يبدو أن مجموعة القراصنة الكورية الشمالية Lazarus قد كثفت عملياتها مؤخرًا، مع أربع هجمات مؤكدة على كيانات العملات المشفرة منذ 3 يونيو. والآن، يشتبه في قيامهم بتنفيذ هجوم خامس، هذه المرة على CoinEx في 12 سبتمبر. ردًا على ذلك، أصدرت CoinEx عدة تغريدات تفيد بأن عنوان المحفظة المشبوه لا يزال قيد التأكيد، وبالتالي فإن القيمة الإجمالية للأموال المسروقة غير معروفة، ولكن يعتقد حاليًا أنها تبلغ حوالي 54 مليون دولار.
على مدار الـ 104 أيام الماضية، تم التأكد من قيام Lazarus بسرقة ما يقرب من 240 مليون دولار من أصول العملات المشفرة من AtomicWallet (100 مليون دولار)، وCoinsPaid (37.3 مليون دولار)، وAlphapo (60 مليون دولار)، وStake.com (41 مليون دولار).
آخر هجوم لازاروس
كما هو موضح أعلاه، أكد التحليل الذي أجرته وكالة الأمن Elliptic أن بعض الأموال المسروقة من CoinEx تم إرسالها إلى عنوان استخدمته مجموعة Lazarus لغسل الأموال المسروقة من Stake.com، وإن كان ذلك على blockchain مختلف. تم بعد ذلك نقل الأموال إلى Ethereum، باستخدام جسر استخدمه Lazarus سابقًا، ثم إرسالها مرة أخرى إلى عنوان معروف أنه يتحكم فيه قراصنة CoinEx. وقد لاحظ إليبو أن شركة Lazarus تخلط الأموال من قراصنة مختلفين، وكان آخرها عندما تداخلت الأموال المسروقة من Stake.com مع الأموال المسروقة من AtomicWallet. تظهر هذه الحالات من الأموال التي تم جمعها من قراصنة مختلفين باللون البرتقالي في الصورة أدناه.
نظرًا لنشاط blockchain هذا ونقص المعلومات التي تشير إلى أن اختراق CoinEx قد تم تنفيذه من قبل أي مجموعة تهديد أخرى، يوافق Illip على أنه يجب الاشتباه في قيام Lazarus Group بسرقة أموال CoinEx.
خمس هجمات لعازر في 104 أيام
في عام 2022، نُسبت العديد من الاختراقات البارزة إلى Lazarus، بما في ذلك جسر Harmony's Horizon وجسر AxieInfinity's Ronin، وكلاهما حدث في النصف الأول من العام الماضي. ومنذ ذلك الحين وحتى شهر يونيو من هذا العام، لم يتم نسب أي من علماء التشفير الرئيسيين علنًا إلى لعازر. ولذلك، فإن حوادث القرصنة المختلفة التي وقعت خلال الـ 104 أيام الماضية تشير إلى زيادة في أنشطة مجموعات التهديد الكورية الشمالية.
في 3 يونيو 2023، خسر مستخدمو محفظة العملات المشفرة اللامركزية غير الاحتجازية AtomicWallet أكثر من 100 مليون دولار. في 6 يونيو 2023، نسب إيليب الاختراق إلى لازاروس بعد تحديد عوامل متعددة تشير إلى مسؤولية مجموعة التهديد الكورية الشمالية. تم تأكيد هذا الإسناد لاحقًا من قبل مكتب التحقيقات الفيدرالي.
في 22 يوليو 2023، تمكن Lazarus من الوصول إلى محفظة ساخنة تابعة لمنصة دفع العملات المشفرة CoinsPaid من خلال هجوم هندسة اجتماعية ناجح. سمح الوصول للمهاجمين بإنشاء طلبات ترخيص لسحب ما يقرب من 37.3 مليون دولار من أصول العملات المشفرة من المحافظ الساخنة للمنصة. في 26 يوليو، نشرت CoinsPaid تقريرًا يدعي أن Lazarus كان مسؤولاً عن الهجوم. وأكد مكتب التحقيقات الفيدرالي في وقت لاحق هذا الإسناد.
وفي نفس اليوم، 22 يوليو، شنت شركة Lazarus هجومًا آخر رفيع المستوى، استهدف هذه المرة مزود مدفوعات العملات المشفرة المركزي Alphapo، وسرقت 60 مليون دولار من أصول العملات المشفرة. ربما تمكن المهاجم من الوصول من خلال مفتاح خاص تم تسريبه مسبقًا. وكما ذكر أعلاه، نسب مكتب التحقيقات الفيدرالي لاحقًا الهجوم إلى لازاروس.
في 4 سبتمبر 2023، تعرض كازينو Stake.com للعملات المشفرة عبر الإنترنت للهجوم وسُرق ما يقرب من 41 مليون دولار من العملات الافتراضية، ربما نتيجة لسرقة مفاتيح خاصة. أصدر مكتب التحقيقات الفيدرالي بيانًا صحفيًا في 6 سبتمبر أكد فيه أن مجموعة لازاروس كانت وراء الهجوم.
أخيرًا، في 12 سبتمبر 2023، تم اختراق منصة تبادل العملات المشفرة المركزية CoinEx وسرقة 54 مليون دولار. كما هو مفصل أعلاه، هناك عدد من العوامل التي تشير إلى أن لعازر هو المسؤول عن هذا الهجوم.
تغيير الاستراتيجية؟
يُظهر تحليل آخر نشاط لـ Lazarus أنه منذ العام الماضي حولوا تركيزهم من الخدمات اللامركزية إلى الخدمات المركزية. من بين الاختراقات الخمسة الأخيرة التي تمت مناقشتها سابقًا، استهدفت أربعة من مقدمي خدمات الأصول الافتراضية المركزية. قبل الصعود السريع للنظام البيئي للتمويل اللامركزي (DeFi)، كانت التبادلات المركزية هي الهدف المفضل لـ Lazarus قبل عام 2020.
قد يكون هناك عدد من الأسباب التي تجعل Lazarus يحول انتباهه مرة أخرى إلى الخدمات المركزية.
إيلاء المزيد من الاهتمام للأمن: وجدت الأبحاث السابقة التي أجراها Yilip حول حوادث اختراق DeFi في عام 2022 أن الاستغلال يحدث كل أربعة أيام، مع سرقة ما متوسطه 32.6 مليون دولار في كل مرة. كانت الجسور عبر السلاسل شكلاً جديدًا نسبيًا من أشكال الخدمة في أوائل عام 2022، ولكنها أصبحت الآن من أكثر أنواع بروتوكولات التمويل اللامركزي DeFi تعرضًا للاختراق. ومن المرجح أن تؤدي هذه الاتجاهات إلى تحسين معايير تدقيق العقود الذكية وتطويرها، مما يؤدي إلى تضييق نطاق المتسللين لتحديد نقاط الضعف واستغلالها.
عرضة للهندسة الاجتماعية: في العديد من هجمات القرصنة، كانت طريقة الهجوم المفضلة لمجموعة Lazarus هي الهندسة الاجتماعية. على سبيل المثال، كان سبب اختراق RoninBridge الذي تبلغ قيمته 540 مليون دولار هو منشورات وظائف مزيفة على LinkedIn. ومع ذلك، فإن الخدمات اللامركزية عادة ما يكون لديها قوى عاملة أصغر، وكما يوحي الاسم، فهي لامركزية بدرجات متفاوتة. ولذلك، فإن الحصول على وصول ضار إلى أحد المطورين لا يعني بالضرورة الحصول على حق الوصول الإداري إلى عقد ذكي.
وفي الوقت نفسه، من المرجح أن يكون لدى البورصات المركزية عدد أكبر من الموظفين، مما يؤدي إلى توسيع نطاق الأهداف المحتملة. وقد يعملون أيضًا باستخدام أنظمة تكنولوجيا معلومات داخلية مركزية، مما يمنح برمجيات Lazarus الضارة فرصة أكبر لاختراق الوظائف المقصودة من أعمالهم.