ارتش سایبری لازاروس؛ هکرهایی که دنیا را شوکه کردند

در دنیای امنیت سایبری، نام‌های کمی وجود دارند که به اندازه‌ی «گروه لازاروس» (Lazarus Group) ترس و شگفتی به همراه داشته باشند.

لازاروس هکرهای نوجوان در زیرزمین خانه‌ی والدینشان نیستند؛ آن‌ها یک ارتش سایبری سازمان‌یافته، بی‌رحم و تحت حمایت کامل دولت شناخته می‌شوند. لازاروس که به باور تمام آژانس‌های اطلاعاتی غربی، بازوی عملیات سایبری کره‌ی شمالی و بخشی از دفتر کل شناسایی آن کشور است، در یک دهه‌ی گذشته، قواعد بازی را بازنویسی کرده.

لازاروس از یک گروه خرابکار سیاسی به یکی از بزرگ‌ترین دزدان بانک و ارز دیجیتال در تاریخ تبدیل شده‌ و در این مسیر، جهان را بارها در شوک فرو برده‌ است.

مقاله‌ی پیش رو، داستان تکامل لازاروس، از حملات ابتدایی تا سرقت‌های میلیارد دلاری است؛ داستانی که نشان می‌دهد چگونه یک کشور از سلاح سایبری به‌عنوان ابزاری برای تأمین مالی و نمایش قدرت در مقیاس جهانی استفاده می‌کند.

جهان برای اولین‌بار در اواخر سال ۲۰۱۴ با نام لازاروس (که در آن زمان خود را «نگهبانان صلح» یا GOP می‌نامیدند) به‌شکلی جدی آشنا شد. هدف، یک شرکت سرگرمی بود: سونی پیکچرز.

انگیزه؟ یک کمدی هالیوودی به نام The Interview با بازی ست روگن و جیمز فرانکو که داستان تخیلی ترور کیم جونگ اون، رهبر کره‌ی شمالی را روایت می‌کرد. پیونگ‌یانگ این فیلم را «اعلان جنگ» خواند و پاسخ‌شان، فراتر از یک بیانیه‌ی دیپلماتیک بود.

Sony Pictures

لازاروس به شبکه‌های سونی نفوذ کرد، ده‌ها ترابایت اطلاعات حساس را به سرقت برد و سپس با پاک‌کردن کامل اطلاعات از روی سرورها، زیرساخت دیجیتال این غول رسانه‌ای را فلج کرد. ایمیل‌های خصوصی مدیران، فیلمنامه‌های منتشرنشده، اطلاعات حقوق و دستمزد کارکنان و حتی شماره‌های تأمین اجتماعی بازیگران مشهور، همگی در اینترنت فاش شدند.

اما این پایان ماجرا نبود. هکرها با ارسال پیام‌های تهدیدآمیز، اعلام کردند که در صورت اکران فیلم، حملاتی «به سبک ۱۱ سپتامبر» به سینماها انجام خواهند داد. این تهدید کافی بود تا بزرگ‌ترین زنجیره‌های سینمایی آمریکا از اکران فیلم انصراف دهند و سونی پیکچرز، در اقدامی بی‌سابقه، اکران گسترده‌ی فیلم را لغو کند.

اولین‌بار بود که حمله‌ی سایبری مستقیماً باعث سانسور یک اثر هنری در خاک ایالات متحده شد. دولتی خارجی توانسته بود شرکت خصوصی آمریکایی را به زانو درآورد و بر تصمیمات تجاری‌اش تأثیر بگذارد. این یک نمایش قدرت عریان بود که نشان داد میدان نبرد جدید، نه در زمین، بلکه در فضای دیجیتال است. FBI به سرعت و به صراحت، کره‌ی شمالی را مسئول حمله معرفی کرد.

اگر حمله به سونی، لازاروس را به‌عنوان یک خرابکار سیاسی معرفی کرد، سرقت از بانک مرکزی بنگلادش در سال ۲۰۱۶، چهره‌ی دیگر آن‌ها را به‌عنوان دزدان چیره‌دست بانک آشکار کرد. این عملیات که بیشتر شبیه فیلمنامه‌ی «یازده یار اوشن» بود تا یک حمله‌ی سایبری، سیستم مالی جهانی را هدف گرفت.

لازاروس ماه‌ها صرف نفوذ به شبکه‌ی داخلی بانک مرکزی بنگلادش کرد. آن‌ها منتظر ماندند تا به سامانه‌ی سوئیفت دسترسی پیدا کنند؛ شبکه‌ی پیام‌رسانی امنی که بانک‌ها در سراسر جهان برای انتقال میلیاردها دلار از آن استفاده می‌کنند.

حدود ۱۰۱ میلیون دلار با موفقیت منتقل شد. انتقال ۲۰ میلیون دلار به سریلانکا به‌دلیل یک اشتباه تایپی ساده متوقف شد؛ هکرها کلمه‌ی Foundation را به اشتباه Fandation تایپ کرده بودند که باعث شک بانک عامل و توقف تراکنش شد. ۸۵۰ میلیون دلار باقی‌مانده نیز به‌دلیل حجم بالای درخواست‌ها و هشدارهای فدرال رزرو مسدود شد.

اما ۸۱ میلیون دلار با موفقیت به حساب‌هایی در فیلیپین واریز و به سرعت ناپدید شد.

ماجرای بانک بنگلادش یک سرقت مسلحانه نبود، بلکه دزدی بی‌نقص دیجیتال از یک نهاد دولتی محسوب می‌شد. لازاروس نه‌تنها دانش فنی نفوذ به یک بانک مرکزی را داشت، بلکه از آسیب‌پذیری‌های موجود در سیستم مالی جهانی (SWIFT) و ضعف‌های بوروکراتیک (تأخیر در تعطیلات) به شکلی استادانه بهره‌برداری کرد.

تنها یک سال پس از سرقت از بانک بنگلادش، لازاروس نشان داد که می‌تواند تمام جهان را به آشوب بکشد. در سال ۲۰۱۷، یک اپیدمی دیجیتال به نام باج‌افزار WannaCry در سراسر جهان منتشر شد.

واناکرای از یک آسیب‌پذیری بسیار خطرناک در سیستم‌عامل ویندوز به نام EternalBlue سوءاستفاده می‌کرد. این ابزار، در واقع سلاحی سایبری بود که توسط آژانس امنیت ملی ایالات متحده (NSA) توسعه داده شد و چند ماه قبل توسط گروه هکری دیگری به نام Shadow Brokers سرقت و فاش شده بود.

برخلاف باج‌افزارهای عادی که نیاز به کلیک کاربر روی ایمیل فیشینگ دارند، واناکرای مانند یک کِرم عمل می‌کرد. این بدافزار به‌طور خودکار در شبکه‌های کامپیوتری پخش می‌شد و هر سیستم آسیب‌پذیر را آلوده و فایل‌هایش را رمزنگاری می‌کرد. سپس برای بازکردن فایل‌ها، ۳۰۰ دلار باج به صورت بیت‌کوین طلب می‌کرد.

در عرض چند ساعت، بیش از ۲۰۰ هزار کامپیوتر در ۱۵۰ کشور جهان آلوده شدند. قربانیان شامل شرکت‌های بزرگی مانند فدکس (FedEx)، رنو و دویچه بان بودند؛ اما فاجعه‌بارترین بخش، فلج‌شدن زیرساخت‌های حیاتی بود.

حمله نشان داد که لازاروس اهمیتی به آسیب‌های جانبی نمی‌دهد. آن‌ها حاضر بودند برای درآمدی نسبتاً ناچیز (کل باج دریافتی حدود ۱۳۰ هزار دلار بود)، زیرساخت‌های حیاتی مانند بیمارستان‌ها را فلج کنند.

با تشدید تحریم‌ها علیه کره‌ی شمالی و دشوارترشدن جابه‌جایی پول دزدیده‌شده از سیستم بانکی سنتی (سوئیفت)، لازاروس استراتژی خود را به‌روزرسانی کرد و به سراغ بازاری رفت که ردیابی در آن دشوارتر و قوانینش کمتر بود: دنیای ارزهای دیجیتال.

لازاروس (که زیرمجموعه‌ی مالی آن توسط محققان، APT38 نامیده می‌شود) به شکارچی اصلی صرافی‌ها، پل‌های بلاکچین و پلتفرم‌های بازی تبدیل شد.

به‌جای حملات گسترده، لازاروس به مهندسی اجتماعی و حملات «نیزه» روی آورد. آن‌ها ماه‌ها صرف شناسایی کارمندان کلیدی در شرکت‌های رمزارز می‌کنند. یکی از مشهورترین ترفندهایشان، جعل هویت به‌عنوان استخدام‌کننده در لینکدین است.

هکرها با پروفایل‌های جعلی اما بسیار حرفه‌ای، خود را به‌عنوان مدیران استخدام شرکت‌های بزرگ جا می‌زنند و به توسعه‌دهندگان و مهندسان پیشنهادهای شغلی وسوسه‌انگیز با حقوق‌های نجومی ارائه می‌دهند. در طول فرآیند مصاحبه‌ی جعلی، آن‌ها یک فایل PDF، سند ورد یا یک برنامه‌ی تست حاوی «شرح وظایف» یا «قرارداد» برای قربانی ارسال می‌کنند. این فایل در واقع یک بدافزار سفارشی است که به محض بازشدن، به هکرها اجازه‌ی نفوذ به شبکه‌ی شرکت را می‌دهد.

با استفاده از همین روش، بزرگ‌ترین سرقت‌های تاریخ کریپتو به لازاروس نسبت داده می‌شود:

• سرقت از Axie Infinity (سال ۲۰۲۲): لازاروس با فریب یکی از مهندسان ارشد بازی محبوب Axie Infinity از طریق یک پیشنهاد شغلی جعلی، به شبکه‌ی Ronin نفوذ کرد و ۶۲۵ میلیون دلار ارز دیجیتال را به سرقت برد.
• سرقت از Harmony (سال ۲۰۲۲): با استفاده از روش‌های مشابه، ۱۰۰ میلیون دلار از بلاکچین Harmony دزدیده شد.

گروه لازاروس یک ناهنجاری در دنیای امنیت سایبری است. آن‌ها ترکیبی منحصربه‌فرد از صبر (ماه‌ها برنامه‌ریزی برای یک حمله)، مهارت فنی (توسعه‌ی بدافزارهای سفارشی) و انگیزه‌ی دولتی هستند.

لازاروس از خرابکاری بر سر یک فیلم کمدی، به سرقت از بانک‌های مرکزی، فلج‌کردن بیمارستان‌های جهانی و در نهایت غارت صدها میلیون دلاری از اکوسیستم مالی آینده تکامل یافته‌ است.

لازاروس نشان داد که هیچ هدفی، چه یک استودیوی فیلم‌سازی، چه بیمارستان و چه یک بازی بلاکچینی، خارج از دسترسش نیست. خطری که این گروه ایجاد می‌کند، نه فقط برای دارایی‌های دیجیتال، بلکه برای ثبات مالی و امنیت ژئوپلیتیک کل جهان است. این، دلیل اصلی شوک و وحشتی محسوب می‌شود که نام لازاروس در دل کارشناسان امنیتی می‌اندازد.