يبدو أن مجموعة القراصنة الكورية الشمالية Lazarus قد كثفت عملياتها مؤخرًا، حيث استهدفت أربع هجمات مؤكدة صناعة التشفير منذ 3 يونيو. في الآونة الأخيرة، تم الاشتباه في قيامهم بتنفيذ الهجوم الخامس. وقد غرّد كبير مسؤولي أمن المعلومات في شركة SlowMist 23pds بأن هجوم القراصنة الذي بلغت قيمته 55 مليون دولار على بورصة التشفير CoinEx كان سببه قراصنة ترعاهم الدولة في كوريا الشمالية.
ومن الجدير بالذكر أن المتسللين الذين ترعاهم كوريا الشمالية قد سرقوا ما يقرب من 1.2 مليار دولار من العملات المشفرة من جميع أنحاء العالم منذ عام 2017، وفقًا لتقرير سابق لوكالة أسوشيتد برس نقلاً عن وكالة التجسس الرئيسية في كوريا الجنوبية، جهاز المخابرات الوطنية (NIS). تعتقد NIS أن كوريا الشمالية هي واحدة من أكثر الدول تحفيزًا في العالم عندما يتعلق الأمر بسرقة العملات المشفرة، وقد حولت البلاد تركيزها إلى الجرائم الإلكترونية بعد أن شددت الأمم المتحدة في عام 2017 العقوبات الاقتصادية ردًا على تجاربها النووية والصاروخية.
بالإضافة إلى ذلك، على مدار الـ 104 أيام الماضية، تم التأكد من قيام مجموعة القراصنة الكورية الشمالية Lazarus بسرقة ما يقرب من 2.4 مليون دولار من Atomic Wallet (100 مليون دولار)، وCoinsPaid (37.3 مليون دولار)، وAlphapo (60 مليون دولار)، وStake.com (41 مليون دولار). مليار دولار من الأصول المشفرة.
كما هو موضح في الصورة أعلاه، يشير تحليل Elliptic إلى أن بعض الأموال المسروقة من CoinEx تم إرسالها إلى العنوان الذي تستخدمه منظمة Lazarus لتخزين الأموال المسروقة من Stake.com، وإن كان ذلك على blockchain مختلف. تم بعد ذلك ربط الأموال بسلسلة من الإيثريوم عبر جسر عبر السلسلة كان يستخدمه Lazarus سابقًا، ثم تم إرسالها مرة أخرى إلى عنوان يتحكم فيه قراصنة CoinEx.
لاحظت شركة Elliptic هذا النوع من الخلط بين الأموال من قراصنة مختلفين في حادثة Lazarus، وكان آخرها عندما تم خلط العملة المشفرة المسروقة من Stake.com مع الأموال المسروقة من محفظة Atomic. تظهر هذه الحالات من الأموال التي تم جمعها من قراصنة مختلفين باللون البرتقالي في الصورة أدناه.
01. نفذ لعازر 5 هجمات خلال 104 أيام
في عام 2022، نُسب عدد من هجمات القرصنة البارزة إلى Lazarus، بما في ذلك الهجمات على جسر Harmony’s Horizon Bridge وAxie Infinity’s Ronin Bridge، وكلاهما حدث في النصف الأول من العام الماضي. ومنذ ذلك الحين وحتى يونيو من هذا العام، لم تُنسب علنًا أي سرقات كبرى للعملات المشفرة إلى لازاروس. ولذلك، تشير هجمات القرصنة المختلفة خلال الـ 104 أيام الماضية إلى زيادة في أنشطة مجموعة القرصنة الكورية الشمالية هذه.
في 3 يونيو 2023، خسر مستخدمو محفظة العملات المشفرة اللامركزية غير الاحتجازية Atomic Wallet أكثر من 100 مليون دولار. ألقى Elliptic باللوم رسميًا على Lazarus في الاختراق في 6 يونيو 2023، بعد تحديد عوامل متعددة تشير إلى مسؤولية مجموعة قرصنة كورية شمالية، وهو ما أكده مكتب التحقيقات الفيدرالي لاحقًا.
في 22 يوليو 2023، تمكن Lazarus من الوصول إلى محفظة ساخنة تابعة لمنصة مدفوعات العملات المشفرة CoinsPaid من خلال هجوم الهندسة الاجتماعية. سمح هذا الوصول للمهاجم بإنشاء طلبات ترخيص لسحب ما يقرب من 37.3 مليون دولار من الأصول المشفرة من المحفظة الساخنة للمنصة. في 26 يوليو، أصدرت CoinsPaid تقريرًا يدعي أن Lazarus كان مسؤولاً عن الهجوم، وهو ما أكده أيضًا مكتب التحقيقات الفيدرالي (FBI).
وفي نفس اليوم، 22 يوليو، نفذت شركة Lazarus هجومًا آخر رفيع المستوى، استهدف هذه المرة مزود مدفوعات العملات المشفرة المركزي Alphapo، وسرقت 60 مليون دولار من أصول العملات المشفرة. ربما تمكن المهاجم من الوصول عبر مفتاح خاص تم تسريبه مسبقًا. وأكد مكتب التحقيقات الفيدرالي لاحقًا أن لازاروس كان مسؤولاً عن الهجوم.
في 4 سبتمبر 2023، تعرضت منصة المقامرة عبر الإنترنت Stake.com لهجوم، وتمت سرقة عملات افتراضية بقيمة إجمالية تبلغ حوالي 41 مليون دولار أمريكي، ربما بسبب سرقة المفاتيح الخاصة. وأعلن مكتب التحقيقات الفيدرالي في 6 سبتمبر أن منظمة لازاروس هي العقل المدبر وراء الهجوم.
أخيرًا، في 12 سبتمبر 2023، تعرضت منصة تبادل العملات المشفرة المركزية CoinEx لهجوم قرصنة وتمت سرقة 54 مليون دولار. كما ذكرنا أعلاه، تشير العديد من الأدلة إلى أن لازاروس هو المتسلل المسؤول عن هذا الهجوم.
02. غير لعازر تكتيكاته؟
يُظهر تحليل آخر نشاط لـ Lazarus أنه منذ العام الماضي حولوا تركيزهم من الخدمات اللامركزية إلى الخدمات المركزية. أربعة من آخر خمسة عمليات اختراق تمت مناقشتها سابقًا كانت ضد مقدمي خدمات الأصول المشفرة المركزية. قبل عام 2020، وقبل الصعود السريع للنظام البيئي للتمويل اللامركزي (DeFi)، كانت التبادلات المركزية هي الهدف الرئيسي الذي اختاره لازاروس.
هناك عدة تفسيرات محتملة لسبب تحويل لازاروس اهتمامه مرة أخرى إلى الخدمات المركزية.
أصبحت هجمات بروتوكول DeFi أكثر صعوبة
وجدت الأبحاث السابقة التي أجرتها Elliptic حول هجمات قرصنة DeFi في عام 2022 أن الهجوم سيحدث في المتوسط كل 4 أيام في عام 2022، بمتوسط 32.6 مليون دولار مسروق لكل هجوم. أصبحت الجسور عبر السلسلة واحدة من أكثر أنواع بروتوكولات التمويل اللامركزي DeFi التي يتم اختراقها شيوعًا في عام 2022. ربما تكون هذه الاتجاهات قد أدت إلى تحسينات في معايير تدقيق العقود الذكية وتطويرها، مما أدى إلى تضييق نطاق المتسللين لتحديد نقاط الضعف واستغلالها.
تتميز المؤسسات المركزية بدرجة عالية من التعقيد في العلاقات الاجتماعية
في العديد من هجمات القرصنة السابقة، كانت طريقة الهجوم التي اختارتها Lazarus Group هي الهندسة الاجتماعية. على سبيل المثال، حدث اختراق Ronin Bridge بقيمة 540 مليون دولار بسبب موظف سابق في الشركة تم خداعه بعرض عمل مزيف على LinkedIn. ومع ذلك، تميل الخدمات اللامركزية إلى عدم وجود عدد كبير من الموظفين، وتكون المشاريع لا مركزية إلى حد ما. ولذلك، فإن الحصول على وصول ضار إلى أحد المطورين قد لا يعني بالضرورة الحصول على حق الوصول الإداري إلى عقد ذكي.
وفي الوقت نفسه، من المرجح أن توظف البورصات المركزية أعداداً كبيرة نسبياً من الموظفين، وبالتالي توسيع نطاق الأهداف المحتملة. وقد يعملون أيضًا باستخدام أنظمة تكنولوجيا معلومات داخلية مركزية، مما يمنح برامج Lazarus الضارة فرصة أكبر لاختراق الأعمال.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
300 مليون دولار أمريكي في 100 يوم، قراصنة كوريا الشمالية "أموال مجنونة" في دائرة التشفير
المصدر/الإهليلجي
تجميع / نيك
يبدو أن مجموعة القراصنة الكورية الشمالية Lazarus قد كثفت عملياتها مؤخرًا، حيث استهدفت أربع هجمات مؤكدة صناعة التشفير منذ 3 يونيو. في الآونة الأخيرة، تم الاشتباه في قيامهم بتنفيذ الهجوم الخامس. وقد غرّد كبير مسؤولي أمن المعلومات في شركة SlowMist 23pds بأن هجوم القراصنة الذي بلغت قيمته 55 مليون دولار على بورصة التشفير CoinEx كان سببه قراصنة ترعاهم الدولة في كوريا الشمالية.
ومن الجدير بالذكر أن المتسللين الذين ترعاهم كوريا الشمالية قد سرقوا ما يقرب من 1.2 مليار دولار من العملات المشفرة من جميع أنحاء العالم منذ عام 2017، وفقًا لتقرير سابق لوكالة أسوشيتد برس نقلاً عن وكالة التجسس الرئيسية في كوريا الجنوبية، جهاز المخابرات الوطنية (NIS). تعتقد NIS أن كوريا الشمالية هي واحدة من أكثر الدول تحفيزًا في العالم عندما يتعلق الأمر بسرقة العملات المشفرة، وقد حولت البلاد تركيزها إلى الجرائم الإلكترونية بعد أن شددت الأمم المتحدة في عام 2017 العقوبات الاقتصادية ردًا على تجاربها النووية والصاروخية.
بالإضافة إلى ذلك، على مدار الـ 104 أيام الماضية، تم التأكد من قيام مجموعة القراصنة الكورية الشمالية Lazarus بسرقة ما يقرب من 2.4 مليون دولار من Atomic Wallet (100 مليون دولار)، وCoinsPaid (37.3 مليون دولار)، وAlphapo (60 مليون دولار)، وStake.com (41 مليون دولار). مليار دولار من الأصول المشفرة.
كما هو موضح في الصورة أعلاه، يشير تحليل Elliptic إلى أن بعض الأموال المسروقة من CoinEx تم إرسالها إلى العنوان الذي تستخدمه منظمة Lazarus لتخزين الأموال المسروقة من Stake.com، وإن كان ذلك على blockchain مختلف. تم بعد ذلك ربط الأموال بسلسلة من الإيثريوم عبر جسر عبر السلسلة كان يستخدمه Lazarus سابقًا، ثم تم إرسالها مرة أخرى إلى عنوان يتحكم فيه قراصنة CoinEx.
لاحظت شركة Elliptic هذا النوع من الخلط بين الأموال من قراصنة مختلفين في حادثة Lazarus، وكان آخرها عندما تم خلط العملة المشفرة المسروقة من Stake.com مع الأموال المسروقة من محفظة Atomic. تظهر هذه الحالات من الأموال التي تم جمعها من قراصنة مختلفين باللون البرتقالي في الصورة أدناه.
01. نفذ لعازر 5 هجمات خلال 104 أيام
في عام 2022، نُسب عدد من هجمات القرصنة البارزة إلى Lazarus، بما في ذلك الهجمات على جسر Harmony’s Horizon Bridge وAxie Infinity’s Ronin Bridge، وكلاهما حدث في النصف الأول من العام الماضي. ومنذ ذلك الحين وحتى يونيو من هذا العام، لم تُنسب علنًا أي سرقات كبرى للعملات المشفرة إلى لازاروس. ولذلك، تشير هجمات القرصنة المختلفة خلال الـ 104 أيام الماضية إلى زيادة في أنشطة مجموعة القرصنة الكورية الشمالية هذه.
في 3 يونيو 2023، خسر مستخدمو محفظة العملات المشفرة اللامركزية غير الاحتجازية Atomic Wallet أكثر من 100 مليون دولار. ألقى Elliptic باللوم رسميًا على Lazarus في الاختراق في 6 يونيو 2023، بعد تحديد عوامل متعددة تشير إلى مسؤولية مجموعة قرصنة كورية شمالية، وهو ما أكده مكتب التحقيقات الفيدرالي لاحقًا.
في 22 يوليو 2023، تمكن Lazarus من الوصول إلى محفظة ساخنة تابعة لمنصة مدفوعات العملات المشفرة CoinsPaid من خلال هجوم الهندسة الاجتماعية. سمح هذا الوصول للمهاجم بإنشاء طلبات ترخيص لسحب ما يقرب من 37.3 مليون دولار من الأصول المشفرة من المحفظة الساخنة للمنصة. في 26 يوليو، أصدرت CoinsPaid تقريرًا يدعي أن Lazarus كان مسؤولاً عن الهجوم، وهو ما أكده أيضًا مكتب التحقيقات الفيدرالي (FBI).
وفي نفس اليوم، 22 يوليو، نفذت شركة Lazarus هجومًا آخر رفيع المستوى، استهدف هذه المرة مزود مدفوعات العملات المشفرة المركزي Alphapo، وسرقت 60 مليون دولار من أصول العملات المشفرة. ربما تمكن المهاجم من الوصول عبر مفتاح خاص تم تسريبه مسبقًا. وأكد مكتب التحقيقات الفيدرالي لاحقًا أن لازاروس كان مسؤولاً عن الهجوم.
في 4 سبتمبر 2023، تعرضت منصة المقامرة عبر الإنترنت Stake.com لهجوم، وتمت سرقة عملات افتراضية بقيمة إجمالية تبلغ حوالي 41 مليون دولار أمريكي، ربما بسبب سرقة المفاتيح الخاصة. وأعلن مكتب التحقيقات الفيدرالي في 6 سبتمبر أن منظمة لازاروس هي العقل المدبر وراء الهجوم.
أخيرًا، في 12 سبتمبر 2023، تعرضت منصة تبادل العملات المشفرة المركزية CoinEx لهجوم قرصنة وتمت سرقة 54 مليون دولار. كما ذكرنا أعلاه، تشير العديد من الأدلة إلى أن لازاروس هو المتسلل المسؤول عن هذا الهجوم.
02. غير لعازر تكتيكاته؟
يُظهر تحليل آخر نشاط لـ Lazarus أنه منذ العام الماضي حولوا تركيزهم من الخدمات اللامركزية إلى الخدمات المركزية. أربعة من آخر خمسة عمليات اختراق تمت مناقشتها سابقًا كانت ضد مقدمي خدمات الأصول المشفرة المركزية. قبل عام 2020، وقبل الصعود السريع للنظام البيئي للتمويل اللامركزي (DeFi)، كانت التبادلات المركزية هي الهدف الرئيسي الذي اختاره لازاروس.
هناك عدة تفسيرات محتملة لسبب تحويل لازاروس اهتمامه مرة أخرى إلى الخدمات المركزية.
أصبحت هجمات بروتوكول DeFi أكثر صعوبة
وجدت الأبحاث السابقة التي أجرتها Elliptic حول هجمات قرصنة DeFi في عام 2022 أن الهجوم سيحدث في المتوسط كل 4 أيام في عام 2022، بمتوسط 32.6 مليون دولار مسروق لكل هجوم. أصبحت الجسور عبر السلسلة واحدة من أكثر أنواع بروتوكولات التمويل اللامركزي DeFi التي يتم اختراقها شيوعًا في عام 2022. ربما تكون هذه الاتجاهات قد أدت إلى تحسينات في معايير تدقيق العقود الذكية وتطويرها، مما أدى إلى تضييق نطاق المتسللين لتحديد نقاط الضعف واستغلالها.
تتميز المؤسسات المركزية بدرجة عالية من التعقيد في العلاقات الاجتماعية
في العديد من هجمات القرصنة السابقة، كانت طريقة الهجوم التي اختارتها Lazarus Group هي الهندسة الاجتماعية. على سبيل المثال، حدث اختراق Ronin Bridge بقيمة 540 مليون دولار بسبب موظف سابق في الشركة تم خداعه بعرض عمل مزيف على LinkedIn. ومع ذلك، تميل الخدمات اللامركزية إلى عدم وجود عدد كبير من الموظفين، وتكون المشاريع لا مركزية إلى حد ما. ولذلك، فإن الحصول على وصول ضار إلى أحد المطورين قد لا يعني بالضرورة الحصول على حق الوصول الإداري إلى عقد ذكي.
وفي الوقت نفسه، من المرجح أن توظف البورصات المركزية أعداداً كبيرة نسبياً من الموظفين، وبالتالي توسيع نطاق الأهداف المحتملة. وقد يعملون أيضًا باستخدام أنظمة تكنولوجيا معلومات داخلية مركزية، مما يمنح برامج Lazarus الضارة فرصة أكبر لاختراق الأعمال.