تحليل هجمات هاكر مجموعة لازاروس الكورية الشمالية وغسيل الأموال
مؤخراً، كشفت تقرير سري للأمم المتحدة عن أحدث أنشطة مجموعة هاكرز لازاروس في كوريا الشمالية. بعد أن سرقت هذه المجموعة أموالاً من إحدى منصات تداول العملات المشفرة العام الماضي، قامت في مارس من هذا العام بغسيل الأموال بمبلغ 1.475 مليون دولار أمريكي من خلال منصة عملة افتراضية معينة.
يحقق مفتش لجنة العقوبات التابعة لمجلس الأمن التابع للأمم المتحدة في 97 حادثة هجوم إلكتروني مشبوه من هاكرز كوريا الشمالية ضد شركات العملات الرقمية، والتي وقعت بين عامي 2017 و2024، وبلغت قيمتها حوالي 3.6 مليار دولار. ومن بين هذه الحوادث، كانت هناك حادثة سرقة بقيمة 147.5 مليون دولار تعرضت لها إحدى بورصات العملات الرقمية في نهاية العام الماضي، وقد اكتمل غسيل الأموال لهذه الأموال في مارس من هذا العام.
في عام 2022، فرضت الولايات المتحدة عقوبات على منصة العملات الرقمية هذه. في العام التالي، تم اتهام اثنين من المؤسسين المشاركين في المنصة بمساعدة هاكر في غسيل الأموال بأكثر من مليار دولار، حيث كان هناك ارتباط مع مجموعة لازاروس، وهي منظمة إجرامية إلكترونية مرتبطة بكوريا الشمالية.
أظهرت دراسة لخبير في تحقيقات العملات المشفرة أن مجموعة لازاروس قامت بغسيل الأموال بمبلغ 200 مليون دولار من العملات المشفرة إلى عملات قانونية بين أغسطس 2020 وأكتوبر 2023.
تم اتهام مجموعة لازاروس منذ فترة طويلة بتنفيذ هجمات إلكترونية واسعة النطاق وجرائم مالية. تستهدف أهدافها في جميع أنحاء العالم، من أنظمة البنوك إلى بورصات العملات المشفرة، ومن الوكالات الحكومية إلى الشركات الخاصة. فيما يلي سيتم تحليل عدة حالات هجوم نموذجية، للكشف عن كيفية تنفيذ مجموعة لازاروس بنجاح لهذه الهجمات من خلال استراتيجياتها المعقدة ووسائلها التقنية.
هجمات الهندسة الاجتماعية والتصيد الاحتيالي لمجموعة لازاروس
استهدف لازاروس الشركات العسكرية وفضاء الطيران في أوروبا والشرق الأوسط، حيث نشروا إعلانات توظيف مزيفة على منصات التواصل الاجتماعي لخداع الموظفين. وطالبوا المتقدمين للوظائف بتحميل ملفات PDF تحتوي على ملفات تنفيذية ضارة، مما أدى إلى تنفيذ هجمات تصيد.
تستفيد هذه الهندسة الاجتماعية وهجمات التصيد من التلاعب النفسي لإغراء الضحايا بتقليل حذرهم وتنفيذ عمليات تهدد الأمان، مثل النقر على الروابط أو تنزيل الملفات. يمكن للبرمجيات الضارة الخاصة بهم استغلال الثغرات في نظام الضحية لسرقة المعلومات الحساسة.
استخدمت مجموعة لازاروس أساليب مشابهة خلال عملية استمرت ستة أشهر ضد مزود خدمات دفع تشفير معين، مما أدى إلى سرقة 37 مليون دولار من الشركة. خلال العملية، أرسلوا فرص عمل مزيفة للمهندسين، وشنوا هجمات من نوع رفض الخدمة الموزعة، وحاولوا كسر كلمات المرور بالقوة.
العديد من حوادث الهجمات على بورصات العملات المشفرة
من أغسطس إلى أكتوبر 2020، تعرضت العديد من بورصات العملات المشفرة والمشاريع للهجوم:
في 24 أغسطس 2020، تم سرقة محفظة من إحدى بورصات العملات المشفرة في كندا.
في 11 سبتمبر 2020، تعرض مشروع ما لعملية نقل غير مصرح بها بقيمة 400,000 دولار بسبب تسرب المفتاح الخاص، مما أدى إلى حدوث تحويلات من عدة محافظ تسيطر عليها الفريق.
في 6 أكتوبر 2020، تعرضت محفظة الساخنة لمنصة تداول معينة لعملية تحويل غير مصرح بها بسبب ثغرة أمنية، مما أدى إلى خسارة أصول مشفرة بقيمة 750,000 دولار.
تم تجميع أموال هذه الحوادث الهجومية في نفس العنوان في أوائل عام 2021. بعد ذلك، قام المهاجمون بإيداع كميات كبيرة من ETH من خلال خدمة خلط معينة، وسحبوا الأموال بشكل تدريجي على مدار عدة أيام. بحلول عام 2023، تم نقل هذه الأموال وتبادلها عدة مرات، وأخيرًا تم تجميعها في عناوين السحب الخاصة بأموال حوادث أمنية أخرى، وتم إرسالها إلى بعض عناوين الإيداع.
تعرض مؤسس منصة المساعدة لهجوم هاكر
في 14 ديسمبر 2020، تم سرقة 370,000 رمز منصة من الحساب الشخصي لمؤسس منصة المساعدة، بقيمة حوالي 8.3 مليون دولار.
تم نقل الأموال المسروقة بين عدة عناوين وتبادلها بأصول أخرى. قامت مجموعة لازاروس بإجراء عمليات مثل غسيل الأموال والتوزيع والتجميع من خلال هذه العناوين. تم نقل جزء من الأموال عبر سلسلة الكتل إلى شبكة البيتكوين، ثم العودة إلى شبكة الإيثريوم، وبعد ذلك تم إجراؤها من خلال منصة خلط، وأخيراً أُرسلت إلى منصة السحب.
من 16 إلى 20 ديسمبر 2020، أرسل عنوان متورط أكثر من 2500ETH إلى خدمة خلط معينة. بعد بضع ساعات، بدأ عنوان مرتبط آخر عمليات السحب.
هاكر من خلال تحويل وتبادل، نقل جزء من الأموال إلى عنوان سحب تجمع الأموال المتعلق بالحادثة السابقة. من مايو إلى يوليو 2021، قام المهاجم بتحويل 11000000 USDT إلى عنوان إيداع معين. من فبراير إلى يونيو 2023، قام المهاجم من خلال عناوين مختلفة بإرسال ما مجموعه 11170000 USDT إلى عنواني إيداع مختلفين.
أحداث الهجوم الجديدة في عام 2023
في أغسطس 2023، حدثت حالتين جديدتين من الهجمات:
تم الهجوم على مشروع معين، وتم سرقة 624 قطعة من ETH.
تم مهاجمة مشروع آخر وسرقة 900 إيث.
تم نقل الأموال المسروقة في الحادثتين إلى خدمة خلط معينة. بعد ذلك، تم سحب الأموال إلى ثلاثة عناوين مختلفة، وفي 12 أكتوبر تم تجميعها في عنوان جديد. في نوفمبر 2023، بدأت هذه العنوان في نقل الأموال، وفي النهاية، تم إرسال الأموال إلى عنوانين إيداع محددين عبر التحويل والتبادل.
ملخص
تقوم مجموعة لازاروس بعد سرقة الأصول المشفرة بعمليات تشويش للأموال بشكل رئيسي من خلال العمليات عبر السلاسل وخدمات خلط العملات. بعد التشويش، يقومون بسحب الأصول المسروقة إلى عنوان الهدف، ثم إرسالها إلى مجموعة من العناوين الثابتة لسحب الأموال. عادة ما يتم إيداع الأصول المشفرة المسروقة في عنوان إيداع محدد، ثم يتم تحويل الأصول المشفرة إلى عملة قانونية من خلال خدمات التداول خارج البورصة.
في مواجهة الهجمات المستمرة والواسعة النطاق من مجموعة لازاروس، يواجه قطاع Web3 تحديات أمنية جسيمة. تواصل الجهات المعنية متابعة هذه الجماعة الهاكر، وتتبع تحركاتها وطرق غسيل الأموال، لمساعدة المشاريع والجهات التنظيمية والسلطات القانونية في التصدي لهذه الجرائم واستعادة الأصول المسروقة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 23
أعجبني
23
8
مشاركة
تعليق
0/400
MetaMaskVictim
· 07-29 07:26
في يوم واحد، اصطادوا مني ثلاثة عملات، هؤلاء اللصوص.
شاهد النسخة الأصليةرد0
ChainBrain
· 07-28 23:32
عند التفكير في الأمر، أشعر ببعض القلق.
شاهد النسخة الأصليةرد0
BlockchainTalker
· 07-27 18:43
بصراحة، لازاروس في المستوى التالي في الهندسة الاجتماعية فعلاً
شاهد النسخة الأصليةرد0
OldLeekMaster
· 07-27 18:41
من المحتمل أن تذهب هذه الأموال مرة أخرى إلى نفقات الجيش الكوري الشمالي.
شاهد النسخة الأصليةرد0
DeadTrades_Walking
· 07-27 18:40
إنه ملك الكرنفال الكوري الشمالي مرة أخرى
شاهد النسخة الأصليةرد0
WenAirdrop
· 07-27 18:28
يحدث الجريمة كل يوم ولم يُقبض عليه بعد
شاهد النسخة الأصليةرد0
LonelyAnchorman
· 07-27 18:24
مرة أخرى، هي عملية احتيال اجتماعية. هل من السهل الوقوع في الفخ هكذا؟
كشف أساليب هجمات هاكر مجموعة لازاروس: من التصيد الاجتماعي إلى غسيل الأموال بالأصول الرقمية
تحليل هجمات هاكر مجموعة لازاروس الكورية الشمالية وغسيل الأموال
مؤخراً، كشفت تقرير سري للأمم المتحدة عن أحدث أنشطة مجموعة هاكرز لازاروس في كوريا الشمالية. بعد أن سرقت هذه المجموعة أموالاً من إحدى منصات تداول العملات المشفرة العام الماضي، قامت في مارس من هذا العام بغسيل الأموال بمبلغ 1.475 مليون دولار أمريكي من خلال منصة عملة افتراضية معينة.
يحقق مفتش لجنة العقوبات التابعة لمجلس الأمن التابع للأمم المتحدة في 97 حادثة هجوم إلكتروني مشبوه من هاكرز كوريا الشمالية ضد شركات العملات الرقمية، والتي وقعت بين عامي 2017 و2024، وبلغت قيمتها حوالي 3.6 مليار دولار. ومن بين هذه الحوادث، كانت هناك حادثة سرقة بقيمة 147.5 مليون دولار تعرضت لها إحدى بورصات العملات الرقمية في نهاية العام الماضي، وقد اكتمل غسيل الأموال لهذه الأموال في مارس من هذا العام.
في عام 2022، فرضت الولايات المتحدة عقوبات على منصة العملات الرقمية هذه. في العام التالي، تم اتهام اثنين من المؤسسين المشاركين في المنصة بمساعدة هاكر في غسيل الأموال بأكثر من مليار دولار، حيث كان هناك ارتباط مع مجموعة لازاروس، وهي منظمة إجرامية إلكترونية مرتبطة بكوريا الشمالية.
أظهرت دراسة لخبير في تحقيقات العملات المشفرة أن مجموعة لازاروس قامت بغسيل الأموال بمبلغ 200 مليون دولار من العملات المشفرة إلى عملات قانونية بين أغسطس 2020 وأكتوبر 2023.
تم اتهام مجموعة لازاروس منذ فترة طويلة بتنفيذ هجمات إلكترونية واسعة النطاق وجرائم مالية. تستهدف أهدافها في جميع أنحاء العالم، من أنظمة البنوك إلى بورصات العملات المشفرة، ومن الوكالات الحكومية إلى الشركات الخاصة. فيما يلي سيتم تحليل عدة حالات هجوم نموذجية، للكشف عن كيفية تنفيذ مجموعة لازاروس بنجاح لهذه الهجمات من خلال استراتيجياتها المعقدة ووسائلها التقنية.
هجمات الهندسة الاجتماعية والتصيد الاحتيالي لمجموعة لازاروس
استهدف لازاروس الشركات العسكرية وفضاء الطيران في أوروبا والشرق الأوسط، حيث نشروا إعلانات توظيف مزيفة على منصات التواصل الاجتماعي لخداع الموظفين. وطالبوا المتقدمين للوظائف بتحميل ملفات PDF تحتوي على ملفات تنفيذية ضارة، مما أدى إلى تنفيذ هجمات تصيد.
تستفيد هذه الهندسة الاجتماعية وهجمات التصيد من التلاعب النفسي لإغراء الضحايا بتقليل حذرهم وتنفيذ عمليات تهدد الأمان، مثل النقر على الروابط أو تنزيل الملفات. يمكن للبرمجيات الضارة الخاصة بهم استغلال الثغرات في نظام الضحية لسرقة المعلومات الحساسة.
استخدمت مجموعة لازاروس أساليب مشابهة خلال عملية استمرت ستة أشهر ضد مزود خدمات دفع تشفير معين، مما أدى إلى سرقة 37 مليون دولار من الشركة. خلال العملية، أرسلوا فرص عمل مزيفة للمهندسين، وشنوا هجمات من نوع رفض الخدمة الموزعة، وحاولوا كسر كلمات المرور بالقوة.
العديد من حوادث الهجمات على بورصات العملات المشفرة
من أغسطس إلى أكتوبر 2020، تعرضت العديد من بورصات العملات المشفرة والمشاريع للهجوم:
تم تجميع أموال هذه الحوادث الهجومية في نفس العنوان في أوائل عام 2021. بعد ذلك، قام المهاجمون بإيداع كميات كبيرة من ETH من خلال خدمة خلط معينة، وسحبوا الأموال بشكل تدريجي على مدار عدة أيام. بحلول عام 2023، تم نقل هذه الأموال وتبادلها عدة مرات، وأخيرًا تم تجميعها في عناوين السحب الخاصة بأموال حوادث أمنية أخرى، وتم إرسالها إلى بعض عناوين الإيداع.
تعرض مؤسس منصة المساعدة لهجوم هاكر
في 14 ديسمبر 2020، تم سرقة 370,000 رمز منصة من الحساب الشخصي لمؤسس منصة المساعدة، بقيمة حوالي 8.3 مليون دولار.
تم نقل الأموال المسروقة بين عدة عناوين وتبادلها بأصول أخرى. قامت مجموعة لازاروس بإجراء عمليات مثل غسيل الأموال والتوزيع والتجميع من خلال هذه العناوين. تم نقل جزء من الأموال عبر سلسلة الكتل إلى شبكة البيتكوين، ثم العودة إلى شبكة الإيثريوم، وبعد ذلك تم إجراؤها من خلال منصة خلط، وأخيراً أُرسلت إلى منصة السحب.
من 16 إلى 20 ديسمبر 2020، أرسل عنوان متورط أكثر من 2500ETH إلى خدمة خلط معينة. بعد بضع ساعات، بدأ عنوان مرتبط آخر عمليات السحب.
هاكر من خلال تحويل وتبادل، نقل جزء من الأموال إلى عنوان سحب تجمع الأموال المتعلق بالحادثة السابقة. من مايو إلى يوليو 2021، قام المهاجم بتحويل 11000000 USDT إلى عنوان إيداع معين. من فبراير إلى يونيو 2023، قام المهاجم من خلال عناوين مختلفة بإرسال ما مجموعه 11170000 USDT إلى عنواني إيداع مختلفين.
أحداث الهجوم الجديدة في عام 2023
في أغسطس 2023، حدثت حالتين جديدتين من الهجمات:
تم نقل الأموال المسروقة في الحادثتين إلى خدمة خلط معينة. بعد ذلك، تم سحب الأموال إلى ثلاثة عناوين مختلفة، وفي 12 أكتوبر تم تجميعها في عنوان جديد. في نوفمبر 2023، بدأت هذه العنوان في نقل الأموال، وفي النهاية، تم إرسال الأموال إلى عنوانين إيداع محددين عبر التحويل والتبادل.
ملخص
تقوم مجموعة لازاروس بعد سرقة الأصول المشفرة بعمليات تشويش للأموال بشكل رئيسي من خلال العمليات عبر السلاسل وخدمات خلط العملات. بعد التشويش، يقومون بسحب الأصول المسروقة إلى عنوان الهدف، ثم إرسالها إلى مجموعة من العناوين الثابتة لسحب الأموال. عادة ما يتم إيداع الأصول المشفرة المسروقة في عنوان إيداع محدد، ثم يتم تحويل الأصول المشفرة إلى عملة قانونية من خلال خدمات التداول خارج البورصة.
في مواجهة الهجمات المستمرة والواسعة النطاق من مجموعة لازاروس، يواجه قطاع Web3 تحديات أمنية جسيمة. تواصل الجهات المعنية متابعة هذه الجماعة الهاكر، وتتبع تحركاتها وطرق غسيل الأموال، لمساعدة المشاريع والجهات التنظيمية والسلطات القانونية في التصدي لهذه الجرائم واستعادة الأصول المسروقة.