سرقت 400 میلیون‌دلاری رمزارزها توسط نفوذگران کره شمالی در سال 2021

گروهی با نام لازاروس که یک گروه خرابکاری منسوب به کره شمالی است ، حدود ۴۰۰ میلیون دلار رمز ارز در سال گذشته دزدیده است.

تعریف تهدید پیشرفته و مداوم: تهدیدی پیشرفته و خطرناک که به شکل مداوم در طی یک بازه زمانی طولانی همواره وجود داشته باشد.

لازاروس نام مشهورترین تهدید پیشرفته و مداومی است که به فرمان کره شمالی و بیشتر از یک دهه است که فعالیت می‌کند.

باور بر این است که این تهدید در چندین حمله برجسته نقش داشته و شامل دزدی سایبری ۸۱ میلیون دلاری از بانک بنگلادش در سال ۲۰۱۶ و همچنین حمله مشهور WannaCry می‌شود.

با شروع سال ۲۰۱۸ لازاروس چندین سرقت رمزارزی انجام داد که برای برنامه‌های تسلیحاتی کره شمالی درآمدزایی کرده است. پس از این سرقت که حدود ۵۰۰ میلیون دلار رمزارز بود، این گروه دست به تخم مرغ دزدی به مبالغ ۲۰۰ تا ۳۰۰ میلیون دلار در سال ۲۰۱۹ و ۲۰۲۰ زد. اما در سال ۲۰۲۱ توانست حدود ۴۰۰ میلیون دلار رمزارز را به دست آورد.

بر اساس تحلیل‌ها، این مقدار دستبرد، نتیجه فعالیت‌های شدت یافته آنان است. به‌طوری‌که، هفت نفوذ در سال ۲۰۲۱ مرتبط با کره شمالی صورت گرفته که تعداد آن در سال ۲۰۱۸ تنها چهار حمله بود. به علاوه ارزش دزدی حاصل از این حملات ۴۰ درصد افزایش داشته است.

تمرکز لازاروس بر رمزارزهای مختلف

تحلیل‌گران متوجه شده‌اند که لازاروس دیگر بر روی بیت‌کوین تمرکز ندارد. در سال ۲۰۲۱ تنها ۲۰٪ از دارایی‌های دزدیده شده رمزارزی بیت‌کوین بود. اتر نیز حدود ۵۸٪ و توکن‌های ERC-20 و آلت‌کوین‌ها حدود ۲۲ درصد را شامل می‌شدند.

براساس تحقیقات کسپراسکای، تلاش‌های رمزارزی لازاروس همچنین شامل ساخت کمپانی‌های کذایی توسعه رمزارزی می‌شود که کار گسترش برنامه‌های به‌ظاهر قانونی اما کلاهبردار را بر عهده دارند.

در همین راستا، پویش SnatchCrypto لازاروس که از سال ۲۰۱۷ در جریان بوده است، شرکت‌های کوچک و بزرگ بین‌المللی را تحت‌الشعاع قرار داده است. شرکت‌هایی در کشورهای مختلف نظیر جمهوری چک، چین، هنگ کنگ، هندوستان ، لهستان، روسیه ،‌سنگاپور، اسلوونی ، اوکراین ، آمریکا و … .

در سال ۲۰۲۱ محققان کسپراسکای مشاهده کردند که لازاروس استارت‌آپ‌های موفق را تحت نظر می‌گیرد تا موضوعات مورد علاقه را پیدا کرده تا این سازمان‌ها را بدون ایجاد شک مورد دستبرد قرار می‌دهد. این گروه از نام و نشان و اسامی کارکنان ۱۵ شرکت تجاری سوءاستفاده کرده تا حملات خود را پیش ببرد.

نفوذگران در خلال اجرای این پویش، یک بستر حرفه‌ای پیچیده و همچنین بدافزارها و اکسپلویت‌هایی ساختند و یک درب پشتی ویندوزی تمام و کمال را گسترش دادند. که این درب پشتی شامل کارکردهای تجسسی است.

این گروه خرابکار اعلانات و پیام‌های انتقال وجوه بالا را به‌دست گرفته و زمانی که کاربران می‌خواستند وجوه را به حساب‌های دیگری واریز کنند، با وارد کردن منطق خودشان در فرآیند تراکنش و تغییر مقصد واریز، کل حساب را خالی کردند.

وجوه مسروقه سپس با استفاده از سازوکارهای پیچیده پولشویی شدند. به این ترتیب، در پی حمله Liquid.com در آگوست ۲۰۲۱، نفوذگران کره شمالی ۹۱ میلیون دلار را پولشویی نمودند.

لازم به ذکر است که به نظر، لازاروس هنوز ۱۷۰ میلیون دلار مسروقه در ۴۹ نفوذ مجزا را پولشویی نکرده است.

بر اساس تحلیل‌ها این به آن معناست که نفوذگران متصل به کره شاملی برخی اوقات امکان جابه‌جایی سریع پول و پولشویی را ندارند. مشخص نیست چرا نفوذگران هنوز این وجوه را نزد خود نگه داشته‌اند اما ممکن است به این دلیل باشد که امید دارند پیگیری نیروی انتظامی در این‌گونه موارد کمرنگ شود تا بتوانند بدون نگرانی پول خود را جابه‌جا کنند.