من هو مجموعة لازاروس؟ القراصنة وراء سرقات بقيمة مليار دولار
الاحتيالات والاختراقات
النقاط الرئيسية
- تُعتبر مجموعة لازاروس فريقًا مدعومًا من الدولة الكورية الشمالية من قبل فريق من القراصنة مسؤول عن سرقات السيبرانية بقيمة مليارات الدولارات. تموّل عملياتهم برامج الصواريخ والنووية للبلاد.
- يستخدم لازاروس برامج ضارة مخصصة وثغرات يوم صفر وحملات الصيد بالرمح لاختراق المؤسسات المالية وبورصات العملات المشفرة والوكالات الحكومية.
- الهجمات الملحوظة تشمل اختراق Bybit بقيمة 1.5 مليار دولار (2025)، واختراق Ronin Bridge بقيمة 625 مليون دولار (2022)، وسرقة بنك بنغلاديش بقيمة 101 مليون دولار (2016).
- يستخدم الفريق تحويل الانتباه والباب الخلفي وتقنيات مكافحة الجرائم الرقمية ومسح البيانات لإخفاء آثارهم والحفاظ على الوصول للشبكات المخترقة على المدى الطويل.
سلط هجوم Bybit المشفر في 21 فبراير 2025 الضوء مرة أخرى على مجموعة Lazarus سيئة السمعة ، والتي "ينسب إليها" سلسلة من الهجمات المدمرة على شركات التشفير. منذ عام 2017 ، سرقت مجموعة Lazarus ما يقدر بنحو 6 مليارات دولار من صناعة التشفير ،وفقاإلى شركة تحليلات بلوكشين Elliptic. لا عجب أن لقد حصل لازاروس على لقب الشرير العظيم في عالم العملات المشفرة.
كواحدة من أكثر منظمات الجريمة السيبرانية النشطة في التاريخ، يستخدم مجموعة لازاروستكتيكات القرصنة المتقدمةوغالباً ما تكون العمليات الأمامية للعناقيد البيضاء، مما يشير إلى دعم الدولة الكامل.
هذا يثير أسئلة حرجة حول مجموعة لازاروس، وتنفيذهم لهجوم بايبت المعقد وهجمات مماثلة أخرى، وكيف يمكن لمنظمات العملات المشفرة مواجهة هذه التهديد المتزايد. يستكشف هذا المقال هذه القضايا وأكثر من ذلك.
أصول وخلفية مجموعة لازاروس
تعتبر مجموعة لازاروس ممثلة تهديد مقرها في جمهورية كوريا الديمقراطية الشعبية (DPRK) أو كوريا الشمالية مشهورة بالتجسس الإلكتروني وسرقة الأموال.
نشطة منذ عام 2009، ومرتبطة بمكتب الاستطلاع العام الكوري الشمالي (RGB)، وكالة الاستخبارات الرئيسية للدولة. يُعرف مجموعة التهديد الدائمة المتقدمة (APT) بتنفيذ هجمات متقدمة عبر المنصات على المؤسسات المالية.تبادل العملات المشفرة, نقاط نهاية نظام SWIFT ، وكازينوهات وآلات الصراف الآلي في جميع أنحاء العالم.
اتصال المجموعة بوكالة المخابرات الوطنية يشير إلى رعاية الدولة. يحصل القراصنة على رعاية الدولة لأنشطتهم الخبيثة، مما يعني أنهم يمكنهم العمل دون خوف من إجراءات إنفاذ القانون المحلية. تهدف أنشطتهم ليس فقط لجمع المعلومات الاستخباراتية ولكن أيضًا لتوفير التمويل لبرامج الصواريخ والنووية في البلاد.
تطلق مكتب التحقيقات الفيدرالي الأمريكي (FBI) على مجموعة لازاروس منظمة قرصنة تدعمها الدولة الكورية الشمالية. كشف النازح الكوري الشمالي كيم كوك-سونغ أن الوحدة معروفة داخليًا باسم مكتب الارتباط 414 في كوريا الشمالية.
على مر السنين، قامت مجموعة لازاروس بتصعيد كبير في تطوير تكتيكاتها وكفاءتها، وكذلك في مدى أنشطتها.
هل تعلم؟ حددت مخابرات التهديدات في مايكروسوفت فريقًا من القراصنة يُعرف باسم "سافير سليت" كمجموعة تهديدات كورية شمالية مشاركة بشكل كبير في سرقة العملات المشفرة والاختراق الشركاتي. يشير مصطلح "سليت" إلى صلات الفريق الكوري الشمالي.
كيف تعمل مجموعة لازاروس؟
نظرًا للرعاية الحكومية، لدى مجموعة لازاروس الموارد والخبرة لـتنفيذ هجمات إلكترونية معقدة. ينفذ عمليات متعددة الطبقات، تشمل تطوير ونشر برامج ضارة مخصصة واستغلال الثغرات الأمنية التي لا يعرف عنها المطورون. يشير مصطلح "ثغرة يوم صفر" إلى ثغرة أمنية في البرنامج أو الأجهزة غير معروفة للمطور. وهذا يعني أنه لا يوجد أي إصلاح لها ولا استعداد لها.
إحدى سمات مجموعة لازاروس هي إنشاء برامج ضارة مخصصة، مثل MagicRAT و QuiteRAT، مصممة للتسلل والتحكم في الأنظمة المستهدفة. كما أنهم يعرفون أيضًا باستغلال الثغرات الأمنية السابقة غير المعروفة لاختراق الأنظمة قبل توفر التصحيحات.
الهندسة الاجتماعية هي مكون آخر حرج من استراتيجيتهم. إنها عن القراصنة الذين يستخدمون العواطف لخداع المستخدمين وإقناعهم بأداء إجراء معين، مثل مشاركة بيانات حاسمة. يقوم مجموعة لازاروس بتنفيذحملات الاحتيال, الذي يرسل رسائل بريد إلكتروني احتيالية إلى الأفراد الذين لا يشكون يقومون بتقمص شبكتهم لإغراءهم لكشف المعلومات السرية.
همقدرة التكيف وتقنيات التطورجعلت مجموعة لازارس تهديد دائم وقوي في المشهد العالمي لأمن المعلومات.
أفضل عمليات سرقة بواسطة مجموعة لازاروس
على مر السنين، كان هناك مجموعة متنوعة من الهجمات الإلكترونية التي تشارك فيها مجموعة لازاروس. إليك بعض السرقات الكبيرة التي نفذتها المجموعة:
سرقات العملات الرقمية
1. Bybit (فبراير 2025)
Bybit، وهي منصة تبادل عملات مشفرة مقرها في دبي،تعرضت لانتهاك أمني ضخم, فقدان 1.5 مليار دولار في الأصول الرقمية في فبراير 2025، مما جعله أكبر عملية سرقة للعملات الرقمية حتى الآن.
استهدف الهجوم واجهة SafeWallet المستخدمة من قبل تنفيذيي Bybit لتنفيذ المعاملات الاحتيالية. تم توزيع الأموال المسروقة، بشكل أساسي في الإيثر، بسرعة عبر عدة محافظ.تم تصفية عبر منصات مختلفة. قام الرئيس التنفيذي لشركة Bybit، بن زو، بتطمين المستخدمين بأن المحافظ الباردة الأخرى ظلت آمنة وأن عمليات السحب تعمل بشكل طبيعي.
شركات تحليل سلسلة الكتل، بما في ذلك Elliptic و Arkham Intelligence، تتبعت الأصول المسروقة ورtributedت لاحقًا الهجوم إلى مجموعة لازاروس المدعومة من الدولة الكورية الشمالية. أدى الانتهاك إلى موجة من السحب من Bybit، مما دفع بالتبادل إلى تأمين قرض جسري لتغطية الخسائر.
2. وازير اكس (يوليو ٢٠٢٤)
في يوليو 2024، تعرضت WazirX، أكبر بورصة للعملات المشفرة في الهند، لانتهاك أمني كبير أسفر عن خسارة تقدر بنحو 234.9 مليون دولار من الأصول الرقمية. الهجوم، الذي يُعزى إلى مجموعة Lazarus الكورية الشمالية، تضمن تقنيات احتيال متقدمة واستغلال واجهة برمجة التطبيقات (API).
قام القراصنة بتلاعب نظام محفظة WazirX للتوقيع المتعدد، مكتسبين وصولًا غير مصرح به إلى كل من المحافظ الساخنة والباردة. هذا الانتهاك أدى إلى تعليق أنشطة التداول وحث على التحديات القانونية، بما في ذلك دعوى قضائية من بورصة CoinSwitch المنافسة تسعى لاسترداد 9.65 مليون دولار من الأموال المحتجزة.
في يناير 2025، وافقت محكمة سنغافورة العليا على خطة إعادة هيكلة وازيرإكس، مما يسمح للشركة بالاجتماع مع الدائنين لمناقشة استراتيجيات استعادة الأصول.
3. Stake.com (سبتمبر 2023)
في سبتمبر 2023، اخترقت المجموعة Stake.com، وهي منصة مراهنات عملات مشفرة، من خلال الحصول على المسروقات واستخدامهاالمفاتيح الخاصة. This allowed them to siphon off $41 million across various blockchain networks.
المكتب الفدرالي الأمريكيمُنسوبتم تتبع هذا السرقة إلى مجموعة لازارس، المعروفة أيضًا باسم APT38. تم تتبع الأصول المسروقة عبر شبكات البلوكشين المتعددة، بما في ذلك إيثيريوم، BNB سمارت تشين وبوليغون.
4. CoinEx (سبتمبر 2023)
وفي وقت لاحق في سبتمبر 2023، أفادت CoinEx، وهي بورصة عملات رقمية عالمية، بوقوع معاملات غير مصرح بها تسببت في خسائر تقدر بنحو 54 مليون دولار.
التحقيقات التي قام بها محللو سلسلة الكتل، بما في ذلك محلل سلسلة الكتل زاك إكس بي تينمط الأمتعة المكشوفة وسلوكيات السلسلة الفعليةربط هذا الانتهاك بانتهاك Stake.com السابق، مما يوحي بجهود متنسقة من قبل مجموعة Lazarus.
5. CoinsPaid and Alphapo (يوليو 2023)
في 22 يوليو 2023، تعرضت CoinsPaid لهجوم إلكتروني مدبر بدقة أسفر عن سرقة 37.3 مليون دولار. نفذ الهجومة استراتيجية تشمل الرشوة وحملات توظيف وهمية استهدفت الأفراد الحرجين في الشركة خلال الأشهر القليلة الماضية قبل الانتهاك.
خلال الهجوم، لوحظ ارتفاع غير عادي في نشاط الشبكة، مع مشاركة أكثر من 150,000 عنوان IP مختلف. على الرغم من الخسارة المالية الكبيرة، عمل فريق CoinsPaid الداخلي بجدية على تحصين أنظمتهم، مضمنين بقاء أموال العملاء غير المتأثرة ومتاحة بالكامل.
في نفس اليوم، تعرضت شركة Alphapo، وهي مزود خدمات الدفع المركزية للعملات الرقمية لمختلف المنصات على الإنترنت، لانتهاك أمني في 23 يوليو 2023. وقدرت التقارير الأولية الخسائر بحوالي 23 مليون دولار. ومع ذلك، كشفت التحقيقات اللاحقة أن إجمالي المبالغ المسروقة تجاوز 60 مليون دولار. وقد نسب محللو سلسلة الكتل هذا الهجوم إلى مجموعة لازاروس، مشيرين إلى أن الأموال المسروقة تم تتبعها عبر عدة عناوين وسلاسل.
6. جسر هارموني هورايزن (يونيو 2022)
استغلت مجموعة لازاروس الثغرات في جسر هورايزن لهارموني في يونيو 2022. من خلال الهندسة الاجتماعية والتأثير على المحافظ متعددة التوقيع، قاموا بالفرار بمبلغ 100 مليون دولار، مما يسلط الضوء على المخاطر المرتبطة بالجسور العابرة للسلاسل (التي تسهل تحويل الأصول بين الشبكات مثل إثريوم، بيتكوين وشبكة بينانس الذكية).
استغل الهجمات الضعف في الأمان، مكتسبة السيطرة على محفظة التوقيع المتعدد المستخدمة لتفويض المعاملات. هذا الانتهاك سمح لهم بسحب ما يقرب من 100 مليون دولار في مختلف العملات المشفرة. تم غسل الأصول المسروقة من خلال خلاط Tornado Cash، معقدة جهود التتبع. كانت Elliptic من بين أوائل من نسب هذا الهجوم إلى مجموعة لازاروس، وهو تقييم أكده في وقت لاحق مكتب التحقيقات الفدرالي في يناير 2023.
7. جسر رونين (مارس 2022)
في مارس 2022، تم الكشف عن جسر رونين،جسر السلسلة العابرةدعم لعبة Axie Infinity,تعرض لانتهاك أمان كبيربأيدي مجموعة لازاروس، مما أدى إلى سرقة نحو 625 مليون دولار من العملات المشفرة.
شبكة رونين تعمل بتسعة مدققين، تتطلب موافقة على عمليات على الأقل خمس تواقيع. تمكن المهاجمون من السيطرة على خمسة مفاتيح خاصة، مما يتيح لهم الموافقة على سحب غير مصرح به.
قام القراصنة بجذب موظف في سكاي مافيس بعرض وظيفي مزيف، وتسليم ملف PDF مصاب بالبرمجيات الخبيثة التي أثرت على أنظمة الشركة الداخلية. هذا الوصول سمح للمهاجمين بالتحرك جانبيًا داخل الشبكة، والسيطرة على أربعة محققين يعملون بواسطة سكاي مافيس ومحقق إضافي يديره أكسيمنظمة مستقلة غير مركزية (DAO).
قامت المجموعة بدمج الهندسة الاجتماعية مع الكفاءة التقنية لتنفيذ اختراق جسر رونين.
8. محفظة Atomic (2022)
طوال عام 2022، تعرض مستخدمو Atomic Wallet، التطبيق اللامركزي لتخزين العملات المشفرة، لهجمات مستمرة نفذها مجموعة لازاروس.
نفذ المخترقون برامج ضارة مخصصة لاختراق المحافظ الفردية، مما أدى إلى خسائر تقدر بين 35 مليون دولار و100 مليون دولار. ربطت Elliptic هذه الانتهاكات بمجموعة لازاروس من خلال تتبع حركة الأموال المسروقة وتحديد أنماط تبييض الأموال متسقة مع أنشطة الفريق السابقة.
9. تبادل Bithumb (يوليو 2017)
في يوليو ٢٠١٧، نفذت مجموعة لازاروس هجومًا بريدًا إلكترونيًا موجهًا على بيثومب، واحدة من أكبر بورصات العملات المشفرة في كوريا الجنوبية.
من خلال التسلل إلى أنظمة البورصة الداخلية، تمكنوا من سرقة ما يقرب من 7 ملايين دولار من العملات الرقمية. شكل هذا الحادث واحدًا من أوائل الاختراقات الملحوظة للمجموعة في صناعة الأصول الرقمية الناشئة.
10. تبادل Youbit (أبريل وديسمبر 2017)
قامت مجموعة لازاروس بتنفيذ هجومين كبيرين على بورصة Youbit في كوريا الجنوبية في عام 2017. تضمن الهجوم الأول في أبريل استخدام البرامج الضارة وتقنيات الصيد الاحتيالي، مما أدى إلى اختراق أمان البورصة وتسبب في خسائر أصول كبيرة.
هاجم لاحق في ديسمبر أسفر عن فقدان 17٪ من أصول Youbit الإجمالية. الضغط المالي الناتج عن هذه الانتهاكات المتتالية دفع بالبورصة إلى افلاس، مما يؤكد على الأثر الخطير لنشاطات الفريق السيبرانية على منصات الأصول الرقمية.
هل تعلم؟ تنشر كوريا الشمالية آلاف العاملين في تكنولوجيا المعلومات عالميًا، بما في ذلك في روسيا والصين، لتوليد الإيرادات. يستخدمون ملفات تعريف تم إنشاؤها بواسطة الذكاء الاصطناعي وهويات مسروقة لتأمين مواقف تكنولوجية مربحة، مما يمكنهم من سرقة الملكية الفكرية، وابتزاز أصحاب العمل، وتحويل الأموال إلى النظام.
سرقات رئيسية أخرى
1. WannaCry (مايو 2017)
البرمجية الخبيثة WannaCryهجوم الفديةكانت حادثة أمن معلومات ضخمة أثرت على المؤسسات في جميع أنحاء العالم. في 12 مايو 2017، طفحت دودة الفدية واناكراي بأكثر من 200،000 كمبيوتر في أكثر من 150 دولة. وكانت ضحايا رئيسيين يتضمنون فيديكس، هوندا، نيسان و خدمة الصحة الوطنية في المملكة المتحدة (ن.ح.س)، التي اضطرت إلى إعادة توجيه سيارات الإسعاف بسبب اضطرابات النظام.
اكتشف باحث أمني وجود "مفتاح تشغيل" يوقف الهجوم مؤقتًا. لكن العديد من الأنظمة بقيت مقفلة حتى يدفع الضحايا الفدية أو يجدوا وسيلة لاستعادة بياناتهم. استغل WannaCry ثغرة تسمى "EternalBlue"، ثغرة طورتها أصلاً وكالة الأمن القومي الأمريكية (NSA).
تمت سرقة هذا الاستغلال لاحقًا وتسربه بواسطة Shadow Brokers. استهدف WannaCry بشكل أساسي أنظمة Microsoft Windows القديمة والغير مصلحة، مما سمح له بالانتشار بسرعة وتسبب في أضرار واسعة النطاق. أبرزت الهجمة الحاجة الحرجة لتحديثات البرامج الدورية والوعي بأمان المعلومات.
2. بنك بنغلاديش (فبراير 2016)
في فبراير 2016، عانت بنك بنغلاديش من عملية سطو سيبراني هامة، حيث حاول المهاجمون سرقة ما يقرب من 1 مليار دولار من حسابه في البنك الاحتياطي الفيدرالي في نيويورك. وقد نفذت الجناة، الذين تم التعرف عليهم لاحقًا باسم مجموعة لازاروس، اختراق أنظمة البنك في يناير 2015 من خلال مرفق بريد إلكتروني ضار. لقد درسوا عمليات البنك، وفي النهاية بدأوا 35 طلب تحويل احتيالي عبر شبكة SWIFT.
بينما تم حظر معظمها، تمت خمس معاملات بإجمالي قدره 101 مليون دولار بنجاح، حيث وصلت 81 مليون دولار إلى حسابات في الفلبين. خطأ طباعي في طلب النقل الواحد أثار الشكوك، مما منع السرقة الكاملة.
3. سوني بيكتشرز (نوفمبر 2014)
في نوفمبر 2014، تعرضت شركة سوني بيكتشرز إنترتينمنت لهجوم إلكتروني كبير نفذته حراس السلام، والذين كان لهم صلات بمجموعة لازاروس. تسلل المهاجمون إلى شبكة سوني، واطلعوا على كميات كبيرة من البيانات السرية، بما في ذلك الأفلام التي لم تصدر بعد، ومعلومات الموظفين الحساسة والاتصالات الداخلية.
نفذت الفرقة أيضًا برامج ضارة، مما جعل حوالي 70٪ من أجهزة سوني غير قابلة للتشغيل. كانت الأضرار المالية الناتجة عن الانتهاك كبيرة، حيث أفادت سوني بخسائر بقيمة 15 مليون دولار، على الرغم من أن تقديرات أخرى تشير إلى أن تكاليف الاستعادة قد تجاوزت 85 مليون دولار.
دافع الهجوم كان انتقامًا للإصدار المخطط له من قبل سوني لفيلم The Interview، وهو كوميدي يصور اغتيال الزعيم الكوري الشمالي كيم جونغ-أون.
على الرغم من إنكار كوريا الشمالية للضلوع في الهجوم، قامت الحكومة الأمريكية رسمياً بتسنيده للمهاجمين المحتملين الكوريين الشماليين، مؤكدة على قدرة مجموعة لازاروس على تنفيذ عمليات القرصنة الإلكترونية المتطورة بتأثير جيوسياسي ملحوظ.
هل تعلم؟ في أغسطس 2024، كشف زاكس بت عن تسلل 21 مطورًا كوريًا شماليًا إلى الشركات الناشئة للعملات المشفرة، حيث يكسبون 500،000 دولار شهريًا.
حددت مكتب التحقيقات الفدرالي القراصنة الرئيسيين في مجموعة لازاروس وراء الهجمات السيبرانية الرئيسية
اعترفت مكتب التحقيقات الفيدرالي علنًا بثلاثة مشتبه بهم من كوريا الشمالية كأعضاء في مجموعة لازاروس.
في سبتمبر 2018، قامت مكتب التحقيقات الفيدرالي بتوجيه اتهامات إلى بارك جين هيوك، وهو مواطن كوري شمالي مرتبط بلاظاروس، بدوره المزعوم في الهجمات السيبرانية الكبيرة. وقد ربطت بارك، الذي عمل على ما يبدو لصالح شركة تشوسون إكسبو جوينت فينتشر، وهي شركة كورية شمالية واجهية، بقرصنة سوني بيكتشرز في عام 2014 وسرقة بنك بنغلاديش في عام 2016، حيث تم سرقة 81 مليون دولار.
اتهمت مكتب التحقيقات الفدرالي أيضًا بارك بارتباطه بهجوم الفدية WannaCry 2.0 عام 2017، الذي أثر على المستشفيات، بما في ذلك NHS في المملكة المتحدة. تتبعه المحققون وشركاؤه من خلال رمز برامج ضارة مشترك، وتخزين اعتمادات مسروقة وخدمات وكيل تخفي عناوين IP الكورية الشمالية والصينية.
في فبراير 2021، وجهت وزارة العدل الأمريكية اتهامات لجون تشانغ هيوك وكيم إيل بمشاركتهما في جرائم القرصنة الإلكترونية العالمية. طور جون تطبيقات العملات الرقمية الخبيثة ونشرها لاختراق المؤسسات المالية، بينما قام كيم بتنسيق توزيع البرامج الضارة وسرقات العملات الرقمية وعرض عملة Marine Chain الأولية بطريقة احتيالية.
التكتيكات الشائعة المستخدمة من قبل مجموعة لازارس
توظف مجموعة لازاروس عدة تكتيكات متقدمة لتنفيذ هجمات إلكترونية، بما في ذلك الاضطراب، والتحويل، ومكافحة الجرائم الرقمية، وتقنيات الحماية:
تعطيل
يُجري لازاروس هجمات مخربة باستخدامخدمة الحجب الجماعي الموزعة (DDoS)وبرامج ضارة بمؤقتات زمنية. على سبيل المثال، يقوم الطروادة KILLMBR بمسح البيانات على النظام المستهدف في تاريخ محدد مسبقًا، بينما تقوم QDDOS، وهي برمجية ضارة، بمسح الملفات بعد الإصابة. أداة أخرى، DESTOVER، تعمل كباب خلفي ولكن لديها أيضًا قدرات مسح. تهدف هذه التكتيكات إلى تعطيل الأنظمة وجعلها غير قابلة للتشغيل.
تضليل
لتعتيم مشاركتهم، يقنع لازاروس بعض الهجمات كأنها عمل مجموعات خيالية مثل "GOP"، "WhoAmI" و "New Romanic Army". تدعي هذه المجموعات مسؤوليتها عن الهجوم، في حين أن لازاروس هو اللاعب وراء اللعبة. قد يقومون بتشويه المواقع الإلكترونية ببعض الدعاية. كما يضع لازاروس علمات كاذبة في برامج ضارة، مثل استخدام كلمات روسية محروفة بالرومانية في برنامج الوصول الخلفي KLIPOD.
أبواب خلفية
تعتمد Lazarus على الأبواب الخلفية للوصول المستمر إلى الأنظمة المخترقة ، ونشر أدوات مثل الباب الخلفي Manuscrypt (NukeSped) في حملات التصيد الاحتيالي وغرسات BLINDINGCAN و COPPERHEDGE ضد الأهداف الدفاعية.
تقنيات مكافحة الجرم الرقمي
لتغطية آثارهم، يستخدم لازاروس العديد من تقنيات مكافحة التحليل الرقمي:
- فصل المكونات: في العمليات المتعلقة بفرع بلونوروف من لازاروس، يقسم مكونات البرامج الضارة لعرقلة التحليل.
- أدوات سطر الأوامر: تعتمد العديد من الهجمات على الباب الخلفي لسطر الأوامر والمثبتات التي تتطلب وسيطات محددة. على سبيل المثال، يتطلب مثبت إطار Nestegg كلمة مرور كوسيط.
- المسح: يستخدم لازاروس المسح لمحو أدلة الهجوم بعد اكتمال العملية. تم رؤية عينات DESTOVER في بعض عمليات Bluenoroff.
- حذف سجل وتسجيل البيانات: يقوم لازاروس بحذف بيانات الـ prefetch وسجلات الأحداث وسجلات جدول الملفات الرئيسي (MFT) لإزالة الأدلة الجنائية.
من خلال دمج هذه التقنيات، تعمل لازاروس على تعطيل الأهداف بشكل فعال، وتضليل جهود التتبع، وإخفاء أنشطتها.
كيفية الدفاع ضد هجمات مجموعة لازاروس
الدفاع ضد التهديدات التي يشكلها مجموعة لازاروس يتطلب استراتيجية أمان شاملة. يجب على المؤسسات تنفيذ طبقات متعددة من الحماية لحماية أصولها الرقمية من الهجمات السيبرانية المتقدمة.
تشمل التدابير الدفاعية الرئيسية التي يجب عليك اعتمادها:
- حماية من هجمات الرفض الخدمة: يجب على المؤسسات اعتماد استراتيجيات تخفيف قوية لمنع انقطاع الخدمة والتسرب المحتمل للبيانات. تحديد وتعطيل مثل هذه الهجمات بشكل استباقي أمر حاسم.
- معلومات التهديد: استغلال معلومات التهديد يساعد على اكتشاف والاستجابة للتهديدات الإلكترونية، بما في ذلك برامج الفدية وهجمات الرفض الخدمة الموزعة. تحتاج إلى البقاء على اطلاع على التكتيكات المتطورة المستخدمة من قبل لازاروس لتشغيل عملياتهم.
- حماية الأصول: يجب على المؤسسات المالية وبورصات العملات المشفرة والأهداف ذات القيمة العالية الأخرى تأمين الأصول الرقمية الحرجة ضد هجمات لازاروس. من الأهمية بمكان حماية نقاط نظام SWIFT وأجهزة الصراف الآلي وبنية الأجهزة المصرفية.
- مراقبة التهديدات المستمرة: من الضروري مراقبة البنية التحتية للشبكة بشكل مستمر لاكتشاف والتصدي للاختراقات المحتملة. يجب على فرق الأمان التأكد من تحديث جميع الأنظمة بانتظام بأحدث التصحيحات لتقليل الثغرات.
- حلول أمان متعددة الطبقات: تعمل الحلول الأمنية المتقدمة، مثل تلك التي تدمج تحليل السلوك وتعلم الآلة وحماية من استغلال الثغرات، على تعزيز الدفاع ضد الهجمات المستهدفة. تضيف الأدوات التي تدمج ملاجئ الرمل وحماية من برامج الفدية طبقات إضافية من الأمان.
- الحماية في الوقت الحقيقي: عند التعامل مع هجمات معقدة، تحتاج إلى حماية في الوقت الحقيقي ضد الهجمات المستهدفة. يجب أن تكون قادرًا على اكتشاف الهجمات المستهدفة في أي مكان في الشبكة باستخدام تقنيات عبر الأجيال لتطبيق التكنولوجيا المناسبة في الوقت المناسب.
ومع ذلك، نظرًا لأن التكنولوجيا تعتبر مجالًا يتطور بسرعة ويستمر القراصنة في تطوير متجهات تهديد جديدة، يجب على الأفراد والمؤسسات البقاء على استعداد ومواصلة مراقبة التهديدات الناشئة بانتظام.
كأستاذ بيل بوكانان، خبير رائد في التشفير التطبيقي،يؤكد، "نحن بحاجة إلى الاستثمار بشكل كبير في الأمان السيبراني. وإلا، فإننا نتجه نحو عالم يُحمى فيه جورج أورويل في عام 1984، أو عالم يصبح فيه البشر عبيداً للآلة."
يسلط هذا البيان الضوء على الآثار العميقة للإهمال الأمني وضرورة الاستثمار المستمر في التدابير الوقائية.
تذكر، أن معركة مواجهة مثل هؤلاء الجهات الضارة المتطورة ليست مسألة دفاع واحدة وإنما استراتيجية مستمرة تشمل الوقاية والكشف والاستجابة السريعة.
في النهاية، يتطلب الدفاع ضد مجموعة لازاروس يقظة وأدوات أمن متقدمة والتزام تنظيمي بالتحسين المستمر. فقط من خلال هذه الجهود الجماعية يمكن للشركات والمؤسسات حماية أصولها، والحفاظ على الثقة، والبقاء خطوة واحدة قبل القراصنة الإلكترونيين.
تنصيح:
- تم نقل هذه المقالة من [GateCoinTelegraph]. جميع حقوق النشر تنتمي إلى الكاتب الأصلي [ديليب كومار باتايرياإذا كانت هناك اعتراضات على هذه الإعادة ، يرجى الاتصال بـ بوابة تعلمالفريق، وسوف يتعاملون معها بسرعة.
- تنصل المسؤولية: الآراء والآراء الواردة في هذه المقالة هي فقط تلك التي يعبر عنها الكاتب ولا تشكل أي نصيحة استثمارية.
- تتم الترجمات للمقالة إلى لغات أخرى من قبل فريق Gate Learn. ما لم يذكر غير ذلك، فإن نسخ أو توزيع أو سرقة المقالات المترجمة محظورة.
Compartilhar
Artigos relacionados
ما هو Tronscan وكيف يمكنك استخدامه؟
كل ما تريد معرفته عن Blockchain
ما هي كوساما؟ كل ما تريد معرفته عن KSM
من هو مجموعة لازاروس؟ القراصنة وراء سرقات بقيمة مليار دولار
الاحتيالات والاختراقات
النقاط الرئيسية
- تُعتبر مجموعة لازاروس فريقًا مدعومًا من الدولة الكورية الشمالية من قبل فريق من القراصنة مسؤول عن سرقات السيبرانية بقيمة مليارات الدولارات. تموّل عملياتهم برامج الصواريخ والنووية للبلاد.
- يستخدم لازاروس برامج ضارة مخصصة وثغرات يوم صفر وحملات الصيد بالرمح لاختراق المؤسسات المالية وبورصات العملات المشفرة والوكالات الحكومية.
- الهجمات الملحوظة تشمل اختراق Bybit بقيمة 1.5 مليار دولار (2025)، واختراق Ronin Bridge بقيمة 625 مليون دولار (2022)، وسرقة بنك بنغلاديش بقيمة 101 مليون دولار (2016).
- يستخدم الفريق تحويل الانتباه والباب الخلفي وتقنيات مكافحة الجرائم الرقمية ومسح البيانات لإخفاء آثارهم والحفاظ على الوصول للشبكات المخترقة على المدى الطويل.
سلط هجوم Bybit المشفر في 21 فبراير 2025 الضوء مرة أخرى على مجموعة Lazarus سيئة السمعة ، والتي "ينسب إليها" سلسلة من الهجمات المدمرة على شركات التشفير. منذ عام 2017 ، سرقت مجموعة Lazarus ما يقدر بنحو 6 مليارات دولار من صناعة التشفير ،وفقاإلى شركة تحليلات بلوكشين Elliptic. لا عجب أن لقد حصل لازاروس على لقب الشرير العظيم في عالم العملات المشفرة.
كواحدة من أكثر منظمات الجريمة السيبرانية النشطة في التاريخ، يستخدم مجموعة لازاروستكتيكات القرصنة المتقدمةوغالباً ما تكون العمليات الأمامية للعناقيد البيضاء، مما يشير إلى دعم الدولة الكامل.
هذا يثير أسئلة حرجة حول مجموعة لازاروس، وتنفيذهم لهجوم بايبت المعقد وهجمات مماثلة أخرى، وكيف يمكن لمنظمات العملات المشفرة مواجهة هذه التهديد المتزايد. يستكشف هذا المقال هذه القضايا وأكثر من ذلك.
أصول وخلفية مجموعة لازاروس
تعتبر مجموعة لازاروس ممثلة تهديد مقرها في جمهورية كوريا الديمقراطية الشعبية (DPRK) أو كوريا الشمالية مشهورة بالتجسس الإلكتروني وسرقة الأموال.
نشطة منذ عام 2009، ومرتبطة بمكتب الاستطلاع العام الكوري الشمالي (RGB)، وكالة الاستخبارات الرئيسية للدولة. يُعرف مجموعة التهديد الدائمة المتقدمة (APT) بتنفيذ هجمات متقدمة عبر المنصات على المؤسسات المالية.تبادل العملات المشفرة, نقاط نهاية نظام SWIFT ، وكازينوهات وآلات الصراف الآلي في جميع أنحاء العالم.
اتصال المجموعة بوكالة المخابرات الوطنية يشير إلى رعاية الدولة. يحصل القراصنة على رعاية الدولة لأنشطتهم الخبيثة، مما يعني أنهم يمكنهم العمل دون خوف من إجراءات إنفاذ القانون المحلية. تهدف أنشطتهم ليس فقط لجمع المعلومات الاستخباراتية ولكن أيضًا لتوفير التمويل لبرامج الصواريخ والنووية في البلاد.
تطلق مكتب التحقيقات الفيدرالي الأمريكي (FBI) على مجموعة لازاروس منظمة قرصنة تدعمها الدولة الكورية الشمالية. كشف النازح الكوري الشمالي كيم كوك-سونغ أن الوحدة معروفة داخليًا باسم مكتب الارتباط 414 في كوريا الشمالية.
على مر السنين، قامت مجموعة لازاروس بتصعيد كبير في تطوير تكتيكاتها وكفاءتها، وكذلك في مدى أنشطتها.
هل تعلم؟ حددت مخابرات التهديدات في مايكروسوفت فريقًا من القراصنة يُعرف باسم "سافير سليت" كمجموعة تهديدات كورية شمالية مشاركة بشكل كبير في سرقة العملات المشفرة والاختراق الشركاتي. يشير مصطلح "سليت" إلى صلات الفريق الكوري الشمالي.
كيف تعمل مجموعة لازاروس؟
نظرًا للرعاية الحكومية، لدى مجموعة لازاروس الموارد والخبرة لـتنفيذ هجمات إلكترونية معقدة. ينفذ عمليات متعددة الطبقات، تشمل تطوير ونشر برامج ضارة مخصصة واستغلال الثغرات الأمنية التي لا يعرف عنها المطورون. يشير مصطلح "ثغرة يوم صفر" إلى ثغرة أمنية في البرنامج أو الأجهزة غير معروفة للمطور. وهذا يعني أنه لا يوجد أي إصلاح لها ولا استعداد لها.
إحدى سمات مجموعة لازاروس هي إنشاء برامج ضارة مخصصة، مثل MagicRAT و QuiteRAT، مصممة للتسلل والتحكم في الأنظمة المستهدفة. كما أنهم يعرفون أيضًا باستغلال الثغرات الأمنية السابقة غير المعروفة لاختراق الأنظمة قبل توفر التصحيحات.
الهندسة الاجتماعية هي مكون آخر حرج من استراتيجيتهم. إنها عن القراصنة الذين يستخدمون العواطف لخداع المستخدمين وإقناعهم بأداء إجراء معين، مثل مشاركة بيانات حاسمة. يقوم مجموعة لازاروس بتنفيذحملات الاحتيال, الذي يرسل رسائل بريد إلكتروني احتيالية إلى الأفراد الذين لا يشكون يقومون بتقمص شبكتهم لإغراءهم لكشف المعلومات السرية.
همقدرة التكيف وتقنيات التطورجعلت مجموعة لازارس تهديد دائم وقوي في المشهد العالمي لأمن المعلومات.
أفضل عمليات سرقة بواسطة مجموعة لازاروس
على مر السنين، كان هناك مجموعة متنوعة من الهجمات الإلكترونية التي تشارك فيها مجموعة لازاروس. إليك بعض السرقات الكبيرة التي نفذتها المجموعة:
سرقات العملات الرقمية
1. Bybit (فبراير 2025)
Bybit، وهي منصة تبادل عملات مشفرة مقرها في دبي،تعرضت لانتهاك أمني ضخم, فقدان 1.5 مليار دولار في الأصول الرقمية في فبراير 2025، مما جعله أكبر عملية سرقة للعملات الرقمية حتى الآن.
استهدف الهجوم واجهة SafeWallet المستخدمة من قبل تنفيذيي Bybit لتنفيذ المعاملات الاحتيالية. تم توزيع الأموال المسروقة، بشكل أساسي في الإيثر، بسرعة عبر عدة محافظ.تم تصفية عبر منصات مختلفة. قام الرئيس التنفيذي لشركة Bybit، بن زو، بتطمين المستخدمين بأن المحافظ الباردة الأخرى ظلت آمنة وأن عمليات السحب تعمل بشكل طبيعي.
شركات تحليل سلسلة الكتل، بما في ذلك Elliptic و Arkham Intelligence، تتبعت الأصول المسروقة ورtributedت لاحقًا الهجوم إلى مجموعة لازاروس المدعومة من الدولة الكورية الشمالية. أدى الانتهاك إلى موجة من السحب من Bybit، مما دفع بالتبادل إلى تأمين قرض جسري لتغطية الخسائر.
2. وازير اكس (يوليو ٢٠٢٤)
في يوليو 2024، تعرضت WazirX، أكبر بورصة للعملات المشفرة في الهند، لانتهاك أمني كبير أسفر عن خسارة تقدر بنحو 234.9 مليون دولار من الأصول الرقمية. الهجوم، الذي يُعزى إلى مجموعة Lazarus الكورية الشمالية، تضمن تقنيات احتيال متقدمة واستغلال واجهة برمجة التطبيقات (API).
قام القراصنة بتلاعب نظام محفظة WazirX للتوقيع المتعدد، مكتسبين وصولًا غير مصرح به إلى كل من المحافظ الساخنة والباردة. هذا الانتهاك أدى إلى تعليق أنشطة التداول وحث على التحديات القانونية، بما في ذلك دعوى قضائية من بورصة CoinSwitch المنافسة تسعى لاسترداد 9.65 مليون دولار من الأموال المحتجزة.
في يناير 2025، وافقت محكمة سنغافورة العليا على خطة إعادة هيكلة وازيرإكس، مما يسمح للشركة بالاجتماع مع الدائنين لمناقشة استراتيجيات استعادة الأصول.
3. Stake.com (سبتمبر 2023)
في سبتمبر 2023، اخترقت المجموعة Stake.com، وهي منصة مراهنات عملات مشفرة، من خلال الحصول على المسروقات واستخدامهاالمفاتيح الخاصة. This allowed them to siphon off $41 million across various blockchain networks.
المكتب الفدرالي الأمريكيمُنسوبتم تتبع هذا السرقة إلى مجموعة لازارس، المعروفة أيضًا باسم APT38. تم تتبع الأصول المسروقة عبر شبكات البلوكشين المتعددة، بما في ذلك إيثيريوم، BNB سمارت تشين وبوليغون.
4. CoinEx (سبتمبر 2023)
وفي وقت لاحق في سبتمبر 2023، أفادت CoinEx، وهي بورصة عملات رقمية عالمية، بوقوع معاملات غير مصرح بها تسببت في خسائر تقدر بنحو 54 مليون دولار.
التحقيقات التي قام بها محللو سلسلة الكتل، بما في ذلك محلل سلسلة الكتل زاك إكس بي تينمط الأمتعة المكشوفة وسلوكيات السلسلة الفعليةربط هذا الانتهاك بانتهاك Stake.com السابق، مما يوحي بجهود متنسقة من قبل مجموعة Lazarus.
5. CoinsPaid and Alphapo (يوليو 2023)
في 22 يوليو 2023، تعرضت CoinsPaid لهجوم إلكتروني مدبر بدقة أسفر عن سرقة 37.3 مليون دولار. نفذ الهجومة استراتيجية تشمل الرشوة وحملات توظيف وهمية استهدفت الأفراد الحرجين في الشركة خلال الأشهر القليلة الماضية قبل الانتهاك.
خلال الهجوم، لوحظ ارتفاع غير عادي في نشاط الشبكة، مع مشاركة أكثر من 150,000 عنوان IP مختلف. على الرغم من الخسارة المالية الكبيرة، عمل فريق CoinsPaid الداخلي بجدية على تحصين أنظمتهم، مضمنين بقاء أموال العملاء غير المتأثرة ومتاحة بالكامل.
في نفس اليوم، تعرضت شركة Alphapo، وهي مزود خدمات الدفع المركزية للعملات الرقمية لمختلف المنصات على الإنترنت، لانتهاك أمني في 23 يوليو 2023. وقدرت التقارير الأولية الخسائر بحوالي 23 مليون دولار. ومع ذلك، كشفت التحقيقات اللاحقة أن إجمالي المبالغ المسروقة تجاوز 60 مليون دولار. وقد نسب محللو سلسلة الكتل هذا الهجوم إلى مجموعة لازاروس، مشيرين إلى أن الأموال المسروقة تم تتبعها عبر عدة عناوين وسلاسل.
6. جسر هارموني هورايزن (يونيو 2022)
استغلت مجموعة لازاروس الثغرات في جسر هورايزن لهارموني في يونيو 2022. من خلال الهندسة الاجتماعية والتأثير على المحافظ متعددة التوقيع، قاموا بالفرار بمبلغ 100 مليون دولار، مما يسلط الضوء على المخاطر المرتبطة بالجسور العابرة للسلاسل (التي تسهل تحويل الأصول بين الشبكات مثل إثريوم، بيتكوين وشبكة بينانس الذكية).
استغل الهجمات الضعف في الأمان، مكتسبة السيطرة على محفظة التوقيع المتعدد المستخدمة لتفويض المعاملات. هذا الانتهاك سمح لهم بسحب ما يقرب من 100 مليون دولار في مختلف العملات المشفرة. تم غسل الأصول المسروقة من خلال خلاط Tornado Cash، معقدة جهود التتبع. كانت Elliptic من بين أوائل من نسب هذا الهجوم إلى مجموعة لازاروس، وهو تقييم أكده في وقت لاحق مكتب التحقيقات الفدرالي في يناير 2023.
7. جسر رونين (مارس 2022)
في مارس 2022، تم الكشف عن جسر رونين،جسر السلسلة العابرةدعم لعبة Axie Infinity,تعرض لانتهاك أمان كبيربأيدي مجموعة لازاروس، مما أدى إلى سرقة نحو 625 مليون دولار من العملات المشفرة.
شبكة رونين تعمل بتسعة مدققين، تتطلب موافقة على عمليات على الأقل خمس تواقيع. تمكن المهاجمون من السيطرة على خمسة مفاتيح خاصة، مما يتيح لهم الموافقة على سحب غير مصرح به.
قام القراصنة بجذب موظف في سكاي مافيس بعرض وظيفي مزيف، وتسليم ملف PDF مصاب بالبرمجيات الخبيثة التي أثرت على أنظمة الشركة الداخلية. هذا الوصول سمح للمهاجمين بالتحرك جانبيًا داخل الشبكة، والسيطرة على أربعة محققين يعملون بواسطة سكاي مافيس ومحقق إضافي يديره أكسيمنظمة مستقلة غير مركزية (DAO).
قامت المجموعة بدمج الهندسة الاجتماعية مع الكفاءة التقنية لتنفيذ اختراق جسر رونين.
8. محفظة Atomic (2022)
طوال عام 2022، تعرض مستخدمو Atomic Wallet، التطبيق اللامركزي لتخزين العملات المشفرة، لهجمات مستمرة نفذها مجموعة لازاروس.
نفذ المخترقون برامج ضارة مخصصة لاختراق المحافظ الفردية، مما أدى إلى خسائر تقدر بين 35 مليون دولار و100 مليون دولار. ربطت Elliptic هذه الانتهاكات بمجموعة لازاروس من خلال تتبع حركة الأموال المسروقة وتحديد أنماط تبييض الأموال متسقة مع أنشطة الفريق السابقة.
9. تبادل Bithumb (يوليو 2017)
في يوليو ٢٠١٧، نفذت مجموعة لازاروس هجومًا بريدًا إلكترونيًا موجهًا على بيثومب، واحدة من أكبر بورصات العملات المشفرة في كوريا الجنوبية.
من خلال التسلل إلى أنظمة البورصة الداخلية، تمكنوا من سرقة ما يقرب من 7 ملايين دولار من العملات الرقمية. شكل هذا الحادث واحدًا من أوائل الاختراقات الملحوظة للمجموعة في صناعة الأصول الرقمية الناشئة.
10. تبادل Youbit (أبريل وديسمبر 2017)
قامت مجموعة لازاروس بتنفيذ هجومين كبيرين على بورصة Youbit في كوريا الجنوبية في عام 2017. تضمن الهجوم الأول في أبريل استخدام البرامج الضارة وتقنيات الصيد الاحتيالي، مما أدى إلى اختراق أمان البورصة وتسبب في خسائر أصول كبيرة.
هاجم لاحق في ديسمبر أسفر عن فقدان 17٪ من أصول Youbit الإجمالية. الضغط المالي الناتج عن هذه الانتهاكات المتتالية دفع بالبورصة إلى افلاس، مما يؤكد على الأثر الخطير لنشاطات الفريق السيبرانية على منصات الأصول الرقمية.
هل تعلم؟ تنشر كوريا الشمالية آلاف العاملين في تكنولوجيا المعلومات عالميًا، بما في ذلك في روسيا والصين، لتوليد الإيرادات. يستخدمون ملفات تعريف تم إنشاؤها بواسطة الذكاء الاصطناعي وهويات مسروقة لتأمين مواقف تكنولوجية مربحة، مما يمكنهم من سرقة الملكية الفكرية، وابتزاز أصحاب العمل، وتحويل الأموال إلى النظام.
سرقات رئيسية أخرى
1. WannaCry (مايو 2017)
البرمجية الخبيثة WannaCryهجوم الفديةكانت حادثة أمن معلومات ضخمة أثرت على المؤسسات في جميع أنحاء العالم. في 12 مايو 2017، طفحت دودة الفدية واناكراي بأكثر من 200،000 كمبيوتر في أكثر من 150 دولة. وكانت ضحايا رئيسيين يتضمنون فيديكس، هوندا، نيسان و خدمة الصحة الوطنية في المملكة المتحدة (ن.ح.س)، التي اضطرت إلى إعادة توجيه سيارات الإسعاف بسبب اضطرابات النظام.
اكتشف باحث أمني وجود "مفتاح تشغيل" يوقف الهجوم مؤقتًا. لكن العديد من الأنظمة بقيت مقفلة حتى يدفع الضحايا الفدية أو يجدوا وسيلة لاستعادة بياناتهم. استغل WannaCry ثغرة تسمى "EternalBlue"، ثغرة طورتها أصلاً وكالة الأمن القومي الأمريكية (NSA).
تمت سرقة هذا الاستغلال لاحقًا وتسربه بواسطة Shadow Brokers. استهدف WannaCry بشكل أساسي أنظمة Microsoft Windows القديمة والغير مصلحة، مما سمح له بالانتشار بسرعة وتسبب في أضرار واسعة النطاق. أبرزت الهجمة الحاجة الحرجة لتحديثات البرامج الدورية والوعي بأمان المعلومات.
2. بنك بنغلاديش (فبراير 2016)
في فبراير 2016، عانت بنك بنغلاديش من عملية سطو سيبراني هامة، حيث حاول المهاجمون سرقة ما يقرب من 1 مليار دولار من حسابه في البنك الاحتياطي الفيدرالي في نيويورك. وقد نفذت الجناة، الذين تم التعرف عليهم لاحقًا باسم مجموعة لازاروس، اختراق أنظمة البنك في يناير 2015 من خلال مرفق بريد إلكتروني ضار. لقد درسوا عمليات البنك، وفي النهاية بدأوا 35 طلب تحويل احتيالي عبر شبكة SWIFT.
بينما تم حظر معظمها، تمت خمس معاملات بإجمالي قدره 101 مليون دولار بنجاح، حيث وصلت 81 مليون دولار إلى حسابات في الفلبين. خطأ طباعي في طلب النقل الواحد أثار الشكوك، مما منع السرقة الكاملة.
3. سوني بيكتشرز (نوفمبر 2014)
في نوفمبر 2014، تعرضت شركة سوني بيكتشرز إنترتينمنت لهجوم إلكتروني كبير نفذته حراس السلام، والذين كان لهم صلات بمجموعة لازاروس. تسلل المهاجمون إلى شبكة سوني، واطلعوا على كميات كبيرة من البيانات السرية، بما في ذلك الأفلام التي لم تصدر بعد، ومعلومات الموظفين الحساسة والاتصالات الداخلية.
نفذت الفرقة أيضًا برامج ضارة، مما جعل حوالي 70٪ من أجهزة سوني غير قابلة للتشغيل. كانت الأضرار المالية الناتجة عن الانتهاك كبيرة، حيث أفادت سوني بخسائر بقيمة 15 مليون دولار، على الرغم من أن تقديرات أخرى تشير إلى أن تكاليف الاستعادة قد تجاوزت 85 مليون دولار.
دافع الهجوم كان انتقامًا للإصدار المخطط له من قبل سوني لفيلم The Interview، وهو كوميدي يصور اغتيال الزعيم الكوري الشمالي كيم جونغ-أون.
على الرغم من إنكار كوريا الشمالية للضلوع في الهجوم، قامت الحكومة الأمريكية رسمياً بتسنيده للمهاجمين المحتملين الكوريين الشماليين، مؤكدة على قدرة مجموعة لازاروس على تنفيذ عمليات القرصنة الإلكترونية المتطورة بتأثير جيوسياسي ملحوظ.
هل تعلم؟ في أغسطس 2024، كشف زاكس بت عن تسلل 21 مطورًا كوريًا شماليًا إلى الشركات الناشئة للعملات المشفرة، حيث يكسبون 500،000 دولار شهريًا.
حددت مكتب التحقيقات الفدرالي القراصنة الرئيسيين في مجموعة لازاروس وراء الهجمات السيبرانية الرئيسية
اعترفت مكتب التحقيقات الفيدرالي علنًا بثلاثة مشتبه بهم من كوريا الشمالية كأعضاء في مجموعة لازاروس.
في سبتمبر 2018، قامت مكتب التحقيقات الفيدرالي بتوجيه اتهامات إلى بارك جين هيوك، وهو مواطن كوري شمالي مرتبط بلاظاروس، بدوره المزعوم في الهجمات السيبرانية الكبيرة. وقد ربطت بارك، الذي عمل على ما يبدو لصالح شركة تشوسون إكسبو جوينت فينتشر، وهي شركة كورية شمالية واجهية، بقرصنة سوني بيكتشرز في عام 2014 وسرقة بنك بنغلاديش في عام 2016، حيث تم سرقة 81 مليون دولار.
اتهمت مكتب التحقيقات الفدرالي أيضًا بارك بارتباطه بهجوم الفدية WannaCry 2.0 عام 2017، الذي أثر على المستشفيات، بما في ذلك NHS في المملكة المتحدة. تتبعه المحققون وشركاؤه من خلال رمز برامج ضارة مشترك، وتخزين اعتمادات مسروقة وخدمات وكيل تخفي عناوين IP الكورية الشمالية والصينية.
في فبراير 2021، وجهت وزارة العدل الأمريكية اتهامات لجون تشانغ هيوك وكيم إيل بمشاركتهما في جرائم القرصنة الإلكترونية العالمية. طور جون تطبيقات العملات الرقمية الخبيثة ونشرها لاختراق المؤسسات المالية، بينما قام كيم بتنسيق توزيع البرامج الضارة وسرقات العملات الرقمية وعرض عملة Marine Chain الأولية بطريقة احتيالية.
التكتيكات الشائعة المستخدمة من قبل مجموعة لازارس
توظف مجموعة لازاروس عدة تكتيكات متقدمة لتنفيذ هجمات إلكترونية، بما في ذلك الاضطراب، والتحويل، ومكافحة الجرائم الرقمية، وتقنيات الحماية:
تعطيل
يُجري لازاروس هجمات مخربة باستخدامخدمة الحجب الجماعي الموزعة (DDoS)وبرامج ضارة بمؤقتات زمنية. على سبيل المثال، يقوم الطروادة KILLMBR بمسح البيانات على النظام المستهدف في تاريخ محدد مسبقًا، بينما تقوم QDDOS، وهي برمجية ضارة، بمسح الملفات بعد الإصابة. أداة أخرى، DESTOVER، تعمل كباب خلفي ولكن لديها أيضًا قدرات مسح. تهدف هذه التكتيكات إلى تعطيل الأنظمة وجعلها غير قابلة للتشغيل.
تضليل
لتعتيم مشاركتهم، يقنع لازاروس بعض الهجمات كأنها عمل مجموعات خيالية مثل "GOP"، "WhoAmI" و "New Romanic Army". تدعي هذه المجموعات مسؤوليتها عن الهجوم، في حين أن لازاروس هو اللاعب وراء اللعبة. قد يقومون بتشويه المواقع الإلكترونية ببعض الدعاية. كما يضع لازاروس علمات كاذبة في برامج ضارة، مثل استخدام كلمات روسية محروفة بالرومانية في برنامج الوصول الخلفي KLIPOD.
أبواب خلفية
تعتمد Lazarus على الأبواب الخلفية للوصول المستمر إلى الأنظمة المخترقة ، ونشر أدوات مثل الباب الخلفي Manuscrypt (NukeSped) في حملات التصيد الاحتيالي وغرسات BLINDINGCAN و COPPERHEDGE ضد الأهداف الدفاعية.
تقنيات مكافحة الجرم الرقمي
لتغطية آثارهم، يستخدم لازاروس العديد من تقنيات مكافحة التحليل الرقمي:
- فصل المكونات: في العمليات المتعلقة بفرع بلونوروف من لازاروس، يقسم مكونات البرامج الضارة لعرقلة التحليل.
- أدوات سطر الأوامر: تعتمد العديد من الهجمات على الباب الخلفي لسطر الأوامر والمثبتات التي تتطلب وسيطات محددة. على سبيل المثال، يتطلب مثبت إطار Nestegg كلمة مرور كوسيط.
- المسح: يستخدم لازاروس المسح لمحو أدلة الهجوم بعد اكتمال العملية. تم رؤية عينات DESTOVER في بعض عمليات Bluenoroff.
- حذف سجل وتسجيل البيانات: يقوم لازاروس بحذف بيانات الـ prefetch وسجلات الأحداث وسجلات جدول الملفات الرئيسي (MFT) لإزالة الأدلة الجنائية.
من خلال دمج هذه التقنيات، تعمل لازاروس على تعطيل الأهداف بشكل فعال، وتضليل جهود التتبع، وإخفاء أنشطتها.
كيفية الدفاع ضد هجمات مجموعة لازاروس
الدفاع ضد التهديدات التي يشكلها مجموعة لازاروس يتطلب استراتيجية أمان شاملة. يجب على المؤسسات تنفيذ طبقات متعددة من الحماية لحماية أصولها الرقمية من الهجمات السيبرانية المتقدمة.
تشمل التدابير الدفاعية الرئيسية التي يجب عليك اعتمادها:
- حماية من هجمات الرفض الخدمة: يجب على المؤسسات اعتماد استراتيجيات تخفيف قوية لمنع انقطاع الخدمة والتسرب المحتمل للبيانات. تحديد وتعطيل مثل هذه الهجمات بشكل استباقي أمر حاسم.
- معلومات التهديد: استغلال معلومات التهديد يساعد على اكتشاف والاستجابة للتهديدات الإلكترونية، بما في ذلك برامج الفدية وهجمات الرفض الخدمة الموزعة. تحتاج إلى البقاء على اطلاع على التكتيكات المتطورة المستخدمة من قبل لازاروس لتشغيل عملياتهم.
- حماية الأصول: يجب على المؤسسات المالية وبورصات العملات المشفرة والأهداف ذات القيمة العالية الأخرى تأمين الأصول الرقمية الحرجة ضد هجمات لازاروس. من الأهمية بمكان حماية نقاط نظام SWIFT وأجهزة الصراف الآلي وبنية الأجهزة المصرفية.
- مراقبة التهديدات المستمرة: من الضروري مراقبة البنية التحتية للشبكة بشكل مستمر لاكتشاف والتصدي للاختراقات المحتملة. يجب على فرق الأمان التأكد من تحديث جميع الأنظمة بانتظام بأحدث التصحيحات لتقليل الثغرات.
- حلول أمان متعددة الطبقات: تعمل الحلول الأمنية المتقدمة، مثل تلك التي تدمج تحليل السلوك وتعلم الآلة وحماية من استغلال الثغرات، على تعزيز الدفاع ضد الهجمات المستهدفة. تضيف الأدوات التي تدمج ملاجئ الرمل وحماية من برامج الفدية طبقات إضافية من الأمان.
- الحماية في الوقت الحقيقي: عند التعامل مع هجمات معقدة، تحتاج إلى حماية في الوقت الحقيقي ضد الهجمات المستهدفة. يجب أن تكون قادرًا على اكتشاف الهجمات المستهدفة في أي مكان في الشبكة باستخدام تقنيات عبر الأجيال لتطبيق التكنولوجيا المناسبة في الوقت المناسب.
ومع ذلك، نظرًا لأن التكنولوجيا تعتبر مجالًا يتطور بسرعة ويستمر القراصنة في تطوير متجهات تهديد جديدة، يجب على الأفراد والمؤسسات البقاء على استعداد ومواصلة مراقبة التهديدات الناشئة بانتظام.
كأستاذ بيل بوكانان، خبير رائد في التشفير التطبيقي،يؤكد، "نحن بحاجة إلى الاستثمار بشكل كبير في الأمان السيبراني. وإلا، فإننا نتجه نحو عالم يُحمى فيه جورج أورويل في عام 1984، أو عالم يصبح فيه البشر عبيداً للآلة."
يسلط هذا البيان الضوء على الآثار العميقة للإهمال الأمني وضرورة الاستثمار المستمر في التدابير الوقائية.
تذكر، أن معركة مواجهة مثل هؤلاء الجهات الضارة المتطورة ليست مسألة دفاع واحدة وإنما استراتيجية مستمرة تشمل الوقاية والكشف والاستجابة السريعة.
في النهاية، يتطلب الدفاع ضد مجموعة لازاروس يقظة وأدوات أمن متقدمة والتزام تنظيمي بالتحسين المستمر. فقط من خلال هذه الجهود الجماعية يمكن للشركات والمؤسسات حماية أصولها، والحفاظ على الثقة، والبقاء خطوة واحدة قبل القراصنة الإلكترونيين.
تنصيح:
- تم نقل هذه المقالة من [GateCoinTelegraph]. جميع حقوق النشر تنتمي إلى الكاتب الأصلي [ديليب كومار باتايرياإذا كانت هناك اعتراضات على هذه الإعادة ، يرجى الاتصال بـ بوابة تعلمالفريق، وسوف يتعاملون معها بسرعة.
- تنصل المسؤولية: الآراء والآراء الواردة في هذه المقالة هي فقط تلك التي يعبر عنها الكاتب ولا تشكل أي نصيحة استثمارية.
- تتم الترجمات للمقالة إلى لغات أخرى من قبل فريق Gate Learn. ما لم يذكر غير ذلك، فإن نسخ أو توزيع أو سرقة المقالات المترجمة محظورة.
Artigos relacionados
ما هو Tronscan وكيف يمكنك استخدامه؟
كل ما تريد معرفته عن Blockchain