در این مقاله، حملات هکری گروه سایبری لازاروس بررسی شده است. این گروه به عنوان بزرگترین سارقان ارزهای دیجیتال شناخته شده و به دلیل فعالیتهایی خلاف قوانین در دنیای سایبری، شهرت گستردهای دارد.
براساس اسنادی که توسط سازمانهای بزرگ اطلاعاتی و امنیتی ارائه شده، گروه لازاروس به طور مستقیم به کشور کره شمالی وابسته است. این گروه با حمایت این کشور، ۱۰۴ شرکت برجسته در ۳۱ کشور مختلف را هدف حملات خود قرار داده است؛ از جمله این اهداف، میتوان به سونی، بانک بنگلادش، صرافیها و شرکتهای رمزارز اشاره کرد.
اهداف اصلی لازاروس شامل سرقت ارزهای دیجیتال، به منظور حمایت از طرحهای هستهای کره شمالی میباشد. گروه لازاروس، از رمزارزهای دزدیدهشده برای تامین هزینههای خود از جمله برنامههای موشکی هستهای و بالستیک استفاده میکند. گزارشهای وزارت خزانهداری ایالات متحده نشان میدهد که لازاروس بیش از ۲.۷۸ میلیارد دلار ارز دیجیتال از صرافیها و شرکتهای بزرگ رمزارز به سرقت برده است.
طبق بررسیهای انجام شده توسط مرکز پاسخگویی امنیتی AhnLab (ASEC)، گروه لازاروس به سرورهای وب سرویس اطلاعات اینترنت ویندوز (IIS) حمله و از آنها به عنوان نقاط توزیع بدافزار خود استفاده میکند. وب سرور IIS، یک راهحل وب سرور مایکروسافت است که برای میزبانی وب سایتها و خدمات برنامهنویسی بهکار میرود.
گروه لازاروس با استفاده از تکنیک watering hole، با تروجانها و اپلیکیشنهای مخرب، کیفپول رمرزارزها را هک میکند. این گروه، حملات گستردهای به پلتفرمها و سیستمها، شبکهها و صرافیهای ارز دیجیتال انجام داده است. در یک نوع حمله دیگر، ابتدا گروه لازاروس وبسایتها را هک کرده و محتوای ارائه شده از سایت را تغییر میدهند. سپس، زمانی که سیستمی با استفاده از نسخه آسیبپذیر INISAFE CrossWeb از این وبسایت بازدید میکند، بدافزار لازاروس (SCSKAppLink.dll) از سایت، توزیع و نصب میشود.
مرکز ASEC توصیه میکند که اگر سیستمها دارای نسخههای آسیبپذیر از INISAFE CrossWeb EX V3 هستند، آنها را حذف کرده و به آخرین نسخه آنها را بهروزرسانی کنند. این شرکت امنیتی پیشتر از این حملات، حملاتی علیه وبسرورهای ویندوز را گزارش داده بود. در آن زمان، مهاجمان از وبسرورهای ضعیف مدیریت نشده یا آسیبپذیر به عنوان نقاط دسترسی اولیه استفاده میکردند.
گروه لازاروس تاکنون بیش از ۲ میلیارد دلار ارز دیجیتال را سرقت کرده است. این حملات شامل هکهای مختلفی به صرافیهای ارز دیجیتال و سرقتهای اتریوم، بیتکوین و ارزهای دیگر میشود. حمله به صرافی آپ بیت در سال ۲۰۱۹، حمله به صرافی Liquid.com سال ۲۰۲۱، حمله به بریج رونین و حمله به deBridge در سال ۲۰۲۲ بخشی از حملات این گروه میباشند.
همچنین، در یک حمله به نام «عملیات شغل رویایی» در سال ۲۰۲۰، کارمندان شرکتهای دفاعی و هوا و فضا در آمریکا مورد هدف قرار گرفته بودند. سرقت از صرافی کوکوین در سال ۲۰۲۱، به تنهایی موجب سرقت رمزارزهایی به ارزش ۲۷۵ میلیون دلار شد.
همچنین، لازاروس با هک Ronin Network، ۶۲۵ میلیون دلار سرقت کرده است.
در آوریل ۲۰۲۲، وزارت خزانهداری ایالات متحده و FBI، گروه لازاروس را به سرقت بیش از ۶۱۷ میلیون دلار ارزهای اتریوم و USDC از بازی مبتنی بر بلاکچین Axie Infinity مرتبط کردند. بعدها مشخص شد که هکرها به عنوان بخشی از این حمله، یک فایل PDF آلوده به کد مخرب را با پیشنهاد محصول کاری پرسود به یکی از مهندسان بلاکچین ارسال کرده بودند. همچنین، در ژوئن ۲۰۲۲، با هک شبکه Harmony Horizon، توانستند ۱۰۰ میلیون دلار ارز اتریوم را به سرقت ببرند.
به گزارش شرکت تجزیه و تحلیل زنجیرهبلاک چینالیسیس، هکرهای لازاروس در سال ۲۰۲۲، ۱.۷ میلیارد دلار از ارزهای دیجیتال را سرقت کردند. این مقدار تقریبا چهار برابر رکورد قبلی کره شمالی در سال ۲۰۲۱ (۴۲۹ میلیون دلار) بود. داراییهای سرقتشده ۴۴٪ از مجموع ۳.۸ میلیارد دلار به دست آمده از هکها در سال گذشته را تشکیل میدهد.
دو هفته پس از اطلاع دادن به مشتریان JumpCloud از ابطال کلیدهای API، حملهای به زنجیره تامین متمرکز بر روی پلتفرمهای رمزارز و بلاکچین شده است. محققان SentinelLabs در یک پست وبلاگ در تاریخ 20 جولای 2023 اعلام کردند که اندیکاتورهای مشکوکی که توسط JumpCloud منتشر شدهاند با گروه لازاروس مرتبط هستند.
نیروهای انفرادی و شرکتهای امنیت سایبری در سراسر جهان در تلاش برای ردیابی داراییهای سرقتشده هستند؛ با این حال، طبیعت متمایز و ناشناس ارزهای دیجیتال یک مانع مهم است.
تکنیک مخصوص گروه لازاروس شامل سرقت اموال و سپس انتقال این داراییها به طول زنجیرههای بلاک مختلف و استفاده از راههایی برای جلوگیری از ردیابی آنها میباشد.
کارشناسان معتقدند که کره شمالی برای مقابله با تحریمهای شدید، به سرقت ارزهای دیجیتال روی آورده است تا برنامههای اسلحه هستهای خود را تامین کند. کره شمالی با رهبری کیم جونگاون، تاکنون شش بار آزمایش هستهای انجام داده است. انتظار میرود که در سال جاری آزمایش هستهای هفتم را نیز انجام دهد. براساس گفتهها، کره شمالی تقریبا 6000 هکر دارد که در بیش از 150 کشور فعالیت میکنند. به گفته وزارت خزانه دولت ایالات متحده، برخی کارکنان حوزه IT کره شمالی در طول یک سال حقوقی به مبلغ ۳۰۰،۰۰۰ دلار یا بیشتر دریافت میکنند.
علیرغم مشکلات اقتصادی خود، کره شمالی همچنان موشکها را پرتاب کرده و برای آزمایشهای هستهای آماده میشود. این امر به نظر کارشناسان نشان از افزایش طمع کره شمالی در حوزه هستهای است. بیشتر درآمد حاصل از این فعالیتهای جنایی بهاحتمال زیاد به بودجه دفاع ملی، برای تامین هزینههای آزمایشهای هستهای و موشکی اختصاص مییابد.
گزارش شورای امنیت سازمان ملل متحد در سال 2019 بیان کرد که از سال 2016، کره شمالی بهطور روزافزون بر روی هک کردن جهت تولید درآمد برای خزانه کشورش متکی شده است. 10درصد از تولید ناخالص داخلی کره شمالی از جرمهای سایبری بهویژه کلاهبرداری و دزدی تامین میشود. صنعت رمزارز این کشور اغلب با جرم مرتبط است و حمایت دولتی دارد.
شیما یزدانی نویسنده محتوا و معاملهگر (تریدر) در زمینه ارزهای دیجیتال هستم. دارای مدرک دکتری مکانیک (گرایش تبدیل انرژی) از دانشگاه حکیم سبزواری و 4 سال سابقه در امر ...