گروه هکری لازاروس؛ بزرگترین سارقان ارزهای دیجیتال

در این مقاله، حملات هکری گروه سایبری لازاروس بررسی شده است. این گروه به‌ عنوان بزرگ‌ترین سارقان ارزهای دیجیتال شناخته شده و به دلیل فعالیت‌هایی خلاف قوانین در دنیای سایبری، شهرت گسترده‌ای دارد.

براساس اسنادی که توسط سازمان‌های بزرگ اطلاعاتی و امنیتی ارائه شده، گروه لازاروس به طور مستقیم به کشور کره شمالی وابسته است. این گروه با حمایت این کشور، ۱۰۴ شرکت برجسته در ۳۱ کشور مختلف را هدف حملات خود قرار داده است؛ از جمله این اهداف، می‌توان به سونی، بانک بنگلادش، صرافی‌ها و شرکت‌های رمزارز اشاره کرد.

اهداف اصلی لازاروس شامل سرقت ارزهای دیجیتال، به منظور حمایت از طرح‌های هسته‌ای کره شمالی می‌باشد. گروه لازاروس، از رمزارزهای دزدیده‌شده برای تامین هزینه‌های خود از جمله برنامه‌های موشکی هسته‌ای و بالستیک استفاده می‌کند. گزارش‌های وزارت خزانه‌داری ایالات متحده نشان می‌دهد که لازاروس بیش از ۲.۷۸ میلیارد دلار ارز دیجیتال از صرافی‌ها و شرکت‌های بزرگ رمزارز به سرقت برده است.

شیوه‌های هک و سرقت گروه لازاروس

طبق بررسی‌های انجام شده توسط مرکز پاسخگویی امنیتی AhnLab (ASEC)، گروه لازاروس به سرورهای وب سرویس اطلاعات اینترنت ویندوز (IIS) حمله و از آن‌ها به عنوان نقاط توزیع بدافزار خود استفاده می‌کند. وب سرور IIS، یک راه‌حل وب سرور مایکروسافت است که برای میزبانی وب سایت‌ها و خدمات برنامه‌نویسی به‌کار می‌رود.

گروه لازاروس با استفاده از تکنیک watering hole، با تروجان‌ها و اپلیکیشن‌های مخرب، کیف‌پول‌ رمرزارزها را هک می‌کند. این گروه، حملات گسترده‌ای به پلتفرم‌ها و سیستم‌ها، شبکه‌ها و صرافی‌های ارز دیجیتال انجام داده است. در یک نوع حمله دیگر، ابتدا گروه لازاروس وب‌سایت‌ها را هک کرده و محتوای ارائه شده از سایت را تغییر می‌دهند. سپس، زمانی که سیستمی با استفاده از نسخه آسیب‌پذیر INISAFE CrossWeb از این وب‌سایت بازدید می‌کند، بدافزار لازاروس (SCSKAppLink.dll) از سایت، توزیع و نصب می‌شود.

مرکز ASEC توصیه می‌کند که اگر سیستم‌ها دارای نسخه‌های آسیب‌پذیر از INISAFE CrossWeb EX V3 هستند، آن‌ها را حذف کرده و به آخرین نسخه آن‌ها را به‌روزرسانی کنند. این شرکت امنیتی پیش‌تر از این حملات، حملاتی علیه وب‌سرورهای ویندوز را گزارش داده بود. در آن زمان، مهاجمان از وب‌سرورهای ضعیف مدیریت نشده یا آسیب‌پذیر به عنوان نقاط دسترسی اولیه استفاده می‌کردند.

میزان سرقت گروه هکری لازاروس از پلتفرم‌های مختلف

گروه لازاروس تاکنون بیش از ۲ میلیارد دلار ارز دیجیتال را سرقت کرده است. این حملات شامل هک‌های مختلفی به صرافی‌های ارز دیجیتال و سرقت‌های اتریوم، بیت‌کوین و ارزهای دیگر می‌شود. حمله به صرافی آپ بیت در سال ۲۰۱۹، حمله به صرافی Liquid.com سال ۲۰۲۱، حمله به بریج رونین و حمله به deBridge در سال ۲۰۲۲ بخشی از حملات این گروه می‌باشند.

همچنین، در یک حمله به نام «عملیات شغل رویایی» در سال ۲۰۲۰، کارمندان شرکت‌های دفاعی و هوا و فضا در آمریکا مورد هدف قرار گرفته بودند. سرقت از صرافی کوکوین در سال ۲۰۲۱، به تنهایی موجب سرقت رمزارزهایی به ارزش ۲۷۵ میلیون دلار شد.

همچنین، لازاروس با هک Ronin Network، ۶۲۵ میلیون دلار سرقت کرده است.

در آوریل ۲۰۲۲، وزارت خزانه‌داری ایالات متحده و FBI، گروه لازاروس را به سرقت بیش از ۶۱۷ میلیون دلار ارزهای اتریوم و USDC از بازی مبتنی بر بلاک‌چین Axie Infinity مرتبط کردند. بعدها مشخص شد که هکرها به عنوان بخشی از این حمله، یک فایل PDF آلوده به کد مخرب را با پیشنهاد محصول کاری پرسود به یکی از مهندسان بلاک‌چین ارسال کرده بودند. همچنین، در ژوئن ۲۰۲۲، با هک شبکه Harmony Horizon، توانستند ۱۰۰ میلیون دلار ارز اتریوم را به سرقت ببرند.

به گزارش شرکت تجزیه و تحلیل زنجیره‌بلاک چینالیسیس، هکرهای لازاروس در سال ۲۰۲۲، ۱.۷ میلیارد دلار از ارزهای دیجیتال را سرقت کردند. این مقدار تقریبا چهار برابر رکورد قبلی کره شمالی در سال ۲۰۲۱ (۴۲۹ میلیون دلار) بود. دارایی‌های سرقت‌شده ۴۴٪ از مجموع ۳.۸ میلیارد دلار به دست آمده از هک‌ها در سال گذشته را تشکیل می‌دهد.

دو هفته پس از اطلاع دادن به مشتریان JumpCloud  از ابطال کلیدهای API، حمله‌ای به زنجیره تامین متمرکز بر روی پلتفرم‌های رمزارز و بلاک‌چین شده است. محققان SentinelLabs در یک پست وبلاگ در تاریخ 20 جولای 2023 اعلام کردند که اندیکاتورهای مشکوکی که توسط JumpCloud منتشر شده‌اند با گروه لازاروس مرتبط هستند.

نیروهای انفرادی و شرکت‌های امنیت سایبری در سراسر جهان در تلاش برای ردیابی دارایی‌های سرقت‌شده هستند؛ با این حال، طبیعت متمایز و ناشناس ارزهای دیجیتال یک مانع مهم است.

ارتباط گروه لازاروس با برنامه‌های هسته‌ای کره شمالی

تکنیک مخصوص گروه لازاروس شامل سرقت اموال و سپس انتقال این دارایی‌ها به طول زنجیره‌های بلاک مختلف و استفاده از راه‌هایی برای جلوگیری از ردیابی آن‌ها می‌باشد.

کارشناسان معتقدند که کره شمالی برای مقابله با تحریم‌های شدید، به سرقت ارزهای دیجیتال روی آورده‌ است تا برنامه‌های اسلحه‌ هسته‌ای خود را تامین کند. کره شمالی با رهبری کیم جونگ‌اون، تاکنون شش بار آزمایش هسته‌ای انجام داده‌ است. انتظار می‌رود که در سال جاری آزمایش هسته‌ای هفتم را نیز انجام دهد. براساس گفته‌ها، کره شمالی تقریبا 6000 هکر دارد که در بیش از 150 کشور فعالیت می‌کنند. به گفته وزارت خزانه دولت ایالات متحده، برخی کارکنان حوزه IT کره شمالی در طول یک سال حقوقی به مبلغ ۳۰۰،۰۰۰ دلار یا بیشتر دریافت می‌کنند.

علی‌رغم مشکلات اقتصادی خود، کره شمالی همچنان موشک‌ها را پرتاب کرده و برای آزمایش‌های هسته‌ای آماده می‌شود. این امر به نظر کارشناسان نشان از افزایش طمع کره شمالی در حوزه هسته‌ای است. بیشتر درآمد حاصل از این فعالیت‌های جنایی به‌احتمال زیاد به بودجه دفاع ملی، برای تامین هزینه‌های آزمایش‌های هسته‌ای و موشکی اختصاص می‌یابد.

گزارش شورای امنیت سازمان ملل متحد در سال 2019 بیان کرد که از سال 2016، کره شمالی به‌طور روز‌افزون بر روی هک کردن جهت تولید درآمد برای خزانه کشورش متکی شده است. 10درصد از تولید ناخالص داخلی کره شمالی از جرم‌های سایبری به‌ویژه کلاهبرداری و دزدی تامین می‌شود. صنعت رمزارز این کشور اغلب با جرم مرتبط است و حمایت دولتی دارد.