韩国加密货币交易所因 Mogul 加密勒索软件攻击而被盗数亿美元

1个

标题：韩国加密货币交易所因 Mogul 加密勒索软件攻击而被盗数亿美元

概括：

韩国加密货币交易所因 Mogul 加密勒索软件攻击而被盗数亿美元

2020年3月2日，美国哥伦比亚特区检察官办公室工作人员Timothy J. Sia表示，某国公民田银银和李家栋涉嫌洗钱犯罪，涉及加密货币价值1亿美元。 所涉及的加密货币是 2018 年被东北亚某国黑客从四家加密货币交易所盗走的。 这些加密货币交易所主要位于韩国。

案件分类为：网络犯罪，金融诈骗，案号1:20-cv-00606，检方包括：美国检察官Timothy J. Shea、Chia Fallucci、Christopher B. Brown、Elizabeth Swayans、Jessica McCormick。 原检察官李友利（音译）参与了本案的翻译工作。

被控两项罪名：一是共同洗钱罪，二是未经批准非法从事汇款业务。

蒂莫西说，黑客攻击和洗钱对全球金融安全构成威胁。 这些行动是为了逃避联合国安理会和美国实施的制裁。

美国国税局刑事调查部门负责人唐福特表示，该部门已参与调查。

美国联邦调查局刑事调查部副主任卡尔文西尔维斯表示，该部门将尽最大努力打击金融犯罪。

西维斯称，2018年，东北亚某国黑客攻击一家虚拟货币交易所，盗走2.5亿美元虚拟货币。 涉案资金通过数百次自动资金转账进行洗钱，以防止执法机构追查资金来源。 黑客提供了伪造的照片和身份证明文件，从而规避了交易所关于披露交易者身份的规定。 洗出的部分资金被用于购买工具进行金融黑客攻击。

2017年12月至2019年4月韩国比特币被盗，田银银、李家栋共进行了价值1亿美元的洗钱活动，资金来自上述黑客。 田银银和李家栋为黑客提供了转账和获取服务费的账户。 两名被告在美国犯有金融犯罪，并且从未在金融犯罪执法网络登记。

起诉书称，黑客于 2019 年 11 月从韩国一家虚拟货币交易所窃取了价值 4850 万美元的虚拟货币。有证据表明，用于犯罪的部分设备位于东北亚的一个国家。

田银银、李家栋在作案中与拉撒路队有合作关系。 该组织成立于2007年，参与实施了魔洞加密勒索软件攻击，导致美国、加拿大和新西兰约30万台电脑出现故障。 孟加拉国中央银行被勒索了 8000 万美元。 成功导致英国公共卫生系统停摆，影响数千名患者就医，并导致英国损失1.12亿美元。

魔动加密勒索病毒利用“永恒之蓝”漏洞通过互联网攻击全球范围内运行Microsoft Windows操作系统的计算机。 该软件是加密勒索软件，也是蠕虫病毒。

该病毒使用AES-128和RSA算法对用户文件进行恶意加密以勒索比特币，并使用Tor软件进行通信。 它是 WanaCrypt0r 1.0 的变体。

田银银和李家栋用144.8694万美元购买了8823张苹果iTunes预付礼品卡，虚拟货币为比特币。 Apple iTunes 预付礼品卡被用来隐藏钱的去向。

起诉书称，2018 年年中，韩国虚拟货币交易所的一名员工在与未知客户的电子邮件通信中点击运行恶意软件。 运行后，对交易所的计算机系统进行了攻击。 软件攻击导致黑客获得远程控制权限，黑客利用远程控制权限获取私钥控制加密钱包。 黑客使用私钥从交易所窃取了总计 10,777.94 比特币（2.5 亿美元）、218,790 以太币（9,400 万美元）和 1.31 亿美元的其他虚拟货币。

在这些犯罪发生的同时，美国联邦调查局刑事侦查处对东北亚某国国际互联网出口的通信进行监测，发现国际互联网出口存在大量信息检索行为，并且涉及的信息包括：黑客、谷歌邮箱等黑客攻击、网络钓鱼、如何将以太币转换成比特币、韩国虚拟货币交易所的情况以及交易所首席执行官的个人情况。

监测信息作为证据。

执法部门聘请的第三方机构调查发现，虽然田银银、李家栋及其同伙的行为经过数百次转账后被隐藏，但这些行为仍被记录在区块链中。 虚拟货币最初是建立在区块链技术之上的。

黑客利用盗取的资金设立了Celas公司（网址：celasllc.com），并通过该公司提供电子邮件服务和虚拟货币交易服务。 celasllc.com上存在计算机病毒和Fallchill恶意软件，提醒不要从该网站下载或运行任何软件。 该网站和恶意软件与 2016 年对金融机构的另一次攻击有关。

黑客提供电子邮件服务的目的是发送数以千计的电子邮件，引诱收件人下载并运行恶意软件韩国比特币被盗，利用恶意软件获取用户的个人信息。

为了显得真实可靠，黑客还为 Celas 注册并编辑了各种社交媒体账户。 黑客将自己伪装成鹿特丹大学的毕业生，自称Wali Davis，并声称Wali Davis是Celas的员工。

同样由黑客创立的 Marin Chain 负责为该国的航运业提供加密货币服务。

起诉书称，APT38 组织设法窃取了 10 亿美元。 这些资金大部分用于导弹和核研发。

执法机关经侦查发现，嫌疑人使用的是虚拟个人网络软件，但其真实IP地址位于东北亚。

2018年7月至2019年4月，田银银、李家栋分别使用化名“snowsjohn”、“khaleesi”转账价值100812842.54美元的虚拟货币，或协助兑换成法币，收取手续费。

两名被告在创建 113 个虚拟货币账户时使用了真实世界的银行账户信息。 执法机构通过调查真实的银行账户发现了两名被告的真实身份。 113个虚拟货币账户被检察院查封。

第三方商业机构参与了本案的侦查，通过对涉案区块链的分析，获取了虚拟货币地址使用者的真实身份。 哥伦比亚特区联邦法院的检察官将调查结果作为证据提交。

嫌疑人还使用“剥离”技术来混淆资金通过区块链的流动。

起诉书称，Lazarus集团和APT38集团的上级主管部门是该地区的总调查局，共涉及35起涉及金额约20亿美元的行为。 从 2019 年开始，这两个组织的重点转移到虚拟货币上，攻击了四家虚拟货币交易所，其中三家位于韩国。

黑客窃取的虚拟货币在另外两家虚拟货币交易所（不是上述四家被攻击的虚拟货币交易所）汇入二被告人的账户。 其中一个帐户是：LLzTJFu3UcwXRrwaq2gLKnJaWWt3oGHVMK

田银银、李家栋将黑客汇出的虚拟货币兑换成法币，扣除手续费后，将法币汇给黑客。

田银银在第五、六家虚拟货币交易所的账号与他在广发银行的账号有关。 广发银行账户收到第五虚拟货币兑换账户汇款491笔，合计23388.997万元。

李家栋第五次虚拟币兑换的账户与其在农业银行、光大银行、中信银行、广发银行、民生银行、华夏银行、兴业银行、平安银行、浦发银行的账户有关。 李家栋的这些银行账户收到了来自第五虚拟货币兑换账户的汇款约2000笔，共计229,282,960.97元。

田银银在第六家虚拟货币交易所的账户上有与李家栋在第五家虚拟货币交易所的账户的交易信息，总额为2165.39个比特币。

被查封查封的虚拟货币账户如下：

1 113vSKMWvuM8Weee2neMScXqdtXFLvy8z7

2 12DCmGuX87aCzxCDneyAxZdVWapuza9UyR

3 12JSAKyUMFMFp2ao5Rqt3s3X4xrQMXMzkr

4 12urwZAF7JvdhiQcYVbNG7VtKP3165pPnf

5 13Bcq6AcWusG3YKsYadBRNwnfezUrhRDER

6 13u7zCciSC7yGKfe8qqvQxK7BnGiwpdAbQ

7 14jP1TjTjrFBVFKUMcGaPjGRHaWAK6QVr7

8 14umE3q9knsWKZhjPgLQyv4rrCNjfXpAuF

9 16RWbMVHvERVUjrh28rRugmrgeDW1nweoo

10 17PSv7hd2cvSmgMTFw8CA3hjdYtGWuPh98

11 18LX9wjgjDbmRZXYhDLzZWCQ3pkUGB6gFf

12 19RfkmQPS3wBF5XhjcZwnbpMkd96GoituJ

13 19V5YCatY8sfdNuskawrGmbrZEohLkqV3d

14 1Ax8m2gy1Ta6vQTMStnWdCh71oMX7Z4nen

15 1Bht2x8Y8tJLpXxqK9LX4ehtLNk6kh3FLk

16 1C3K6yYxr1xomotxkEbMLAcm3jVKDSyFBd

17 1C4hPundX3pBSiNbhkLpuLp246Ggc8gmwx

18 1C5S12fBSmeVedaEAqQzFf29H9hUucojPA

19 1JCWsAC86pokjDrvQsRWoU2jm9qA9Wc4qh

20 1K2FgtrdGk767RoLf8dN8tr5XsVc5st6RZ

21 1L5mPKvfKzGY2J99HtpoefxqbpLDxyMAZq

22 1LcsVyCd6yEyibDQS2WcxzTBT1iJGAqLhS

23 1MVkopW6PPWZtSAtP4295B6KfH93YKToZU

24 1Nmd7KBc3P6RgYcZ5n8ftdbw7z4jEzUSVj

25 1NMpPj2zUSPodncvZGp7owP2nttAgyFuY3

26 17UwTn7cVxu5ivkBnkPo83Gjtowi8dx75Q

27 1A3uGGvHFBauSmjZvdZFF6gjc8VSjgF7UY

28 1Bm659Wu5xVppUNRh7jKNFMboTbDepgmbm

29 18atn6kuyKzhnsWK554Uj6j1PAv3sPmx2p

30 18YNDeHouezsyxcvntohev9kANrMXiGBxr

31 1CD483mLYrMJwZF5drZnoPKSBbFTMSVvGf

32 1P8y7bj28tsq76anvKLgmhbbnTc1ZGcUVa

33 1Pa32FPFQJ5VdozwmMGE1ANNWVGB3XQJie

34 15pPmUErhTb8CaWF5x8iQggX3zK1y99ZN1

35 1EFWRRLUM3jy2poCpY7ALq2m7PPakyvns1

36 37JN1EDYCGYVabtofvyKKLtpA6uU3UBMLo

37 39PAYsdx2zi7GUhV71cx1zpp1N8495t58f

38 3ACmZQBNZsDDDs3UGoC6DeKMKHTe9RW1yu

案例 1：20-cv-00606 文档 1 归档于 03/02/20 第 36 页，共 3839 页 3AUHHS4NQjJRAMbjdkeTdLDv9ZFeA9n1o3

40 3GAwA7PvLiHKjcmN2nsrHEpN7Qt9jwMQ4h

41 3HoJydELfq2kyZk9M6yug6CLQmYCS7FrJj

42 3M23QTysjRsfmJz4aDdc9RpaXjVZmbWKEt

43 3Nis34RW9uGV5mbovNidNNsxRTWwwqb1PS

44 VCE10 用户 ID 36020326

45 VCE10 用户 ID 35802038

46 VCE10 用户 ID 35977393

47 VCE10 用户 ID 35978286

48 0x8bdd991a7b8e2fe1bfcb6b19ac3cf3e146cba415

49 VCE10 用户 ID 38785599

50 1FKMe2Nyue2SDufB4RciiXsEEpAxtuBxD3

51 0xc4f9ee31626c8dee0ec02744732051e8b416e63e

52 用户 ID 9fdbd2ca-3994-411b-9ddb-f5318b63049d 在 VCE3

53 VCE12 内部事务 ID Fnc4bjm7ehwhdk6h4d

54 VCE12 内部事务 ID pd7e8fxxkuy2gfge7f

55 1EfMVkxQQuZfBdocpJu6RUsCJvenQWbQyE

56 帐户 1000079600 在 VCE6

57 134r8iHv69xdT6p5qVKTsHrcUEuBVZAYak

58 14kqryJUxM3a7aEi117KX9hoLUw592WsMR

59 15YK647qtoZQDzNrvY6HJL6QwXduLHfT28

60 1F2Gdug9ib9NQMhKMGGJczzMk5SuENoqrp

61 1PfwHNxUnkpfkK9MKjMqzR3Xq3KCtq9u17

62 帐户 1000021204 在 VCE6

63 0xA4b994F1bA984371ecCA18556Fe1531412D5C337

64 用户 k******@****** 在 VCE1

65 17UVSMegvrzfobKC82dHXpZLtLcqzW9stF

66 19YVKCETP8yHX2m2VbEByVgWgJUAZd5tnS

VCE5 的 67 个用户 ID 458281 和 4582819

68 1AXUTu9y3H8w4wYx4BjyFWgRhZKDhmcMrn

69 1Hn9ErTCPRP6j5UDBeuXPGuq5RtRjFJxJQ

VCE5 的 70 个用户 ID 1473600 和 14736005

71 39eboeqYNFe2VolLC3mUGx4dh6GNhLB3D2q

72 39fhoB2DohisGBbHvvfmkdPdShT75CNHdX

73 3E6rY4dSCDW6y2bzJNwrjvTtdmMQjB6yeh

74 3EeR8FbcPbkcGj77D6ttneJxmsr3Nu7KGV

75 3HQRveQzPifZorZLDXHernc5zjoZax8U9f

76 3JXKQ81JzBqVbB8VHdV9Jtd7auWokkdPgY

77 3KHfXU24Bt3YD5Ef4J7uNp2buCuhrxfGen

78 3LbDu1rUXHNyiz4i8eb3KwkSSBMf7C583D

79 3MN8nYo1tt5hLxMwMbxDkXWd7Xu522hb9P

案例 1：20-cv-00606 文档 1 归档于 03/02/20 第 37 页，共 3880 页 3N6WeZ6i34taX8Ditser6LKWBcXmt2XXL4

81 LLzTJFu3UcwXRrwaq2gLKnJaWWt3oGHVMK

82 0x01facd1477e6df9e27fe9f0a459aaa0769c9af82

83 用户 881051 在 VCE7

84 3F2sZ4jbhvDKQdGbHYPC6ZxFXEau2m5Lqj

85 0X7175D1FA4461676AB8831483770FF84483F26501

86 VCE 11 帐户 14167009

87 0X93D8EDBC42E547C571CE5AF95F70C291D706925C

88 VCE 11 帐号 14166934

89 0XB35DFF36FF3D686A63353FA01327F3FF4874CF21

90 帐户 14166961 在 VCE 11

91 BC1Q39HKR7TA25E65D7U0PM09L99JVFNY4LP3VAM4Q

92 0X81B34F7A426B31E77E875B8D00D830F8A5B044CB

93 用户 Davidni Colin DC3 在 VCE4

94 0XFC3D6AEE062C45B31E946BA49A7AA5ADDF1B53C6

VCE4 上的 95 个用户 Ep4444

96 0XBD72F2CFB28ED38B7CEA94E26603983CE028C927

97 用户 Sma414 在 VCE4

98 17KS1C6DxViF68YaSAhWUrnaCtxzbMq7CB

99 1MP62xKDtbL79wQ8f8LbAg9dPpUHFTEVbJ

100 1GsAS3z7eG4Vw2QbyVqnR7cRQmpeRsCpt1

101 1K7cMd9RgwhThXi6VDu3Roti2W4241MLfG

102 1FhsTJ7hQKvpFXPRFFjsFPHQT4pQMQpgw1

103 1FzKR8XDmdrTRYfMcZRf3NPvSgyrUoG8kq

104 1AsHQhhCYwgd71cxnHA9a8dWeEh22ivdqn

105 1DZdJNQsEutzud3YX28DFXfzKVyEfoN8t2

106 1K83LzD1QR2iUVtHckFMUzdF3xUhtNdYb

107 1DX3zJV4djK9CgCP48Ym3LEryq5RVdhWH8

108 1EFNjtGnJ7WohXd8L17NGA4N5osKRj98QN

109 1EU4tNd1RbhDCfkiQrtj6nfzxeRxRA9rBm

110 17Wx3A1tmiTnxJ9FAq7em1n6SxtXSG4r5F

111 1QBbEUUhG7CRJzJrSEnUvwrycYZzKB8YEq

112 1K1fa3ydmpWMuX8gWHk5W6gnVFX7nGQJsu

113 0xC137c3135EB8E94aa303D52c607296Ba470E1a57

结尾：

概括：

韩国加密货币交易所因 Mogul 加密勒索软件攻击而被盗数亿美元