گروه لازاروس: ابرشرور دنیای ارزهای دیجیتال

مقدمه

گروه لازاروس، یکی از شناخته‌شده‌ترین و پرنفوذترین سازمان‌های سایبری در تاریخ، به عنوان یک نیروی مخرب در دنیای ارزهای دیجیتال ظهور کرده است. این گروه به دلیل روش‌های پیچیده و برنامه‌ریزی دقیق خود، توانسته است میلیاردها دلار از صنعت کریپتو را به سرقت ببرد. با توجه به ارتباطات این گروه با کره شمالی، تهدیداتی که از سوی آنها متوجه امنیت جهانی می‌شود، روز به روز بیشتر می‌شود. در این مقاله، به بررسی هویت این گروه و بزرگ‌ترین حمله آنها به صرافی بایبیت خواهیم پرداخت.

هویت اعضای گروه لازاروس

طبق گزارش‌های ارائه شده توسط وزارت خزانه‌داری ایالات متحده، گروه لازاروس تحت کنترل اداره کل شناسایی کره شمالی (RGB) قرار دارد که به عنوان آژانس اصلی اطلاعاتی این رژیم شناخته می‌شود. در این راستا، سه هکر مظنون به عنوان اعضای این گروه توسط اداره تحقیقات فدرال (FBI) شناسایی و معرفی شده‌اند. برخی از این اعضا به حملات سایبری معروفی همچون هک سونی پیکچرز و سرقت 81 میلیون دلاری از بانک بنگلادش متهم شده‌اند.

یکی از این هکرها، پارک جین هیوک است که به عنوان یکی از اعضای کلیدی گروه لازاروس شناخته می‌شود. او به دلیل ارتباطاتش با شرکت‌های پوششی کره شمالی، به این حملات بزرگ متهم شده است. علاوه بر او، دو هکر دیگر به نام‌های جان چانگ هیوک و کیم ایل نیز به فهرست متهمان سایبری افزوده شده‌اند که در برخی از بزرگ‌ترین نفوذهای سایبری جهان نقش داشته‌اند. این افراد به توسعه و توزیع نرم‌افزارهای مخرب برای نفوذ به صرافی‌ها و نهادهای مالی پرداخته‌اند.

چگونه بزرگ‌ترین حمله گروه لازاروس انجام شد

در تاریخ 21 فوریه، گروه لازاروس موفق به انجام یکی از بزرگ‌ترین سرقت‌های تاریخ شد و 1.4 میلیارد دلار از صرافی بایبیت را به سرقت برد. این حمله به صورت یک حمله فیشینگ پیچیده طراحی شده بود که در آن هکرها با فریب صرافی، موفق به انتقال 401,000 اتر به کیف پول‌های تحت کنترل خود شدند. آنها با استفاده از نسخه تقلبی سیستم مدیریت کیف پول بایبیت، به دارایی‌های این صرافی دسترسی پیدا کردند.

پس از سرقت این وجوه، هکرها با استفاده از روش‌های پیچیده‌ای به شستشوی پول‌ها پرداختند و دارایی‌ها را در کیف پول‌های میانجی پخش کردند. گزارش‌ها نشان می‌دهد که بخشی از این وجوه به بیت‌کوین و دای (DAI) تبدیل شده و از طریق صرافی‌های غیرمتمرکز و پل‌های بین زنجیره‌ای منتقل شده است. این استراتژی به هکرها کمک کرده است تا از زیر نظر بودن نهادهای نظارتی دور بمانند و از شناسایی شدن جلوگیری کنند.

استراتژی‌های شستشوی پول

گروه لازاروس با استفاده از مدل UTXO بیت‌کوین، ردیابی دارایی‌های خود را برای محققان دشوارتر کرده است. این مدل به هکرها اجازه می‌دهد تا به راحتی دارایی‌های سرقت شده را مخلوط کرده و از شناسایی شدن جلوگیری کنند. همچنین، استفاده از خدمات میکسینگ در شبکه بیت‌کوین، به عنوان یکی از روش‌های متداول این گروه، به پیچیدگی‌های بیشتری منجر شده است.

پروژه‌های اجتماعی مهندسی گروه لازاروس

هکرهای کره شمالی به‌طور جدی به حملات خود بر روی صنعت ارزهای دیجیتال ادامه می‌دهند. در سال 2024، آن‌ها موفق به سرقت 1.34 میلیارد دلار از طریق 47 حمله مختلف شدند که این رقم بیش از دو برابر 660.5 میلیون دلار سرقت شده در سال 2023 است. مطابق با گزارش‌های منتشر شده، نفوذ به کلیدهای خصوصی یکی از بزرگ‌ترین تهدیدات برای اکوسیستم ارزهای دیجیتال محسوب می‌شود و 43.8 درصد از تمامی هک‌ها در سال 2024 را تشکیل می‌دهد. این روش در برخی از بزرگ‌ترین سرقت‌ها مرتبط با گروه لازاروس استفاده شده است، مانند حمله 305 میلیون دلاری به DMM Bitcoin و هک 600 میلیون دلاری Ronin.

در حالی که این سرقت‌های بزرگ توجه رسانه‌ها را جلب می‌کنند، هکرهای کره شمالی همچنین در انجام فعالیت‌های طولانی‌مدت و تدریجی مهارت بالایی پیدا کرده‌اند. این استراتژی به آن‌ها اجازه می‌دهد که به‌جای تکیه بر یک بار سرقت بزرگ، درآمد ثابتی را به دست آورند.

استراتژی‌های فریبنده و پیچیده

گروه لازاروس در حملات خود، به‌ویژه در زمینه استخدام‌های جعلی و مصاحبه‌های شغلی، به‌طور خلاقانه‌ای عمل می‌کند. آن‌ها با جعل هویت به عنوان سرمایه‌گذاران و کارفرمایان، قربانیان را به مصاحبه‌های شغلی جعلی کشانده و از این طریق بدافزارهایی را برای سرقت کیف‌پول‌های دیجیتال و اطلاعات مالی آن‌ها مستقر می‌کنند. به‌طوری‌که در شش ماه، آن‌ها توانسته‌اند بیش از 10 میلیون دلار از این طریق به‌دست آورند.

توسعه‌دهندگان در پوشش‌های مختلف

گروه لازاروس همچنین هزاران کارمند IT را در کشورهای مختلف از جمله روسیه و چین مستقر کرده است. این افراد با استفاده از پروفایل‌های تولید شده توسط هوش مصنوعی و هویت‌های سرقتی، به شغل‌های پردرآمد در صنعت فناوری راه پیدا می‌کنند. پس از ورود به این شرکت‌ها، آن‌ها به سرقت مالکیت معنوی، اخاذی از کارفرمایان و انتقال درآمدهای خود به رژیم می‌پردازند. یک پایگاه داده لو رفته از کره شمالی که توسط مایکروسافت کشف شده، شامل رزومه‌های جعلی و حساب‌های تقلبی است که نشان‌دهنده وجود یک عملیات پیچیده با استفاده از تصاویر تقویت شده توسط هوش مصنوعی و نرم‌افزارهای تغییر صدا برای نفوذ به کسب‌وکارهای جهانی است.

تحلیل‌های امنیتی و واکنش‌های جهانی

در آگوست 2024، یکی از محققان امنیتی به نام زک زبیت، شبکه‌ای متشکل از 21 توسعه‌دهنده کره شمالی را که ماهانه 500,000 دلار درآمد داشتند، افشا کرد. این افراد با نفوذ به استارتاپ‌های ارز دیجیتال، به سرقت اطلاعات و دارایی‌های دیجیتال مشغول بودند. همچنین در دسامبر 2024، دادگاهی در سنت لوئیس ایالات متحده، 14 ملیت کره شمالی را به اتهام نقض تحریم‌ها، کلاهبرداری مالی، پولشویی و سرقت هویت متهم کرد. این افراد برای شرکت‌های تحت کنترل کره شمالی در چین و روسیه کار می‌کردند و در طی شش سال، حداقل 88 میلیون دلار درآمد کسب کرده بودند، به‌طوری‌که برخی از آن‌ها موظف به تولید 10,000 دلار در ماه برای رژیم بودند.

با توجه به این فعالیت‌های پیچیده و مستمر، استراتژی جنگ سایبری کره شمالی به یکی از پیشرفته‌ترین و سودآورترین عملیات‌ها در جهان تبدیل شده است و به‌طور مداوم میلیاردها دلار به برنامه‌های تسلیحاتی رژیم کمک می‌کند. با وجود افزایش نظارت از سوی نهادهای قانونی، گروه لازاروس و زیرمجموعه‌های آن به تطبیق و بهبود شیوه‌های خود ادامه می‌دهند تا از شناسایی دور بمانند و منابع درآمد غیرقانونی خود را حفظ کنند.