گروه هکری لازاروس یک شبکه مخوف است که از زیرشاخه‌های متعددی تشکیل شده است. این گروه هکری که حمایت دولت کره شمالی را دارد، از سال ۲۰۰۹ تاکنون مسئول حملات خرابکارانه زیادی از جمله جاسوسی، حمله به تأسیسات ملی کشورها، ایجاد اخلال در شرکت‌های خصوصی، اخاذی و سرقت از صرافی‌های ارز دیجیتال بوده است.

لازاروس برای انجام عملیات خود، از بدافزارها و تکنیک‌های پیچیده‌ای استفاده می‌کند و تا امروز، تأثیر قابل‌توجهی بر امنیت سایبری جهانی گذاشته است. اما گروه لازاروس کیست و چه ارتباطی با کره شمالی دارد؟ در این مطلب، تاریخچه شکل‌گیری و معروف‌ترین حملات سایبری لازاروس را معرفی کرده و روش‌ها و تکنیک‌های آن‌ها را بررسی می‌کنیم.

معرفی گروه هکری لازاروس

گروه لازاروس (Lazarus Group)، یکی از مخوف‌ترین گروه‌های هکری دنیاست که به‌خاطر داشتن حمایت دولت کره شمالی (North Korea)، هیچ ابایی از دستگیری و مواجه با محکومیت ندارد. این گروه تاکنون بیش از ۳۸ کشور را هدف حملات خود قرار داده است.

با اینکه این گروه برای فرار از شناسایی از روش‌هایی مانند غیرفعال‌سازی پروتکل‌های پایش در سیستم‌عامل قربانیان استفاده می‌کند، تحلیل بدافزارهای (Malware) مورد استفاده آن‌ها، درک بهتری از روش‌ها و اهداف این گروه فراهم کرده است.

تاریخچه شکل‌گیری و فعالیت‌ها

تاریخچه گروه لازاروس به حملات دیداس (DDoS) به صنایع مختلف کره جنوبی در سال ۲۰۰۹ بازمی‌گردد. این گروه هکری با حمایت کره شمالی، به انجام هک دولتی (State-sponsored Hacking) می‌پردازد.

طی سال‌ها فعالیت، این گروه هکری کمپین‌های متعددی را اجرا کرده است که از مهمترین آن‌ها، هک گسترده شرکت فیلم‌سازی سونی پیکچرز در سال ۲۰۱۴ و بانک مرکزی بنگلادش در سال ۲۰۱۶ هستند.

ارتباط لازاروس با کره شمالی

براساس تحقیقات، گروه هکری لازاروس در کره شمالی مستقر و به اداره کل شناسایی (Reconnaissance General Bureau) این کشور وابسته است. RGB یکی از نهادهای اطلاعاتی اصلی کره شمالی است که وظیفه جاسوسی، عملیات مخفیانه و جاسوسی سایبری (Cyber Espionage) را بر عهده دارد. این سازمان در سال ۲۰۰۹ تأسیس شد.

شواهد و گزارش‌های امنیتی

تا امروز، سازمان‌های امنیتی جهانی (Global Security Agencies) به بررسی زوایای حملات لازاروس گروپ پرداخته‌اند. شرکت Group-IB یکی از این سازمان‌هاست که اقدامات هکرهای لازاروس و جزئیات حملات آن را بررسی و تحلیل کرده است.

در این تحقیق، شرکت Group-IB توانسته با ردیابی آی‌پی، ارتباط گروه هکری لازاروس با کره شمالی را شناسایی کند. براساس این گزارش، لازاروس احتمالاً تحت کنترل یکی از زیرشاخه‌های RGB به‌نام «اداره ۱۲۱ (Bureau ۱۲۱)» قرار دارد.

کیم کوک-سونگ، یکی از جداشدگان از کره شمالی، نیز گفته است که این واحد در داخل این کشور با نام «دفتر رابط ۴۱۴ (Liaison Office ۴۱۴)» شناخته می‌شود.

اهداف سیاسی و اقتصادی پشت حملات

لازاروس گروپ، چند زیر شاخه اصلی دارد که هر کدام بر اهداف و مناطق جغرافیایی مختلفی متمرکزند:

فعالیت‌ها و حملات معروف گروه لازاروس

هکرهای گروه لازاروس از سال ۲۰۰۷ حملات خود را آغاز کردند. در زیر، حملات سایبری معروف لازاروس را مشاهده می‌کنید:

عملیات تروی (Troy) – ۲۰۰۹ تا ۲۰۱۲

یکی از نخستین حملات شناخته‌شده منتسب به گروه هکر سایبری (Cyber Hackers) لازاروس، کمپینی به‌نام «عملیات تروی (Operation Troy)» بود که بین سال‌های ۲۰۰۹ تا ۲۰۱۲ اجرا شد. این عملیات، یک کمپین جاسوسی سایبری بود که در آن از تکنیک‌های نسبتاً ساده‌ حملات DDoS برای جمع‌آوری اطلاعات و اخلال در زیرساخت‌های دولت کره جنوبی در سئول استفاده شد.

حمله به سونی پیکچرز – ۲۰۱۴

گروه هکری لازاروس مسئول یکی از ویرانگرترین حملات سایبری (Cyber Attacks) به شرکت سونی پیکچرز در نوامبر ۲۰۱۴ بوده است. گروه هکری «The Guardians of Peace» مسئولیت این حمله را که در قالب کمپینی به‌نام «عملیات بلاک‌باستر» (Operation Blockbuster) توسط شرکت Novetta افشا شد، برعهده گرفتند. بعدها مشخص شد این گروه از اعضای لازاروس بوده‌اند.

براساس گفته‌ها، علت این حمله، اعتراض به تولید فیلم «The Interview» بوده است که رهبر کره شمالی را به تمسخر می‌گیرد. کره شمالی این فیلم را «اقدامی جنگ‌طلبانه و توهین‌آمیز» توصیف و تهدید کرد که اگر ایالات متحده جلوی اکران آن را نگیرد، «پاسخی بی‌رحمانه» خواهد داد. پس از جدی گرفته نشدن این تهدیدها، حمله سایبری به سونی آغاز شد.

طبق اعلام رسمی سونی، این حمله حدود ۱۵ میلیون دلار خسارت مستقیم به این شرکت وارد کرده است. بااین‌حال، برآوردهای دیگر، میزان خسارات را بین ۳۵ میلیون تا بیش از ۸۵ میلیون دلار تخمین می‌زنند. در طول حمله، حجم زیادی از داده‌ها از جمله فیلم‌های منتشرنشده سونی پیکچرز سرقت و به‌تدریج در اینترنت منتشر شد.

باج‌افزار WannaCry – ۲۰۱۷

در می ۲۰۱۷، گروه لازاروس با انتشار باج‌افزاری (Ransomware) به‌نام «WannaCry»، میلیون‌ها فایل را در کامپیوترهای قربانیان رمزگذاری و برای بازیابی آن‌ها، تقاضای باجی بین ۳۰۰ تا ۶۰۰ دلار به‌صورت بیت کوین کرد.

بر اساس تخمین‌ها، بیش از ۲۰۰ هزار کامپیوتر در بالای ۱۵۰ کشور در دام این بدافزار افتادند. اگرچه میزان باج دریافت‌شده توسط هکرهای لازاروس در این کمپین نسبتاً کم (حدود ۵۱.۶ بیت کوین به قیمت هر واحد ۱۸۹۵ دلار و جمعاً ۱۳۰ هزار دلار در آن زمان) بود، اما خسارت بالای ۴ میلیارد دلاری را وارد کرد.

حملات به بخش مالی و بانکی جهانی – ۲۰۱۵ تا امروز

طی سال‌ها، لازاروس با حمله به بانک‌ها و مؤسسات مالی کشورهای مختلف، مبالغ مختلفی را سرقت کرده است که در جدول زیر مشاهده می‌کنید:

حملات معروف گروه لازاروس در ارزهای دیجیتال

از سال ۲۰۱۷ تاکنون، گروه هکری لازاروس به صرافی‌ها، کیف پول‌ها و پروتکل‌های کریپتویی و بلاک چینی نیز حمله کرده و تا امروز در سال ۲۰۲۵، بیش از ۶ میلیارد دلار ارز دیجیتال را به سرقت برده است. در جدول زیر، لیستی از این حملات را مشاهده می‌کنید:

هک صرافی آپ بیت در سال ۲۰۱۹ – ۵۰ میلیون دلار

کیف پول گرم صرافی کره جنوبی آپ‌بیت (Upbit) در ۲۷ نوامبر ۲۰۱۹ (۶ آذر ۹۸) توسط گروه لازاروس هک و ۳۴۲ هزار واحد اتریوم از آن سرقت شد. قیمت اتریوم در آن زمان ۱۴۷ دلار و مبلغ کل سرقت، ۵۰ میلیون دلار بود.

هک صرافی کوکوین در سال ۲۰۲۰ – ۲۷۵ میلیون دلار

در سال ۲۰۲۰، هکرهای لازاروس با دسترسی به کلید خصوصی کیف پول‌های گرم صرافی کوکوین (Kucoin)، حدود ۲۷۵ میلیون دلار سرقت کردند. به گفته مدیرعامل کوکوین، این صرافی ۲۰۴ میلیون دلار از وجوه سرقت‌شده را بازیابی کرده است. داستان این هک بزرگ را در کانال یوتیوب ارزدیجیتال ببینید:

هک صرافی لیکوئید دات کام در سال ۲۰۲۱ – ۹۷ میلیون دلار

در ۱۹ اوت ۲۰۲۱ (۲۸ مرداد ۱۴۰۰)، پلتفرم Liquid.com اعلام کرد که یک کاربر غیرمجاز به برخی از کیف پول‌های کریپتویی این صرافی دسترسی پیدا کرده است. در پی این دسترسی، ۶۷ توکن اتریومی به‌همراه مقادیری اتریوم و بیت کوین از این کیف پول‌ها خارج و به آدرس‌هایی تحت کنترل نهادی وابسته به کره شمالی، منتقل شدند.

این فرد با استفاده از میکسرها، چندین مرتبه ارزهای سرقتی را مخلوط و نهایتاً وجوه را به صرافی‌هایی در آسیا واریز کرد. در نتیجه این عملیات، مجموعاً حدود ۹۱.۳۵ میلیون دلار ارز دیجیتال از لیکوئید دات کام به سرقت رفت.

هک بریج رونین در سال ۲۰۲۲ – ۶۰۰ میلیون دلار

گروه هکری لازاروس در مارس ۲۰۲۲، رونین بریج (Ronin Bridge)، زنجیره جانبی بازی بلاک چینی اکسی اینفینیتی (Axie Infinity) را هک و ۶۰۰ میلیون دلار از آن سرقت کرد.

در زمان حمله، این گروه به پنج مورد از نه کلید خصوصی اعتبارسنج‌های تراکنش‌ها در پل رونین دسترسی پیدا کرد و با در اختیار داشتن اکثریت کلیدها، دو تراکنش برداشت شامل ۱۷۳,۶۰۰ اتر و ۲۵.۵ میلیون دلار یو‌اس‌دی‌سی را تأیید و پولشویی را با استفاده از بیش از ۱۲ هزار آدرس آغاز کرد.

هک اتمیک والت در سال ۲۰۲۳ – ۳۵ میلیون دلار

در سال ۲۰۲۳ کیف پول اتمیک والت (Atomic Wallet) هک شد و ۳۵ میلیون دلار از دارایی‌های کاربران به سرقت رفت. هکرها برای مخفی کردن رد تراکنش‌ها از میکسر Sinbad.io که قبلاً توسط لازاروس گروپ استفاده شده بود، استفاده کردند. علاوه‌براین، آدرس‌های مرتبط با این حمله، با آدرس‌های شناخته‌شده از حملات قبلی لازاروس ارتباط داشتند.

هک صرافی بای بیت در سال ۲۰۲۵ – ۱.۵ میلیارد دلار

یکی از بزرگترین و جدیدترین سرقت‌های تاریخ ارزهای دیجیتال، مربوط به صرافی بای‌بیت (Bybit) است. لازاروس گروپ با پیدا کردن یک نقص امنیتی گسترده، ۱.۵ میلیارد دلار اتر را در ۲۱ فوریه ۲۰۲۵ (۷ اسفند ۱۴۰۳) از این صرافی سرقت کرد.

تکنیک‌ها و ابزارهای مورد استفاده لازاروس

حملات گروه لازاروس بسیار پیچیده و خطرناک هستند. برای درک بهتر این حملات و روش‌های مقابله با آن‌ها، باید با مهم‌ترین تکنیک‌های هک مورد استفاده این گروه آشنا شویم. در ادامه، به بررسی این تکنیک‌ها خواهیم پرداخت. پس با ما همراه باشید تا از این تهدیدات سایبری آگاه شوید.

بدافزارها و روش‌های نفوذ

• حمله روز صفر: آسیب‌پذیری «روز صفر (Zero-days)» یک نقص امنیتی ناشناخته در نرم‌افزار است که هنوز توسط توسعه‌دهنده شناسایی و رفع نشده است. هکرهای لازاروس نیز از این تکنیک برای حمله به نهادها و مؤسسات استفاده می‌کنند. برای مثال، این گروه با شناسایی آسیب‌پذیری روز صفر در یک نرم‌افزار صدور گواهی دیجیتال، طی یک سال، دو مرتبه به یک نهاد مالی کره جنوبی نفود کرد.
• بدافزارها: لازاروس از مجموعه‌ای از بدافزارهای اختصاصی شامل تروجان‌های دسترسی از راه دور (RATs)، بک‌دورها (Backdoors) و بات‌نت‌ها (Botnets) استفاده می‌کند. برای مثال، آن‌ها از بدافزار RATANKBA برای هدف قرار دادن شرکت‌های ارز دیجیتال استفاده کرده‌اند.
• دراپرها: دراپرها (Dropper) ابزارهایی هستند که معمولاً در حملات سایبری برای نصب بدافزار روی سیستم هدف استفاده می‌شوند.
• حملات دیداس: دیداس نوعی حمله سایبری است که در آن مهاجم با ارسال حجم بالایی از ترافیک جعلی، سعی می‌کند منابع را اشغال کرده و دسترسی کاربران به وبسایت را مختل کند. لازاروس در حمله Troy و DarkSeoul به کره جنوبی از این روش استفاده کرد.

شیوه‌های جاسوسی، پنهان‌سازی هویت و سرقت اطلاعات

• تکنیک‌های گمراه‌کننده: گروه هکری لازاروس حملات خود را در قالب فعالیت‌های هکتیویستی معترضی جا می‌زند. تاکنون گروه‌هایی مانند «Guardians of Peace» ،«WhoAmI» و «New Romanic Army» مسئولیت حملات این گروه را بر عهده گرفته‌اند. لازاروس همچنین از سال ۲۰۱۶ با وارد کردن نمادهای دی‌باگینگ و رشته‌های حاوی کلمات روسی در کدهای خود، تلاش کرده است پشت نقاب هکرهای روسی مخفی شود.
• حرکت جانبی در شبکه (Lateral Movement): این گروه پس از ورود اولیه، از ابزارهایی مانند Mimikatz برای گرفتن رمز عبور و نفوذ به سایر سیستم‌ها در شبکه استفاده کرده و گاهی حتی کنترل سرورهای اصلی را به‌دست می‌گیرد.
• سرقت اطلاعات هدفمند (Data Exfiltration): با این روش، لازاروس اطلاعات حساس مانند فایل‌های پروژه، دیتابیس مشتریان، داده‌های نظامی یا اقتصادی را جمع‌آوری و رمزنگاری کرده و به سرورهای خارجی منتقل می‌کند.
• پاک کردن ردپا (Disk Wiping / Log Clearing): این گروه در برخی موارد از ابزارهای پاک‌کننده یا اسکریپت‌های مخصوص برای حذف لاگ‌ها و شواهد استفاده می‌کند.
• میکس تراکنش‌ها: تکنیک معمول کره شمالی برای پولشویی در حوزه دیفای نیز معمولاً شامل پنج مرحله است:
  • ارسال اترهای سرقت‌شده به والت‌های واسطه
  • میکس کردن اترها در دسته‌ها با استفاده از تورنادو کش (Tornado Cash)
  • تبدیل اترهای مخلوط‌شده به بیت کوین
  • میکس کردن بیت کوین‌ها در دسته‌های جداگانه
  • واریز بیت کوین‌ها به سرویس‌های تبدیل ارز دیجیتال به ارز فیات

حملات فیشینگ و مهندسی اجتماعی

• فیشینگ: لازاروس در اکثر حملات خود از طریق فیشینگ نیزه‌ای (Spear-phishing)، افراد کلیدی یک سازمان مثل مدیر IT یا حسابدار را هدف قرار داده و ایمیل‌های حاوی فایل ورد یا اکسل آلوده به بدافزار ماکرو را ارسال می‌کند.
• مهندسی اجتماعی: در این روش، لازاروس با فریب کارکنان سازمان از طریق تماس، ایمیل یا پیام، فایل‌های آلوده با ظاهر رسمی (مانند فایل آلوده Visual Effect) را برای آن‌ها ارسال و درخواست همکاری در یک زمینه معتبر (مثلاً پژوهش) می‌کند. درصورت دانلود فایل، حملات بدون آگاهی فرد آغاز می‌شوند.

تاثیر و تهدیدهای گروه لازاروس در امنیت سایبری جهانی

تأثیر فعالیت‌های گروه هکری لازاروس فراتر از خسارت‌های مالی یا نشت داده‌هاست. عملیات این گروه می‌تواند زیرساخت‌های حیاتی را مختل، اعتماد عمومی به سیستم‌های مالی را تضعیف و تنش‌های ژئوپولیتیکی را تشدید کند. در ادامه‌، به بررسی جزئی‌تر این موارد می‌پردازیم.

تاثیر حملات لازاروس بر شرکت‌ها و دولت‌ها

شرکت تحقیقاتی CyFirma گزارشی را در خصوص تاثیر گروه لازاروس در امنیت سایبری (Cybersecurity) شرکت‌ها و دولت‌ها در سال ۲۰۲۲ منتشر کرد. براساس این گزارش، ایالات متحده و ژاپن هدف عمده کمپین‌های این گروه بوده‌اند.

براساس تخمین‌ها، حملات این گروه تاکنون خسارت‌های زیادی را به شرکت‌ها و دولت‌ها وارد کرده است:

• صنعت ارز دیجیتال (۲۰۱۷ تا ۲۰۲۵): بیش از ۶ میلیارد دلار
• بانکداری سنتی (تا ۲۰۱۸)‌‌: حدود ۱.۱ میلیارد دلار تلاش برای سرقت؛ ۸۱ میلیون دلار موفقیت‌آمیز
• حملات باج‌افزاری: بیش از ۴ میلیارد دلار خسارت جهانی
• خسارات به زیرساخت‌های حیاتی: دخسارت ۱۱۲ میلیون دلاری به سرویس سلامت ملی (NHS) بریتانیا طی حمله باج‌افزاری Wannacry
• تأمین مالی برنامه‌های تسلیحاتی: تأمین مالی برنامه‌های موشکی و هسته‌ای کره شمالی از طریق حملات و سرقت‌ها

واکنش جامعه جهانی و سازمان‌های امنیتی

وزارت خزانه‌داری ایالات متحده، گروه هکری لازاروس را به‌دلیل نقش آن در حملات سایبری گسترده تحریم کرده است. در سال ۲۰۱۸ نیز دادگستری ایالات متحده یک برنامه‌نویس کره شمالی به نام پارک جین هیوک را به اتهام مشارکت در حملات سایبری متعدد، از جمله سرقت ۸۱ میلیون دلار از بانک بنگلادش، متهم کرد. بااین‌حال، به‌دلیل حمایت‌های دولت کره شمالی و پیچیدگی عملیات‌ها، مقابله با گروه لازاروس یک چالش برای کشورهاست.

راهکارهای مقابله با تهدیدات لازاروس در حوزه ارز دیجیتال

• فعل‌سازی احراز هویت دوعاملی: از کد یک‌بار مصرف (OTP) یا اپلیکیشن‌هایی مانند Google Authenticator به‌جای رمز عبور عادی استفاده کنید.
• نگهداری دارایی‌ها در کیف پول‌های مختلف: فقط آن بخش از دارایی‌ها که برای استفاده روزمره لازم هستند بهتر است در کیف پول‌های گرم و باقی، در کیف پول‌های سرد نگهداری شوند.
• خودداری از کلیک روی لینک‌های مشکوک: بسیاری از حملات لازاروس از طریق مهندسی اجتماعی و فیشینگ رخ می‌دهند. روی ایمیل‌های ناشناس که شبیه به آدرس صرافی، شرکت سازنده کیف پول‌ها و پروژه‌های محبوب هستند کلیک نکنید.
• بررسی آدرس کیف پول‌ها: لازاروس گاهی با بدافزار، آدرس کیف پول مقصد را تغییر می‌دهد. بنابراین قبل از ارسال ارز، آدرس گیرنده را حرف‌به‌حرف چک کنید.
• استفاده از آنتی‌ویروس و فایروال: خصوصاً اگر با والت‌های دسکتاپ کار کرده یا فایل‌هایی خاصی را دانلود می‌کنید.
• دانلود نرم‌افزارها از منابع معتبر: برنامه کیف پول‌ها و دیگر فایل‌های مورد نیاز را فقط از منابع معتبر دانلود کنید.
• انتخاب صرافی امن: بااینکه هیچ تضمینی برای امنیت ۱۰۰ درصدی پلتفرم‌های ارز دیجیتال نیست، اما انتخاب صرافی‌هایی که امنیت قوی و روش‌های احراز هویت سختگیرانه دارند، توصیه می‌شود.

سوالات متداول

جمع‌بندی

گروه هکری لازاروس (Lazarus Group) یکی از مخوف‌ترین هکرهای سایبری تحت حمایت کره شمالی است که از سال ۲۰۰۹ تاکنون با اجرای صدها حمله در حوزه‌های مالی، دولتی و زیرساختی، امنیت سایبری جهانی را به چالش کشیده است. این گروه با بهره‌گیری از بدافزارهای پیچیده، مهندسی اجتماعی، فیشینگ و نفوذ به پروتکل‌های حیاتی، حملاتی تا امروز میلیاردها دلار را به سرقت برده و خسارت‌های هنگفتی را به شرکت‌ها و دولت‌ها وارد کرده است.