لازاروس: سایه شوم کره شمالی بر دنیای ارز دیجیتال و امنیت جهانی

22 خرداد 1404
ارسال شده توسط
اخبار
گروه هکری لازاروس چه کسانی هستند

در اعماق دنیای دیجیتال، جایی که کدهای صفر و یک، ثروت‌های میلیاردی را جابجا می‌کنند و آینده امور مالی را شکل می‌دههند، سایه‌ای تاریک و تهدیدآمیز در کمین است. این سایه نامی دارد که لرزه بر اندام بزرگترین صرافی‌ها، سرمایه‌گذاران و حتی دولت‌ها می‌اندازد: گروه هکری لازاروس. این گروه، که صرفاً یک تیم از مجرمان سایبری عادی نیست، بلکه بازوی دیجیتالی و ماشین جنگی اقتصادی یک دولت منزوی است، هنر سرقت را به سطحی بی‌سابقه از پیچیدگی و ویرانگری رسانده است.

آن‌ها تنها به دنبال پول نیستند؛ هر دلاری که از اکوسیستم رمزارزها به سرقت می‌رود، آجری است که دیوار برنامه تسلیحات هسته‌ای و موشکی کره شمالی را بالاتر می‌برد. این مقاله سفری عمیق به قلب تاریکی است؛ سفری برای شناخت بزرگترین تهدید سایبری دنیای رمزارزها، تشریح تاکتیک‌های مرگبار آن‌ها و ارائه راهکارهایی برای ساختن سنگری امن در برابر این اژدهای دیجیتال.

گروه هکری لازاروس کیست؟ از یک گروه خلافکار تا بازوی اقتصادی-نظامی یک دولت

برای درک مقیاس واقعی تهدید لازاروس، باید فراتر از تعریف یک «گروه هکری» فکر کنیم. لازاروس (Lazarus Group) که با نام‌های دیگری همچون APT38 نیز شناخته می‌شود، یک واحد عملیات سایبری پیشرفته و سازمان‌یافته است که مستقیماً تحت فرمان اداره کل شناسایی (RGB)( Reconnaissance General Bureau )، سازمان اطلاعاتی اصلی کره شمالی، فعالیت می‌کند. این وابستگی دولتی، که توسط وزارت خزانه‌داری آمریکا و نهادهای امنیتی متعدد تأیید شده است، لازاروس را از سایر مجرمان سایبری متمایز می‌کند. انگیزه آن‌ها سود شخصی نیست؛ بلکه بقا و پیشبرد اهداف استراتژیک یک کشور تحت شدیدترین تحریم‌های بین‌المللی است.

فعالیت این گروه از حدود سال 2009 آغاز شد و در ابتدا بر جاسوسی سایبری و حملات ایذایی علیه کره جنوبی متمرکز بود. اما با گذشت زمان و افزایش فشارهای اقتصادی بر پیونگ‌یانگ، مأموریت آن‌ها تغییر کرد. طبق گزارش‌های شورای امنیت سازمان ملل و تحلیل‌های شرکت‌های امنیتی پیشرو مانند Elliptic، لازاروس به ماشین تولید درآمد کره شمالی تبدیل شده است. سرقت بیش از 666 میلیارد دلار از دارایی‌های دیجیتال از سال 2017 تاکنون، گواهی بر این مدعاست. این مبلغ هنگفت، مستقیماً برای تأمین مالی برنامه‌های تسلیحات کشتار جمعی (WMD) و موشک‌های بالستیک هزینه می‌شود، موضوعی که هر حمله این گروه را به یک تهدید مستقیم برای امنیت جهانی تبدیل می‌کند.

مغزهای متفکر پشت پرده: چهره‌های شناخته‌شده لازاروس

اگرچه ساختار کامل لازاروس محرمانه باقی مانده، اما تلاش‌های بین‌المللی نهادهایی مانند FBI منجر به شناسایی برخی از اعضای کلیدی آن شده است:

  • پارک جین هیوک (Park Jin Hyok): یکی از اولین اعضای شناسایی‌شده که در حملات بزرگی مانند هک سونی پیکچرز (2014)، سرقت 81 میلیون دلاری از بانک مرکزی بنگلادش (2016) و انتشار باج‌افزار جهانی WannaCry (2017) نقش کلیدی داشت.
  • جان چانگ هیوک (Jon Chang Hyok): متخصص توسعه بدافزارهای پیچیده با هدف نفوذ به صرافی‌ها و نهادهای مالی.
  • کیم ایل (Kim Il): مسئول توزیع بدافزار و اجرای حملات فیشینگ هدفمند علیه پلتفرم‌های کریپتویی.

این افراد تنها نوک کوه یخ هستند. لازاروس از چندین زیرشاخه تخصصی تشکیل شده که هرکدام مأموریت مشخصی دارند:

  • BlueNorOff (APT38): واحد نخبه متخصص در سرقت‌های مالی در مقیاس بزرگ از بانک‌ها و صرافی‌ها.
  • Andariel: متمرکز بر جاسوسی از زیرساخت‌های حیاتی، به‌ویژه در کره جنوبی.
  • Kimsuky: واحد جاسوسی استراتژیک با هدف جمع‌آوری اطلاعات از اندیشکده‌ها، روزنامه‌نگاران و نهادهای دولتی.

این ساختار سلولی و تخصصی به لازاروس اجازه می‌دهد تا همزمان چندین عملیات پیچیده را در سراسر جهان مدیریت کند و از شناسایی بگریزد.

آناتومی حملات لازاروس: زرادخانه‌ای از ابزارهای سایبری پیشرفته

موفقیت‌های خیره‌کننده لازاروس تصادفی نیست. این گروه از یک چرخه حمله چندمرحله‌ای و بسیار پیچیده استفاده می‌کند که ترکیبی از مهارت‌های فنی، روانشناسی و صبر استراتژیک است.

فاز اول: نفوذ اولیه با مهندسی اجتماعی و فیشینگ نیزه‌ای

نقطه آغازین اکثر حملات لازاروس، عامل انسانی است. آن‌ها استاد مهندسی اجتماعی هستند. هکرهای این گروه با ساختن پروفایل‌های جعلی اما بسیار معتبر در پلتفرم‌هایی مانند لینکدین، خود را به عنوان استخدام‌کننده از شرکت‌های بزرگ فناوری یا سرمایه‌گذاران خطرپذیر جا می‌زنند. آن‌ها ماه‌ها برای جلب اعتماد هدف خود (مثلاً یک مهندس ارشد در یک شرکت بازی‌سازی بلاکچینی یا یک مدیر مالی در یک صرافی) وقت صرف می‌کنند.

در نهایت، با ارسال یک پیشنهاد شغلی فریبنده در قالب یک فایل PDF یا ورد آلوده، یا دعوت به یک مصاحبه آنلاین که نیازمند نصب یک نرم‌افزار خاص است، بدافزار خود را روی سیستم قربانی نصب می‌کنند. این روش که به فیشینگ نیزه‌ای (Spear-phishing) معروف است، به دلیل هدفمندی بالا، نرخ موفقیت چشمگیری دارد.

فاز دوم: استقرار بدافزار و حرکت جانبی در شبکه

پس از نفوذ اولیه، بدافزارهای اختصاصی لازاروس وارد عمل می‌شوند. ابزارهایی مانند تروجان‌های دسترسی از راه دور (RATs) نظیر MagicRAT و BLINDINGCAN به هکرها اجازه می‌دهند تا کنترل کامل سیستم آلوده را در دست بگیرند. اما آن‌ها به یک کامپیوتر قانع نیستند.

مرحله بعدی حرکت جانبی (Lateral Movement) است. با استفاده از ابزارهایی مانند Mimikatz، هکرها اعتبارنامه‌ها (نام‌های کاربری و رمزهای عبور) ذخیره‌شده در سیستم اولیه را استخراج کرده و تلاش می‌کنند به سایر کامپیوترها و سرورهای موجود در شبکه دسترسی پیدا کنند. هدف نهایی، رسیدن به سرورهای اصلی و کنترل‌کننده‌های دامنه است که کلیدهای اصلی شبکه را در اختیار دارند.

فاز سوم: سرقت کلیدهای خصوصی و اجرای حمله نهایی

در دنیای ارز دیجیتال، کلیدهای خصوصی (Private Keys) حکم کلید گاوصندوق را دارند. هرکس به آن‌ها دسترسی داشته باشد، می‌تواند دارایی‌های مرتبط با آن کیف پول را جابجا کند. هدف اصلی لازاروس در حملات به اکوسیستم کریپتو، یافتن و سرقت این کلیدهای خصوصی است. پس از ماه‌ها حرکت پنهانی در شبکه یک صرافی یا یک پروتکل دیفای، آن‌ها سرانجام به سرورهایی که کلیدهای خصوصی کیف پول‌های گرم (Hot Wallets) را نگهداری می‌کنند، دست می‌یابند.

در یک لحظه هماهنگ‌شده، آن‌ها میلیون‌ها دلار ارز دیجیتال را به کیف پول‌های تحت کنترل خود منتقل می‌کنند. این فرآیند اغلب آنقدر سریع اتفاق می‌افتد که تا تیم امنیتی متوجه نفوذ شود، دارایی‌ها از دست رفته‌اند. هک 625 میلیون دلاری پل رونین (Ronin Bridge) نمونه بارز این استراتژی بود که در آن هکرها با به دست آوردن کنترل اکثر نودهای اعتبارسنج، توانستند تراکنش‌های سرقت را تأیید کنند.

فاز چهارم: پول‌شویی پیچیده برای پاک‌سازی ردپا

سرقت پول یک چیز است و استفاده از آن چیز دیگر. دارایی‌های دیجیتال سرقت‌شده در بلاکچین قابل ردیابی هستند. برای مقابله با این شفافیت، لازاروس یک فرآیند پول‌شویی چندلایه و بسیار پیچیده را اجرا می‌کند.

  1. پراکنده کردن دارایی‌ها: ابتدا، مبالغ بزرگ به هزاران کیف پول واسطه با مبالغ کوچکتر تقسیم می‌شود.
  2. استفاده از میکسرها: سپس این دارایی‌ها به سرویس‌های میکسر (Mixer) یا تامبلر (Tumbler) مانند Tornado Cash (که اکنون توسط وزارت خزانه‌داری آمریکا تحریم شده) و Sinbad.io ارسال می‌شوند. این سرویس‌ها با مخلوط کردن کوین‌های کاربران مختلف، ردگیری منشأ پول را تقریباً غیرممکن می‌کنند.
  3. تبدیل به ارزهای دیگر (Chain Hopping): در مرحله بعد، آن‌ها اتریوم یا سایر توکن‌های سرقت‌شده را از طریق پل‌های میان‌زنجیره‌ای یا صرافی‌های غیرمتمرکز به ارزهای دیگری مانند بیت‌کوین (BTC) یا استیبل‌کوین دای (DAI) تبدیل می‌کنند تا ردگیری را دشوارتر سازند.
  4. نقد کردن: در نهایت، بیت‌کوین‌های “تمیز شده” به صرافی‌های OTC (فرابورس) یا صرافی‌هایی با قوانین احراز هویت ضعیف‌تر منتقل شده و به ارز فیات تبدیل می‌شوند تا برای برنامه‌های دولتی کره شمالی قابل استفاده باشند.

این فرآیند پیچیده نشان‌دهنده سطح بالای تخصص لازاروس نه تنها در هک، بلکه در حوزه تحلیل بلاکچین و امور مالی غیرمتمرکز (DeFi) است.

تاریخچه‌ای خونین: بزرگترین سرقت‌های گروه لازاروس

کارنامه لازاروس مملو از حملاتی است که تاریخ امنیت سایبری را تغییر داده‌اند.

حملات به دنیای سنتی: از هالیوود تا بانک‌های جهانی

  • هک سونی پیکچرز (2014): در پاسخ به ساخت فیلم “The Interview”، لازاروس یکی از ویرانگرترین حملات سایبری تاریخ علیه یک شرکت را اجرا کرد که منجر به نشت اطلاعات محرمانه و خسارت ده‌ها میلیون دلاری شد.
  • سرقت از بانک مرکزی بنگلادش (2016): تلاشی جسورانه برای سرقت نزدیک به 111 میلیارد دلار از طریق شبکه SWIFT که با یک اشتباه تایپی متوقف شد، اما همچنان 81 میلیون دلار از آن موفقیت‌آمیز بود.
  • باج‌افزار WannaCry (2017): یک حمله جهانی که بیش از 200,000 کامپیوتر در 150 کشور، از جمله سیستم‌های خدمات بهداشت ملی بریتانیا (NHS) را فلج کرد و بیش از 444 میلیارد دلار خسارت به بار آورد.

عصر طلایی سرقت‌های رمزارزی: شکار در دنیای دیجیتال

از سال 2017 به بعد، تمرکز لازاروس به طور فزاینده‌ای به سمت ارزهای دیجیتال معطوف شد:

  • صرافی Coincheck : سرقت عظیم 534 میلیون دلاری.
  • صرافی KuCoin : سرقت 275 میلیون دلار از طریق دسترسی به کلیدهای خصوصی کیف پول‌های گرم.
  • پل بلاکچینی Ronin : سرقت بی‌سابقه 625 میلیون دلار از شبکه بازی محبوب Axie Infinity.
  • پل بلاکچینی Harmony : سرقت 100 میلیون دلار دیگر از یک زیرساخت حیاتی دیفای.
  • صرافی CoinEx: سرقت بیش از 70 میلیون دلار.
  • صرافی Bybit : طبق برخی گزارش‌ها، این گروه موفق به سرقتی به ارزش 1.41 تا 1.51 میلیارد دلار اتریوم شده است که در صورت تأیید نهایی، بزرگترین سرقت رمزارزی تاریخ لقب می‌گیرد.

این لیست تنها بخشی از فعالیت‌های مخرب این گروه است و نشان می‌دهد که هیچ پلتفرمی، هرچقدر هم بزرگ و معتبر، از تیررس آن‌ها در امان نیست.

سنگر دفاعی شما: چگونه در برابر لازاروس و تهدیدات مشابه ایمن بمانیم؟

اگرچه مقابله با یک گروه هکری دولتی غیرممکن به نظر می‌رسد، اما کاربران و سرمایه‌گذاران می‌توانند با رعایت اصول امنیتی، ریسک قربانی شدن را به شدت کاهش دهند. امنیت در دنیای دیجیتال یک مسئولیت مشترک است.

  1. فعال‌سازی احراز هویت دوعاملی (2FA) واقعی: از 2FA مبتنی بر پیامک (SMS) که قابل هک است، دوری کنید. در عوض، از اپلیکیشن‌های احراز هویت مانند Google Authenticator یا Authy یا کلیدهای امنیتی فیزیکی (مانند YubiKey) برای تمام حساب‌های صرافی و ایمیل خود استفاده کنید.
  2. استفاده هوشمندانه از کیف پول‌ها: اصل اساسی این است: “Not your keys, not your coins”. بخش عمده دارایی‌های خود را که قصد ترید روزانه آن‌ها را ندارید، در کیف پول‌های سرد (Cold Wallets) مانند Ledger یا Trezor نگهداری کنید. این کیف پول‌ها آفلاین هستند و از دسترس هکرها دور می‌مانند. تنها مقدار کمی از سرمایه را برای معاملات در کیف پول‌های گرم صرافی‌ها نگه دارید.
  3. پارانویا در برابر فیشینگ: به هیچ ایمیل، پیام تلگرامی یا پیشنهاد شغلی غیرمنتظره‌ای اعتماد نکنید. هرگز روی لینک‌های مشکوک کلیک نکرده و فایل‌های ضمیمه را از منابع ناشناس دانلود نکنید. به یاد داشته باشید که لازاروس استاد جعل هویت است.
  4. بررسی دقیق آدرس‌ها: قبل از ارسال هرگونه تراکنش، آدرس کیف پول مقصد را چندین بار به صورت کاراکتر به کاراکتر بررسی کنید. بدافزارهایی وجود دارند که می‌توانند آدرس کپی‌شده در کلیپ‌بورد شما را با آدرس هکر جایگزین کنند.
  5. انتخاب پلتفرم‌های امن: از صرافی‌ها و پلتفرم‌هایی استفاده کنید که سابقه امنیتی قوی دارند، دارایی‌های کاربران را بیمه می‌کنند و به طور منظم ممیزی‌های امنیتی (Security Audits) را پشت سر می‌گذارند.
  6. به‌روزرسانی و محافظت از سیستم: همیشه سیستم‌عامل و نرم‌افزارهای خود، به‌ویژه آنتی‌ویروس و فایروال را به‌روز نگه دارید. از دانلود نرم‌افزارهای کرک‌شده یا از منابع نامعتبر جداً خودداری کنید.
  7. اطلاع و آگاهی مداوم: تهدیدات سایبری دائماً در حال تکامل هستند. با دنبال کردن منابع خبری معتبر در حوزه امنیت سایبری و ارز دیجیتال، از آخرین تاکتیک‌های هکرها مطلع بمانید. (برای اطلاعات بیشتر می‌توانید به صفحات هشدارهای امنیتی FBI Cyber Division مراجعه کنید).

نتیجه‌گیری: نبردی بی‌پایان برای آینده دیجیتال

گروه هکری لازاروس چیزی فراتر از یک داستان ترسناک سایبری است؛ این گروه تجسم یک واقعیت ژئوپولیتیک پیچیده است که در آن خطوط بین جنگ، اقتصاد و جرم در حال محو شدن هستند. با حمایت کامل یک دولت و با انگیزه‌ای که فراتر از پول است، ارتش سایبری کره شمالی به یک تهدید دائمی و در حال تکامل برای ثبات مالی و امنیت جهانی تبدیل شده است. آن‌ها با هر حمله، نه تنها کیف پول‌ها را خالی می‌کنند، بلکه اعتماد به اکوسیستم نوپای ارزهای دیجیتال را نیز خدشه‌دار می‌سازند.

در حالی که دولت‌ها و نهادهای امنیتی به تلاش‌های خود برای مقابله و تحریم این گروه ادامه می‌دهند، مسئولیت نهایی برای حفاظت از دارایی‌ها بر عهده خود ماست. در این میدان نبرد دیجیتال، هوشیاری، دانش و رعایت بی‌چون‌وچرای اصول امنیتی، قدرتمندترین سلاح‌های ما هستند. نبرد با لازاروس و گروه‌های مشابه، یک ماراتن است، نه یک دوی سرعت. آینده امن و غیرمتمرکز تنها زمانی محقق خواهد شد که هر یک از ما نقش خود را در ساختن دیوارهای این قلعه دیجیتال ایفا کنیم.

دیدگاهتان را بنویسید