟無人工覆核

遠東商銀爆發嚴重資安漏洞，被駭客盜轉6010.4萬美元（約18.25億台幣），儘管遠銀已陸續追回，估損失不超過50萬美元（約1518萬台幣），但金管會主委顧立雄昨下令，要檢查局進駐遠銀進行金檢，且要求遠銀本周提出報告找資安漏洞；刑事局也將協助數位鑑識還原遠銀遭駭電腦，釐清駭客入侵手法及途徑，並追查來源。

遠銀SWIFT（環球銀行間金融電訊網路）系統本月3日遭駭客植入惡意程式，取得轉帳憑證，並發出匯款通知給受託銀行，擬透過中介銀行轉到駭客指定的銀行帳戶，金額達6010.4萬美元，主要匯往柬埔寨、斯里蘭卡及美國。

遠銀5日察覺數筆匯款資料異常，清查後發現被盜轉，緊急通知受託銀行匯回款項，並向刑事局、調查局報案，因發現時間早，多數款項已追回。

顧立雄昨表示，遠銀遭駭事件，第一時間接獲通報後，就要求各銀行進行資安檢視，尤其就SWIFT系統是否有駭客入侵的情況盤查，目前回報只有遠銀一家。他說，過去國外也有駭客侵入SWIFT系統，並非單一個案，判斷「應是國際駭客所為」。

不過，顧立雄也下令檢查局進駐遠銀，徹底進行資安金檢，並請遠銀本周提出完整報告找出資安漏洞，未來是否會處分遠銀，將等金檢報告出來後再判斷。他也說，金管會在今年底前會建置完成「資安聯防體系」，透過預警系統來提升資安層級。

稱個資未受影響

金管會官員透露：「此事件凸顯出遠銀資安漏洞，尤其本月3日遠銀向金管會通報電腦病毒事件，卻未全面檢視匯款系統，且一般銀行SWIFT系統發出匯款通知，只要有大額交易，都會增加一道人工覆核程序，遠銀並沒有這程序。」

刑事局昨表示，駭客集團將惡意程式植入遠銀SWIFT系統，盜轉後再將所有紀錄刪除滅證，除了遠銀，越南及孟加拉當地銀行，在去年、前年也曾發生過類似案件。目前遠東商銀已封存遭駭的電腦，刑事局科技研發單位協助數位鑑識還原，釐清駭客入侵手法及途徑，並追查來源身分。

遠銀執行副總林建忠說，所有客戶個資未受影響，銀行內部電腦系統已全部掃毒，並恢復正常運作，將與資安公司密切合作，讓系統運作盡速恢復正常，同時也會配合刑事局，防止類似案件發生。

「沒見過的病毒」

至於過去國際間曾發生過多起SWIFT系統遭駭，為何遠銀未注意，林建忠說，問題還在釐清中；遠銀負責資安的副總劉龍光補充說，據前來遠銀協助解決問題的資安公司證實，這次入侵電腦系統是外部病毒，從來沒有見過。

行政院發言人徐國勇昨表示，行政院長賴清德第一時間掌握資訊，指示相關單位盡速處理，並要求重新檢討擬定資安對策，不可再發生這樣事件。

入侵電腦系統是外部病毒，從來沒有見過？完全是廢話！如果早就知道是「病毒、木馬」，早就被「防毒軟體」發現，哪有可能會入侵成功！簡單的說，「防毒軟體」完全沒有任何用！駭客只要不斷做出「外部病毒，從來沒有見過」的「病毒、木馬」絕對就可以成功！

遠東商銀駭客案嫌犯抓到了！斯里蘭卡警方逮捕一名嫌犯，身分為當地國營企業主管

遠東商銀於本月3日SWIFT（環球銀行間金融電訊網路）系統遭到駭客植入惡意程式，高達6000萬美元被匯出多個國外銀行。金額遭分拆數筆，轉往柬埔寨、斯里蘭卡等地，創下國內銀行體系遭駭最高金額。現在這起案件有了最新進展，根據斯里蘭卡當地的報導，已經有一名嫌犯被捕。

根據法新社的報導，一名嫌犯意圖在斯里蘭卡的首都可倫坡的銀行提領匯入帳戶的鉅款時被捕。而這名被捕的嫌犯帳戶名稱為J.C. Nammuni，他同時也是斯里蘭卡某國營企業的高級主管，警方在J.C. Nammuni的辦公室，找到4百萬盧比現金，法院已批准凍結其銀行帳戶。

斯里蘭卡的警方先前在收到台灣方面的訊息後，就監視一筆金額為110萬美金的金額，從遠東商銀匯入到 J.C. Nammuni名下的帳戶。而警方追查該帳戶發現，J.C. Nammuni在本月4日已經從中先取款3千萬盧比，而在本月6日又前往Ceylon銀行取款8百萬盧比時，被警方逮捕。

而斯里蘭卡警方在追查銀行的監視器時，發現J.C. Nammuni在取款時，當時還有另外一人陪同，認為可能是共犯，目前警方正在追查這名嫌犯的下落。

不過值得注意的是，如果大家還記得的話，前幾天遠東商銀與金管會發佈訊息的時候曾經表示，「多數款項已經追回，目前僅有50萬美元（1500萬台幣）還在追蹤中。」這個數字顯然與斯里蘭卡警方發佈J.C. Nammuni帳戶所收到的110萬美元的數字不符合。

最大的一種可能是，J.C. Nammuni他們所駭的銀行不只一間，因此這110萬美元的來源不僅是遠東商銀一處，或是...我們還是繼續等待斯里蘭卡警方進一步的調查報告，再來下判斷吧。

趨勢建議：面對APT攻擊，縱深防禦是最佳的防禦

遠東銀行日前因SWIFT系統遭駭客入侵，險遭盜轉18億元，最後雖然成功追回大部分款項，但至截稿前，仍有1,500萬元流向不明，還在持續追回中。而從遠銀遭駭事件也凸顯出，臺灣金融業者的資安防護機制仍不夠嚴謹，才得以讓駭客有機可乘。趨勢科技資深技術顧問簡勝財則建議，面對難以察覺的進階持續性滲透攻擊（APT），金融企業在資安保護上，應採取多層次的縱深防禦機制，才能夠有效防堵和抵擋駭客攻擊。

簡勝財表示，這次遠銀SWIFT系統遭駭事件並不是首例，去年國外也有好幾起駭客入侵SWIFT系統的事件傳出，例如孟加拉銀行等，根據他的觀察，這幾起案件都採用類似的攻擊手法，都是利用APT手法進行的目標式攻擊，駭客先透過惡意程式入侵公司內網建立立足點後，再進行內網擴散，進而逐步取得重要系統的存取權限。

對於這類型的APT攻擊手法，簡勝財直言，銀行業者不能再只單靠傳統防護阻絕攻擊，例如只透過防毒軟體或防火牆等，他反而建議，企業必須要建立一套多層次的縱深防禦機制，透過層層安全機制的把關，才能夠有效防堵APT攻擊。

他表示，採用縱深防禦的好處是，一方面有助於提高駭客入侵的門檻，另一方面，當駭客真的入侵之後，仍有很高機會從駭客入侵內網擴散的過程中，找出可疑活動的跡象，早一步將損害降到最低。

簡勝財表示，防禦的作法上，首先，除了在網路閘道端布建防護機制，包括郵件、網頁防護等，另外針對內網最好也得建立網路流量檢測機制，以便於當駭客入侵後，可以從中找出可疑的駭客行為；而在一般電腦上也必須要做好足夠的防護，除了最基本的防毒軟體，還必須加上網頁頁面的檢查，以及行為監控機制，甚至還可以結合機器學習技術，加強電腦安全的保護。

伺服器則是另一項資安防護重點。簡勝財說，針對重要的伺服器設備，可以透過異動監控的軟體來進行管理和監控，找出是不是有一些奇怪的檔案被執行，或被安裝到伺服器上，甚至可以採用更嚴格的白名單機制，限制只能允許使用指定的應用程式，其他一律不得執行。

除了要建立縱深防禦外，簡勝財也強調，在資安防護上，企業必須投注更多資源，不單單只是添購資安產品，還包括得加強人員的管理和事件監控等。以SWIFT系統為例，簡勝財表示，銀行SWIFT系統，理論上應該要放置在實體隔離的網路環境，並也要設定存取控管權限，一般電腦並不能直接存取系統，而必須透過設定好的跳板機來連線才能用。另外，針對銀行內部重要的營運或交易系統，也必須加強執行異常事件監控，甚至即使是一些看似正常的事件，也需要進行分析跟過濾，比如一個員工登入成功的行為，也該分析其登入是否合理正常，以避免後續有更大的災情出現。

刑事局最新偵辦結果出爐：嫌犯還有3人，惡意程式達6支，損失降到15.65萬美元

刑事警察局13日下午，公布了遠東銀行SWIFT駭客入侵案的最新進展，嫌犯人數增加到5人，其中2名已遭逮捕羈押中。而惡意程式分析結果也有突破，惡意程式數量多找到了一支，累計有6支惡意程式。

刑事警察局在10月10日派員，帶著遠東銀行人員以被害人身分前往斯里蘭卡說明，處理扣押款項返還事項，也和斯里蘭卡警方進一步分享情資。

先前發現被匯往斯里蘭卡的款項有210萬4千美元，除了追回匯款外，目前刑事警察局派員到斯里蘭卡後確認，在斯里蘭卡被提領出來的金額有盧比3,000萬元（美元19.6萬元），而斯里蘭卡警方先後再10月6日和9日，各逮捕了1名嫌犯後，共查扣追回了盧比605萬元，還有盧比2395萬元遭盜領還位追回（美元15.65萬元。），目前也得知有3名分贓嫌犯在逃，包括了1名斯里蘭卡籍及2名印度籍共犯。

換句話說，先前發現駭客入侵SWIFT系統後盜轉金額高達6,010.4萬美元，當中分別有5,700萬美元匯往柬埔寨，210萬4千美元轉至斯里蘭卡，另外的100萬美元則匯往美國的銀行帳戶。

目前累計追回或查扣的金額累計達到5994.75萬元（99.74％），初步損失金額只有15.65萬美(約台幣470萬元），占遭盜轉款項金額的0.26%。

而在臺灣，刑事檢查局對析採證回來的SWIFT系統、電腦主機和伺服器分析工作，也有新進展，目前找出了11個可疑檔案，其中已分析出6個惡意程式，比先前公開的5個惡意程式（包括2個加密勒索木馬）還多了一個。刑事警察局也依流程通報行政院資通安全處轉由金管會將相關資料提供給國內金融機構。而駭客用來遙控木馬的中繼站境外IP，也依國際合作窗口轉報相關國際及歐洲刑警組織追查。

【遠東銀行遭駭追追追】權限控管超級重要！駭客入侵遠銀關鍵，就是這兩組帳密遭盜

遠東銀行遭駭盜轉18億元案發至今，雖然超過9成9的款項都已追回，但對企業IT部門、銀行CIO或資安圈而言，更重要的是找出駭客入侵銀行的手法，才能從中學到教訓，避免自己成為下一家的受害企業。但是，駭客如何入侵遠銀的細節，刑事警察局遲遲沒有透露更多細節，而臺灣參與調查的資安公司也因保密協定，而拒絕透露更多處理過程。

倒是，國外資安公司McAfee兩名資安研究人員，在12日發表了一篇「偽勒索軟體在台灣銀行搶案中的角色分析」一文，詳細透露了，他們分析遠東銀行一支惡意程式木馬後的結果，從程式碼中找到了2個遠東銀行的網管帳密，這正是駭客可以進一步入侵SWIFT系統的關鍵之一。
發表這篇分析的是McAfeeg首席工程師和科學家Christiaan Beek，以及McAfee網路安全部門院士兼總科學家Raj Samani。因為有位參與了遠銀入侵事件調查的不明人士，將一支惡意程式樣本上傳到了線上掃毒服務Virustotal，也讓這個惡意程式樣本曝光。McAfee正是取得了這個惡意程式樣本才能進行這次的分析。

刑事警察局早在在10月5日傍晚接獲遠銀報案後，就查扣了SWIFT系統、電腦主機等，13日時透露，已經從11個可疑程式中找出了6個惡意程式，但刑事警察局只有簡單描述這批惡意程式的功能，包括了散布、加密及遠端遙控功能，除了感染遠銀內部電腦，也會蒐集相關情資進行回報，並且加密部分電腦的檔案資料。刑事警察局以偵察不公開為由，只有簡單幾句話的說明，沒有透露更多細節，對於駭客如何入侵遠東銀行的管道也三緘其口。

反倒是根據McAfee最初接獲的消息（另一個McAfee沒有說明的來源），駭客入侵的起點，是一封附件藏有後門的釣魚郵件。McAfee也展示了這些釣魚信件的2張截圖，一張是釣魚郵件要求受害者打開一個偽造的「Docusign文件」存取網頁，另一個則是偽裝成一個加密PDF線上文件的開啟連結，但這些附件連結都是假冒的，只要受害者點選連結來開啟文件，都會轉向到一個惡意程式網站，來下載一個不明檔案到受害者的電腦中。McAfee透露了這個惡意網址 （資安公司已經將惡意程式檔名隱匿）。

資安公司McAfee公開了2張遠銀遭駭中關鍵釣魚信件附檔畫面。

若透過全球WHOIS查詢這個網址，註冊這個網址是位於孟加拉國首都達卡的一家公司，也就是2016年2月知名SWIFT遭駭事件案主孟加拉央行的所在地。不過，McAfee沒有透露這個網址是駭客所有，或者又是駭客所入侵的另一個跳板網站，不過，若瀏覽這個網站，就會看到一個偽造的Yahoo登入畫面，反映出這個網站可能目前還是一個釣魚網站。

回到駭客入侵手法上，當遠銀受害員工點選惡意附件，將惡意木馬下載到電腦後，這個惡意網站還另外藏了一個後門機制，可以讓犯罪者存取銀行內受害者的電腦系統。兩者結合下，讓攻擊者得以進入銀行的內部電腦，進一步取得系統的帳號密碼。McAfee研究員更從惡意程式樣本的程式碼分析中，找到了攻擊者手上的2組遠銀管理者帳密資料。

日前iThome從第三方取得6支惡意程式中的5支惡意程式的檔名，包括了bitsran.exe和RSW72CE內有加密勒索木馬RANSOM_HERMS.A之外，另外三支程式的檔名分別是msmpeng.exe（BKDR_KLIPOD.ZTEJ-A病毒）、splwow32.exe（BKDR_KLIPOD.ZTEJ-B病毒）和FileTokenBroker.dll（TROJ_BINLODR.ZTEJ-A病毒）。而McAfee分析的這支惡意程式樣本則是bitsran.exe。

McAfee反組譯這個惡意程式，還原程式碼後發現，遠銀事件攻擊者取得兩個帳號密碼，FEIB\SPUSER14和FEIB\scomadmin，惡意程式會在遭駭電腦中，建立了一個排程任務，並且監視電腦內建防毒軟體服務的運作。資安軟體一般不會將此視為惡意行為，但這卻是攻擊者用來找出銀行內部防毒軟體的部署情況，才能進一步刪除系統防毒服務，瓦解系統資安預警機制。

McAfee從反組譯惡意程式所找到的2組遠銀系統管理帳密，也反映出，駭客為了入侵遠銀內部系統而量身打造了這個專用惡意程式，還不斷利用這兩組帳號密碼來測試遠銀的其他系統，是否可以用同一組密碼入侵。

上周金管會也公布了派員進駐遠銀的初步調查結果，發現在權限管理上，遠銀沒有符合最小授權原則，而是給予最高權限。再加上遠銀的SWIFT伺服器也沒有落實實體隔離，可能基於作業方便與其他的電腦連結，雖然負責個人電文放行的工作站有隔離，但因主機沒有做好實體隔離，成為駭客入侵的管道。

綜合金管會和McAfee的分析，可以推測，正因駭客取得最高權限的帳密，又能連線到沒有採取實體隔離的SWIFT伺服器，攻擊者才能進一步控制SWIFT系統。這2組帳號正是這次遠銀遭駭盜轉事件的關鍵。

這支惡意程式還特別會排除三種語系，俄羅斯語系、烏克蘭語系和白俄羅斯語系，遇到這三種語系的系統就不會入侵，但這也可能是駭客故佈疑陣。另外McAfee發現，駭客所用的Hermes勒索加密軟體還只是一個開發中的版本，而不是原始的Hermes軟體。

遇到這三種語系的系統就不會入侵？因為這「三種語系」是自己的人，所以不能入侵自己人的電腦！

也可能是防範蜜罐系統，這幾種言語可能是俄羅斯防毒公司測試用

「蜜罐系統」是什麼？阿光我其實只會拍「美食寫真」，會用簡單的Mac電腦，其他都不會！

遠東商銀被駭18億，英資安專家疑北韓駭客集團所為

日前遠東國際商銀被駭，遭竊新台幣18億元。專營航太科技與國防工業的英國航太系統公司（BAE Systems）資安研究人員發布，指稱北韓駭客集團Lazarus可能涉入本起網路金融犯罪。

本月初遠東商銀SWIFT系統遭到駭客入侵，作案者將得手贓款分別匯至斯里蘭卡、美國、柬埔寨等銀行帳戶。刑事局日前透過國際合作，已在斯里蘭卡逮捕兩名嫌犯，其中正設法追查其他共犯，並針對駭客手法展開調查。

英國航太系統公司對惡意軟體的分析報告指出，本次的入侵手法具有北韓駭客集團Lazarus的特徵。研究人員表示，駭入遠東商銀的工具，與先前在墨西哥、波蘭數家銀行網路系統中發現的Lazarus惡意軟體相仿。此外，贓款匯往斯里蘭卡與柬埔寨，也與過去Lazarus的網路金融犯罪活動的目的地相同。

除了遠東商銀案件之外，研究人員認為北韓Lazarus組織可能也與去年孟加拉央行案件脫不了關係。去年2月孟加拉央行SWIFT系統也同樣遭駭，損失高達8,100萬美元。

曾駭入遠東商銀竊走 18 億的 北韓駭客組織 Lazarus 回來了，這次盯上的是各國比特幣交易所！

美國網路資安公司 Secureworks 表示，北韓 Lazarus 駭客集團正對英國一家加密貨幣公司展開釣魚式攻擊行動，其目的在於竊取比特幣行業內部人士的在線數據、賬本。

近日，比特幣身價已經來到了 18,000 美元，慶賀比特幣狂漲的不僅僅是投資者，還有整個北韓；北韓政府甚至可能為了這件事正在慶功，因為發了一筆橫財！網路安全公司 FireEye 亞太區技術總監 Bryce Boland 表示，比特幣價格正在不斷上升，北韓政府或在此賺取不少收入。

韓國網路安全局（Korea Internet and Security Agency，KISA）局長李東軍說：「北韓一直在攻擊虛擬貨幣交易所，竊取比特幣的數目我們尚無法掌握，但韓國警方已經證實了北韓政權的駭客行動。據悉，北韓駭客透過釣魚電子郵件，讓比特幣交易所內的員工電腦中毒，再竊取比特幣。

比特幣是一種加密貨幣，不受各國政府、機構監管，同時不會在銀行進行記名的金流紀錄，意味北韓能透過比特幣或者其他電子貨幣，來避開各國的經濟封鎖。Bryce Boland 表示，比特幣能迅速轉變成其他性質的電子貨幣，亦可在檯面下迅速轉換成真金白銀，從這角度來說絕對難以追蹤。

而近幾週美國政府正努力地，把北韓踢出國際金融體系，並且實施多項制裁手段，試圖掐住北韓發展武器金源的這項舉措，也許就是觸動北韓對比特幣產生行動的原因。

美國網路資安公司 Secureworks 和美國反恐局（Counter Threat Unit，CTU）研究人員就懷疑，與北韓政府存在關係的駭客組織 Lazarus 就正在幫助北韓政府竊取比特幣。

Lazarus 犯下的事件包括，2014 年 Sony 影業遭駭客攻擊事件、2016 年孟加拉銀行數據洩露事件、台灣遠東商銀交易系統被駭遭竊 18 億元等，共涉及全球 18 起金融機構網路攻擊事件，該組織在東南亞、歐洲銀行都留下不少攻擊痕跡。

鑑於目前比特幣價格的持續飛漲，CTU 就懷疑北韓會將苗頭轉向加密貨幣，並開展行動；藉此突破國際社會的經濟制裁，舒緩自己軍武研發上的壓力。 

 Lazarus 作法是，透過發出 Email 當中含有夾帶惡意程式的 Word 文件給這些特定人士，當使用者不經意啟用編輯之後，就會允許木馬病毒入侵電腦，搜尋並盜取裡面與比特幣有關的賬本、個人資訊。

這樣的手法被稱作魚叉式網路釣魚（Spear phishing）攻擊，以時間點來說推測始於今年 10 月 25 日，但據相關研究人員的追查，其攻擊活動應該可以追溯到 2016 年。 

最近發生的一起攻擊事件，來自英國的一間加密貨幣公司，Lazarus 製作了針對性的釣魚郵件，以擔任首席財務官（Chief Finance Officer，CFO）職位為餌，一步步引誘受害者點擊 Email 中的夾帶檔案和惡意連結，讓惡意代碼侵入後並安裝遠端遙控程式，並進一步下載其他惡意程式或被竊取私人數據。

資安研究人員指出，這是 Lazarus 慣用的伎倆，在 2016 年時他們也會從其他國際求職平台、獵人頭平台（招聘網站）上將相似的職位、職稱作餌，引誘使用者點開信件。

Secureworks 在給媒體的一份聲明中表示 Lazarus 此次的釣魚郵件，附帶的是一種新型的木馬程式，是為此次活動特別設計的病毒。但儘管如此，它依舊與 Lazarus在 之前活動中使用的惡意手法有一些共同點，比如依靠特定的程式協議去命令和控制伺服器進行資料傳遞，這樣換湯不換藥的手法，間接導致各國資安公司，依舊堅信這起攻擊出自 Lazarus 之手。

北韓一直以來都否認網路攻擊，更駁斥透過駭客攪亂全球金流運作。值得一提的是，平壤科學技術大學於今年 11 月曾邀請比特幣初創公司 Chainside 創始人 Federico Tenga 到平壤，講解有關虛擬貨幣的知識和其運作原理。

Bryce Boland 相信，北韓正培養人才操作虛擬貨幣，而國際的虛擬貨幣交易平台未來可能將受到更多的攻擊。