سرقت ۱.۴ میلیارد دلاری لازاروس از Bybit؛ رکورد جدید در ۲۰۲۴

از سونی تا Bybit: چگونه گروه لازاروس به ابرشرور دنیای کریپتو تبدیل شد

گروه لازاروس یک بازیگر اتفاقی در دنیای هک نیست؛ این گروه اغلب مظنون اصلی در سرقت‌های بزرگ کریپتو است. این گروه تحت حمایت دولت کره شمالی، میلیاردها دلار از صرافی‌ها سرقت کرده، توسعه‌دهندگان را فریب داده و حتی پیچیده‌ترین تدابیر امنیتی صنعت را دور زده است. در ۲۱ فوریه، آنها بزرگ‌ترین سرقت خود را انجام دادند: سرقت ۱.۴ میلیارد دلاری از صرافی ارز دیجیتال Bybit.

کارآگاه کریپتو، ZachXBT، لازاروس را مظنون اصلی معرفی کرد و حمله به Bybit را به هک ۸۵ میلیون دلاری Phemex مرتبط دانست. او همچنین این هکرها را به نفوذهای BingX و Poloniex متصل کرد و شواهد بیشتری را به ارتش سایبری کره شمالی افزود.

از سال ۲۰۱۷، گروه لازاروس حدود ۶ میلیارد دلار از صنعت کریپتو سرقت کرده است. طبق گزارش شرکت امنیتی Elliptic، این وجوه دزدیده شده برای تأمین مالی برنامه تسلیحاتی کره شمالی استفاده می‌شود. این گروه به عنوان یکی از پرکارترین سازمان‌های جنایتکار سایبری در تاریخ، عملیات و روش‌های پیچیده‌ای را در خدمت رژیم انجام می‌دهد.

چه کسانی پشت گروه لازاروس هستند و چگونه هک Bybit را انجام دادند؟ و چه روش‌های دیگری را به کار گرفته‌اند که تهدیدات مداومی را ایجاد می‌کند؟

ارتباط با سازمان اطلاعات کره شمالی

وزارت خزانه‌داری ایالات متحده ادعا می‌کند که لازاروس تحت کنترل اداره کل شناسایی کره شمالی (RGB)، آژانس اطلاعاتی اصلی رژیم، قرار دارد. سه هکر مظنون کره شمالی توسط اداره تحقیقات فدرال (FBI) به عنوان اعضای لازاروس (که به عنوان APT38 نیز شناخته می‌شود) معرفی شده‌اند.

در سپتامبر ۲۰۱۸، FBI پارک جین هیوک، یک شهروند کره شمالی و عضو مظنون لازاروس، را به برخی از بدنام‌ترین حملات سایبری تاریخ متهم کرد. پارک، که گفته می‌شود برای شرکت مشترک Chosun Expo، یک شرکت پوششی کره شمالی، کار می‌کرد، به هک سونی پیکچرز در سال ۲۰۱۴ و سرقت ۸۱ میلیون دلاری از بانک بنگلادش در سال ۲۰۱۶ مرتبط است. او همچنین به حمله باج‌افزار WannaCry 2.0 در سال ۲۰۱۷ که بیمارستان‌ها، از جمله خدمات بهداشت ملی بریتانیا را فلج کرد، مرتبط شده است.

محققان پارک و همدستانش را از طریق کدهای بدافزار مشترک، حساب‌های ذخیره‌سازی اعتبارنامه‌های دزدیده شده و خدمات پروکسی که آدرس‌های IP کره شمالی و چینی را پنهان می‌کردند، ردیابی کردند.

افزودن نام‌های جدید به فهرست مجرمان سایبری

در فوریه ۲۰۲۱، وزارت دادگستری اعلام کرد که جون چانگ هیوک و کیم ایل را به فهرست مجرمان سایبری متهم شده به دلیل نقش آنها در برخی از مخرب‌ترین نفوذهای سایبری جهان اضافه کرده است. هر دو به کار برای لازاروس، سازماندهی جرایم مالی مبتنی بر سایبر، سرقت ارزهای دیجیتال و پولشویی برای رژیم متهم هستند.

جون در توسعه و انتشار برنامه‌های مخرب ارز دیجیتال برای نفوذ به صرافی‌ها و مؤسسات مالی تخصص داشت و سرقت‌های گسترده را ممکن می‌ساخت. کیم در توزیع بدافزار، هماهنگی سرقت‌های مرتبط با کریپتو و سازماندهی ICO جعلی Marine Chain نقش داشت.

ارتباط با برنامه تسلیحاتی کره شمالی

چند هفته قبل از هک Bybit، رهبر کره شمالی، کیم جونگ اون، از یک تأسیسات تولید مواد هسته‌ای بازدید کرد و خواستار گسترش زرادخانه هسته‌ای کشور فراتر از برنامه‌های تولید فعلی شد. در ۱۵ فوریه، ایالات متحده، کره جنوبی و ژاپن بیانیه‌ای مشترک صادر کردند و تعهد خود را به خلع سلاح هسته‌ای کره شمالی تأیید کردند. پیونگ‌یانگ به سرعت این اقدام را در ۱۸ فوریه به عنوان "مضحک" رد کرد و بار دیگر وعده داد که نیروهای هسته‌ای خود را تقویت کند. سه روز بعد، لازاروس دوباره حمله کرد.

در محافل امنیتی، اثر انگشت لازاروس اغلب تقریباً بلافاصله، حتی قبل از تأیید تحقیقات رسمی، شناسایی می‌شود. "من توانستم با اطمینان، به صورت خصوصی، در عرض چند دقیقه پس از انتقال ETH از کیف پول Bybit، بگویم که این موضوع به کره شمالی مربوط می‌شود، فقط به دلیل داشتن یک اثر انگشت و TTP [تاکتیک‌ها، تکنیک‌ها و روش‌ها] منحصر به فرد در زنجیره،" Fantasy، مسئول تحقیقات در شرکت بیمه کریپتو Fairside Network، به Cointelegraph گفت.

روش‌های هک و پولشویی

در حمله به Bybit، هکرها یک حمله فیشینگ پیچیده را برای نفوذ به امنیت Bybit سازماندهی کردند و صرافی را فریب دادند تا انتقال ۴۰۱,۰۰۰ اتر (ETH) (۱.۴ میلیارد دلار) را به کیف پول‌های تحت کنترل آنها تأیید کند. با پنهان کردن عملیات خود پشت یک نسخه جعلی از سیستم مدیریت کیف پول Bybit، مهاجمان به طور مستقیم به دارایی‌های صرافی دسترسی پیدا کردند.

پس از سرقت وجوه، ماشین پولشویی فعال شد و هکرها دارایی‌ها را در کیف پول‌های واسطه‌ای پراکنده کردند. محققان Chainalysis گزارش می‌دهند که بخش‌هایی از وجوه دزدیده شده به بیت کوین (BTC) و دای (DAI) تبدیل شده‌اند و از صرافی‌های غیرمتمرکز، پل‌های زنجیره‌ای و خدمات مبادله بدون احراز هویت مانند eXch استفاده کرده‌اند. eXch از مسدود کردن وجوه غیرقانونی مرتبط با سوءاستفاده Bybit خودداری کرده است.

استراتژی‌های پیچیده برای دور زدن نظارت

بخش قابل توجهی از دارایی‌های دزدیده شده در چندین آدرس پارک شده باقی می‌مانند، که یک استراتژی عمدی است که اغلب توسط هکرهای وابسته به کره شمالی برای مقاومت در برابر نظارت شدید استفاده می‌شود. علاوه بر این، هکرهای کره شمالی اغلب وجوه دزدیده شده خود را به بیت کوین تبدیل می‌کنند. مدل خروجی تراکنش خرج نشده (UTXO) بیت کوین ردیابی را پیچیده‌تر می‌کند و تجزیه و تحلیل قانونی را بسیار دشوارتر از سیستم مبتنی بر حساب اتریوم می‌سازد. این شبکه همچنین میزبان خدمات میکسینگ است که لازاروس از آنها استفاده می‌کند.

هکرهای کره شمالی حملات خود به صنعت کریپتو را تشدید کرده‌اند و در سال ۲۰۲۴، ۱.۳۴ میلیارد دلار را در ۴۷ حمله غارت کرده‌اند که بیش از دو برابر ۶۶۰.۵ میلیون دلار سرقت شده در سال ۲۰۲۳ است.

تهدیدات مداوم برای اکوسیستم کریپتو

شرکت امنیتی مستقر در نیویورک اضافه می‌کند که سرقت از طریق نفوذ به کلیدهای خصوصی همچنان یکی از بزرگ‌ترین تهدیدات برای اکوسیستم کریپتو باقی مانده و ۴۳.۸٪ از تمام هک‌های کریپتو در سال ۲۰۲۴ را تشکیل می‌دهد. این روش در برخی از بزرگ‌ترین نفوذهای مرتبط با گروه لازاروس کره شمالی، مانند حمله ۳۰۵ میلیون دلاری به DMM Bitcoin و هک ۶۰۰ میلیون دلاری Ronin، به کار گرفته شده است.

در حالی که این غارت‌های پر سر و صدا تیتر خبرها را به خود اختصاص می‌دهند، هکرهای کره شمالی همچنین در فریب‌های طولانی مدت مهارت دارند - استراتژی‌ای که به جای تکیه بر سودهای ناگهانی، جریان نقدی ثابتی را فراهم می‌کند. "آنها همه را، هر چیزی را، برای هر مقدار پول هدف قرار می‌دهند. لازاروس به طور خاص بر روی این هک‌های بزرگ و پیچیده مانند Bybit، Phemex و Alphapo متمرکز است، اما آنها تیم‌های کوچکتری دارند که کارهای کم‌ارزش‌تر و دستی‌تر مانند مصاحبه‌های شغلی مخرب یا جعلی را انجام می‌دهند،" Fantasy گفت.

نفوذ به شرکت‌ها و سرقت هویت

Microsoft Threat Intelligence یک گروه تهدید کره شمالی را که "Sapphire Sleet" می‌نامد، به عنوان یک بازیگر کلیدی در سرقت ارزهای دیجیتال و نفوذ به شرکت‌ها شناسایی کرده است. نام "Sapphire Sleet" از طبقه‌بندی مبتنی بر آب و هوای این شرکت فناوری پیروی می‌کند و "sleet" ارتباطات با کره شمالی را نشان می‌دهد. خارج از مایکروسافت، این گروه به عنوان Bluenoroff، زیرگروهی از لازاروس، شناخته می‌شود.

آنها با جعل هویت سرمایه‌گذاران خطرپذیر و استخدام‌کنندگان، قربانیان را به مصاحبه‌های شغلی جعلی و کلاهبرداری‌های سرمایه‌گذاری می‌کشانند و با استفاده از بدافزار، کیف پول‌های کریپتو و داده‌های مالی را سرقت می‌کنند و در عرض شش ماه بیش از ۱۰ میلیون دلار به دست می‌آورند.

کره شمالی همچنین هزاران کارگر فناوری اطلاعات را در روسیه، چین و فراتر از آن مستقر کرده است و با استفاده از پروفایل‌های تولید شده توسط هوش مصنوعی و هویت‌های دزدیده شده، مشاغل پردرآمد فناوری را به دست می‌آورند. پس از ورود، آنها مالکیت معنوی را سرقت می‌کنند، کارفرمایان را اخاذی می‌کنند و درآمدها را به رژیم منتقل می‌کنند.

یک پایگاه داده کره شمالی که توسط مایکروسافت افشا شده است، رزومه‌های جعلی، حساب‌های تقلبی و سوابق پرداخت را فاش کرده و یک عملیات پیچیده را نشان می‌دهد که از تصاویر بهبود یافته توسط هوش مصنوعی، نرم‌افزار تغییر صدا و سرقت هویت برای نفوذ به کسب‌وکارهای جهانی استفاده می‌کند.

در آگوست ۲۰۲۴، ZachXBT شبکه‌ای از ۲۱ توسعه‌دهنده کره شمالی را افشا کرد که با نفوذ به استارتاپ‌های کریپتو، ماهانه ۵۰۰,۰۰۰ دلار درآمد کسب می‌کردند. در دسامبر ۲۰۲۴، یک دادگاه فدرال در سنت لوئیس کیفرخواست‌هایی را علیه ۱۴ شهروند کره شمالی به اتهام نقض تحریم‌ها، کلاهبرداری اینترنتی، پولشویی و سرقت هویت صادر کرد.

تهدیدات امنیتی مداوم و تلاش‌های بین‌المللی برای مقابله

این افراد برای Yanbian Silverstar و Volasys Silverstar، شرکت‌های تحت کنترل کره شمالی که در چین و روسیه فعالیت می‌کنند، کار می‌کردند تا شرکت‌ها را فریب دهند و آنها را برای کار از راه دور استخدام کنند. در طول شش سال، این عوامل حداقل ۸۸ میلیون دلار درآمد کسب کردند و برخی موظف بودند ماهانه ۱۰,۰۰۰ دلار برای رژیم تولید کنند.

تا به امروز، استراتژی جنگ سایبری کره شمالی یکی از پیچیده‌ترین و سودآورترین عملیات‌های جهان باقی مانده و ادعا می‌شود که میلیاردها دلار را به برنامه تسلیحاتی رژیم منتقل کرده است. علیرغم افزایش نظارت از سوی مجریان قانون، آژانس‌های اطلاعاتی و محققان بلاکچین، گروه لازاروس و زیرمجموعه‌های آن به تطبیق و اصلاح تاکتیک‌های خود برای فرار از شناسایی و حفظ جریان‌های درآمد غیرقانونی خود ادامه می‌دهند.

با سرقت‌های رکوردشکن کریپتو، نفوذ عمیق به شرکت‌های فناوری جهانی و شبکه رو به رشد عوامل فناوری اطلاعات، عملیات سایبری کره شمالی به یک تهدید دائمی برای امنیت ملی تبدیل شده است. سرکوب چند آژانسی دولت ایالات متحده، از جمله کیفرخواست‌های فدرال و میلیون‌ها دلار پاداش، نشان‌دهنده تلاش‌های فزاینده برای قطع جریان مالی پیونگ‌یانگ است. اما همانطور که تاریخ نشان داده است، لازاروس بی‌رحم است؛ تهدیدات ارتش سایبری کره شمالی هنوز به پایان نرسیده است.