هک Bybit؛ لازاروس رکورد زد، کره شمالی در کمین کریپتو

فعالیت‌های هکری کره شمالی فراتر از گروه لازاروس است: Paradigm

در فوریه، هکرهای کره شمالی با بزرگ‌ترین هک تاریخ کریپتو خبرساز شدند. گروه لازاروس حداقل ۱.۴ میلیارد دلار از Bybit سرقت کرد و سپس این وجوه را به میکسرهای کریپتو منتقل کرد. Samczsun، شریک تحقیقاتی در Paradigm، در یک پست وبلاگی یادآور شد: «کسی بزرگ‌ترین هک تاریخ [کریپتو] را انجام داده بود و ما از نزدیک شاهد آن بودیم.» این محقق گفت که آنها سرقت را به صورت لحظه‌ای مشاهده کردند و با Bybit برای تأیید دسترسی غیرمجاز همکاری کردند. Samczsun با SEAL 911، یک واحد واکنش اضطراری وابسته به Security Alliance، یک سازمان غیرانتفاعی که به امنیت سیستم‌های غیرمتمرکز اختصاص دارد، همکاری می‌کرد.

اما این حملات فقط به گروه لازاروس محدود نمی‌شود. فعالیت‌های سایبری کره شمالی فراتر از آنچه قبلاً تصور می‌شد، پیچیده‌تر است. درک نادرستی درباره نحوه «طبقه‌بندی و نام‌گذاری» عملیات این گروه وجود دارد. در حالی که اصطلاح «گروه لازاروس» به صورت عامیانه پذیرفته شده است، بحث درباره نحوه مدیریت عملیات سایبری تهاجمی جمهوری دموکراتیک خلق کره (DPRK) نیاز به دقت بیشتری دارد.

اکوسیستم هکری کره شمالی

گروه لازاروس به اصطلاح ترجیحی رسانه‌ها برای توصیف فعالیت‌های سایبری DPRK تبدیل شده است. محققان امنیت سایبری «تعیینات دقیق‌تری» ایجاد کرده‌اند تا نشان دهند کدام گروه‌ها در فعالیت‌های خاص مشارکت دارند. اکوسیستم هکری DPRK تحت اداره کل شناسایی (RGB) فعالیت می‌کند که شامل چندین گروه متمایز است: AppleJeus، APT38، DangerousPassword و TraderTraitor. این گروه‌ها با روش‌های هدف‌گیری و قابلیت‌های فنی خاص خود عمل می‌کنند.

TraderTraitor، که به عنوان پیشرفته‌ترین عامل DPRK در هدف‌گیری صنعت کریپتو شناخته می‌شود، بر صرافی‌های با ذخایر بزرگ تمرکز دارد و از تکنیک‌های پیشرفته استفاده می‌کند. این گروه با استفاده از پیشنهادات شغلی جعلی، Axie Infinity را به طور موفقیت‌آمیزی نفوذ کرد و WazirX را دستکاری کرد. AppleJeus در حملات پیچیده زنجیره تأمین تخصص دارد، از جمله هک 3CX در سال ۲۰۲۳ که به طور بالقوه ۱۲ میلیون کاربر را تحت تأثیر قرار داد. در همین حال، DangerousPassword از طریق ایمیل‌های فیشینگ و پیام‌های مخرب در پلتفرم‌هایی مانند تلگرام، مهندسی اجتماعی سطح پایین‌تری را انجام می‌دهد.

زیرگروه‌های هکری و توصیه‌های امنیتی

یک زیرگروه دیگر، APT38، در سال ۲۰۱۶ از لازاروس جدا شد و بر جرایم مالی تمرکز کرد. این گروه ابتدا بانک‌های سنتی را هدف قرار داد و سپس توجه خود را به پلتفرم‌های کریپتو معطوف کرد. در سال ۲۰۱۸، OFAC برای اولین بار به «کارگران فناوری اطلاعات کره شمالی» اشاره کرد که در سال ۲۰۲۳ توسط محققان به عنوان «مصاحبه مسری» و «Wagemole» شناسایی شدند. این گروه‌ها از طریق طرح‌هایی فعالیت می‌کنند که در آن عوامل تهدید یا به عنوان استخدام‌کنندگان ظاهر می‌شوند یا سعی می‌کنند توسط شرکت‌های هدف استخدام شوند.

در حالی که DPRK توانایی خود را در استفاده از حملات روز صفر نشان داده است، هیچ «حادثه ثبت‌شده یا شناخته‌شده‌ای» از استفاده مستقیم آن علیه صنعت کریپتو وجود نداشته است. Samczsun گفت که محقق از شرکت‌های کریپتو خواست تا اقدامات امنیتی اساسی مانند دسترسی با حداقل امتیاز، احراز هویت دو مرحله‌ای و جداسازی دستگاه‌ها را اجرا کنند. اگر اقدامات پیشگیرانه شکست بخورند، ارتباط با گروه‌های امنیتی مانند SEAL 911 و واحد DPRK اف‌بی‌آی نیز مفید خواهد بود.

Samczsun نوشت: «هکرهای DPRK تهدیدی رو به رشد برای صنعت ما هستند و ما نمی‌توانیم دشمنی را که نمی‌شناسیم یا درک نمی‌کنیم، شکست دهیم.»