با بزرگترین سارقان ارز دیجیتال جهان آشنا شوید: گروه هکری لازاروس

در دنیای امنیت سایبری، اسم‌های کمی وجود دارند که به اندازه نام «گروه لازاروس» مشهور و البته ترسناک باشند. گروه هکری لازاروس یک شبکه پیچیده و مخوف است که گفته می‌شود از حمایت دولت کره شمالی برخوردار است و از سال ۲۰۰۹ تاکنون مسئول حملات خرابکارانه زیادی از جمله جاسوسی، حمله به تأسیسات ملی کشورها، ایجاد اخلال در شرکت‌های خصوصی، اخاذی و سرقت از صرافی‌های ارز دیجیتال بوده است. لازاروس از یک گروه خرابکار سیاسی به یکی از بزرگ‌ترین دزدان بانک و ارز دیجیتال در تاریخ تبدیل شده‌ و در این مسیر، جهان را بارها در شوک فرو برده‌ است.

این گزارش،‌ داستان شکل‌گیری و تکامل گروه هکری لازاروس است که چگونه یک کشور از سلاح سایبری به‌عنوان ابزاری برای تأمین مالی و نمایش قدرت در مقیاس جهانی استفاده می‌کند.

هویت گروه هکری لازاروس

معنی ریشه نام این گروه، به معنای دسته افرادی است که مورد توجه خداوند قرار گرفتند. این گروه فعالیت خود را از سال ۲۰۰۹ و با حمله به به صنایع مختلف کره جنوبی آغاز کرده است. این گروه هکری با حمایت کره شمالی، به انجام هک دولتی (State-sponsored Hacking) می‌پردازد.

یکی از نخستین حملات شناخته‌شده منتسب به گروه هکر سایبری لازاروس، کمپینی به‌نام «عملیات تروی» (Operation Troy) بود که بین سال‌های ۲۰۰۹ تا ۲۰۱۲ اجرا شد. این عملیات، یک کمپین جاسوسی سایبری بود که در آن از تکنیک‌های نسبتاً ساده‌ حملات DDoS برای جمع‌آوری اطلاعات و اخلال در زیرساخت‌های دولت کره جنوبی در سئول استفاده شد.

براساس تحقیقات، گروه هکری لازاروس در کره شمالی مستقر و به اداره کل شناسایی (Reconnaissance General Bureau) این کشور وابسته است. RGB یکی از نهادهای اطلاعاتی اصلی کره شمالی است که وظیفه جاسوسی، عملیات مخفیانه و جاسوسی سایبری (Cyber Espionage) را بر عهده دارد. این سازمان در سال ۲۰۰۹ تأسیس شده است. همچنین مدارکی وجود دارد که احتمال وابستگی این گروه به کره شمالی را تقویت می‌کند. فردی به نام «کیم کوک سونگ» که موفق به فرار از کشور کره شمالی شده، اظهار کرده که لازاروس مکان مشخصی در این کشور دارد و این گروه با عنوان 414 در کره شمالی شناخته می‌شود.

قسمت اول؛ حمله به سونی پیکچرز

صبح دوشنبه،‌۲۴ نوامبر ۲۰۱۴، شبکه سونی پیکچرز متوجه شد که مورد حمله گروه لازاروس قرار گرفته است. لازاروس  در آن زمان خود را «نگهبانان صلح» یا GOP می‌نامید. هدف این حمله سایبری اعتراض به تولید فیلم «The Interview» عنوان شده بوده که در آن، رهبر کره شمالی مسخره شده است. کره شمالی این فیلم را «اقدامی جنگ‌طلبانه و توهین‌آمیز» توصیف و تهدید کرده بود که اگر ایالات متحده جلوی اکران آن را نگیرد، «پاسخی بی‌رحمانه» خواهد داد. پس از جدی گرفته نشدن این تهدیدها، حمله سایبری به سونی آغاز شد.

طبق اعلام رسمی سونی، این حمله حدود ۱۵ میلیون دلار خسارت مستقیم به این شرکت وارد کرد. با این‌ حال، برآوردهای دیگر، میزان خسارات را بین ۳۵ میلیون تا بیش از ۸۵ میلیون دلار تخمین می‌زدند. در طول حمله، حجم زیادی از داده‌ها از جمله فیلم‌های منتشرنشده سونی پیکچرز سرقت و به‌تدریج در اینترنت منتشر شد.

قسمت دوم؛ حملات به بخش مالی و بانکی جهانی

طی سال‌ها، لازاروس با حمله به بانک‌ها و مؤسسات مالی کشورهای مختلف، مبالغ مختلفی را سرقت کرده است که بزرگترین آنها، حمله به بانک مرکزی بنگلادش بوده است. این حمله از طریق شبکه سوئیفت انجام گرفته بود و در نهایت، ۸۱ میلیون دلار (از تلاش برای سرقت ۹۵۱ میلیون دلار) را دزدید. این حمله  آسیب‌پذیری‌های موجود در سیستم مالی جهانی (SWIFT)  و ضعف‌های بوروکراتیک (تأخیر در تعطیلات) را نمایان کرد.

از دیگر حملات مالی-بانکی گروه لازاروس می‌توان به موارد زیر اشاره کرد:

قسمت سوم؛ ورود گروه لازاروس به دنیای کریپتوکارنسی

از حدود سال ۲۰۱۷، لازاروس تغییر استراتژی داد و این بار وارد بازاری شد که ردیابی در آن دشوارتر و قوانینش کمتر بود: دنیای کریپتوکارنسی و ارزهای دیجیتال.

۲۰۱۹: حمله به صرافی آپ‌بیت

گروه لازاروس،‌ کیف پول گرم صرافی کره جنوبی آپ‌بیت (Upbit) را در ۲۷ نوامبر ۲۰۱۹ (۶ آذر ۹۸) هک و ۳۴۲ هزار واحد اتریوم از آن دزدید. قیمت اتریوم در آن زمان ۱۴۷ دلار و مبلغ کل سرقت، تقریبا 48,1 میلیون دلار ارزش داشت.

۲۰۲۰: حمله به صرافی کوکوین

هکرهای لازاروس با دسترسی به کلید خصوصی کیف پول‌های گرم صرافی کوکوین (Kucoin)، حدود ۲۷۵ میلیون دلار سرقت کردند. به گفته مدیرعامل کوکوین، این صرافی ۲۰۴ میلیون دلار از وجوه سرقت‌شده را بازیابی کرده است.

البته که صرافی کوکوین تمامی وجوه از دست رفته را به کاربران خود برگرداند.

۲۰۲۱: حمله به صرافی لیکوئید دات کام

پلتفرم Liquid.com در ۱۹ اوت ۲۰۲۱ (۲۸ مرداد ۱۴۰۰) اعلام کرد که مقداری از دارایی‌هاییش به سرقت رفته. اطلاعات دقیقی در مورد میزان به سرقت رفته در این حمله منتشر نشده اما بر اساس نظرات کارشناسان و منابع مختلف، مبلغی بین ۴۰ الی ۷۰ میلیون دلار از این صرافی توسط گروه لازاروس به سرقت رفته است.

۲۰۲۲: حمله به بریج رونین

گروه هکری لازاروس در مارس ۲۰۲۲، رونین بریج (Ronin Bridge)، زنجیره جانبی بازی بلاکچینی اکسی اینفینیتی (Axie Infinity) را هک و ۶۰۰ میلیون دلار از آن سرقت کرد.

این دومین سرقت بزرگ کریپتو در تمام دوران است که توسط گروه لازاروس صورت گرفته است.

بزرگ‌ترین سرقت تاریخ ارز دیجیتال

در سال ۲۰۲۵، یکی از بزرگترین و جدیدترین سرقت‌های تاریخ ارزهای دیجیتال، مربوط به صرافی بای‌بیت (Bybit) رخ داد که طی آن گروه هکری لازاروس، با پیدا کردن یک نقص امنیتی گسترده، ۱,۵ میلیارد دلار اتر را در ۲۱ فوریه ۲۰۲۵ (۷ اسفند ۱۴۰۳) از این صرافی سرقت کرد.

این حمله که به دلیل نقص امنیتی نرم‌افزار Safe رخ داده است، هکرها برای این نفوذ شگفت‌انگیز از نقص ساده امنیتی بای‌بیت بهره بردند: وابستگی به یک نرم‌افزار رایگان. آن‌ها با دستکاری سیستمی وارد بای‌بیت شدند که این صرافی برای محافظت از صدها میلیون دلار سپرده مشتریان استفاده می‌کرد.

این حمله باعث سقوط بازار و کاهش اعتماد عمومی شد؛ اما مدیرعامل بای‌بیت با سرعت و شفافیت بالا بحران را مدیریت کرد و اعلام کرد که تمام این خسارت را پوشش خواهد داد.

علاوه‌بر این،‌ لازاروس در طول سال‌ها با حمله به صرافی‌ وزیرایکس (WazirX)، پل بلاکچینی هورایزن (Horizon Bridge)،‌ کیف پول اتمیک (Atomic Wallet) و کیف پول استیک (Stake) به‌ترتیب،‌ مبالغ ۲۳۵ میلیون دلار، ۱۰۰ میلیون دلار،‌ ۳۵ میلیون دلار و ۴۱ میلیون دلار را به سرقت برده است.

درسی که باید گرفت

حملات گروه هکری لازاروس طی سال‌ها نشان داده است که فراتر از خسارت‌های مالی یا نشت داده‌ها،‌ حملات سایبری و هک می‌تواند زیرساخت‌های حیاتی فنی و مالی،‌ اعتماد عمومی به سیستم‌های مالی را به چالش بکشد و تنش‌های ژئوپلیتیکی را تشدید کند.

در مقابله با تهدیدات گروه لازاروس و دیگر گروه‌های هکری در حوزه ارز دیجیتال،‌ لازم است که فعال‌سازی احراز هویت دوعاملی، نگهداری دارایی‌ها در کیف پول‌های مختلف، استفاده از آنتی‌ویروس و فایروال، بررسی آدرس کیف پول‌ها و انتخاب صرافی امن جدی گرفته شود.