«عصابة لازاروس» كيف نفذت كوريا الشمالية أكبر عملية سرقة في التاريخ؟
نفذت عصابة لازاروس، واحدة من أسوأ الجرائم الإلكترونية في القرن الحادي والعشرين بعد الساعة الثانية ظهرًا من يوم الجمعة الماضي، إذ نفذت المجموعة سيئة السمعة من القراصنة – ما عُرف بأكبر عملية سرقة في التاريخ.
ففي غضون بضع دقائق فقط، تمت سرقة ما يقرب من 1.46 مليار دولار من العملة الرقمية من Bybit، إحدى أكثر بورصات العملات المشفرة شهرة في العالم، وتم توجيهها عبر الإنترنت إلى محافظ مجهولة.
كوريا الشمالية وأكبر عملية سرقة في التاريخ
ولمعرفة حجم تلك العملية الكبرى، فإن المبلغ المسروق أكبر بنحو 30 مرة من 53 مليون جنيه إسترليني سُرقت خلال سرقة مستودع Securitas في تونبريدج عام 2006، وهي أكبر عملية سرقة نقدية في المملكة المتحدة على الإطلاق.
كما أنها أكبر بنحو 500 مليون دولار من المبلغ الذي سرقه صدام حسين من البنك المركزي العراقي عشية حرب العراق عام 2003، والتي تُدرج عادةً على أنها أكبر سرقة على الإطلاق – وفق ادعاءات التقارير الإعلامية العالمية.
وبينما لا تزال تفاصيل العملية غير معروفة، إلا أن ما يميز خروقات بورصات العملات المشفرة هو أنه يمكن تتبع الأموال في الوقت الفعلي عبر تقنية البلوك تشين. وتعمل تلك التقنية كسجل عبر الإنترنت، وتوفر شفافية لكل معاملة وحركة أموال بين عناوين المحفظة، حتى لو كان مالك كل محفظة فردية غير معروف.
وقد سمح هذا للمحققين بتتبع الأصول المسروقة في الوقت الفعلي بينما يحاول المتسللون غسلها من خلال محافظ وبورصات مختلفة، مع انعكاس النمط عن كثب لتقنية تستخدمها واحدة من أكثر عمليات القرصنة تطورًا في العالم: عصابة لازاروس.
ما هي عصابة لازاروس؟
يُزعم أن المجموعة التي تُسمى “لازاروس” مدعومة من كوريا الشمالية منذ إنشائها في عام 2009، وقد تسببت المجموعة سابقًا في فوضى عالمية من خلال هجمات WannaCry ransomware في عام 2017، والتي أصابت 200 ألف جهاز كمبيوتر في 150 دولة، بما في ذلك تلك التابعة لهيئة الخدمات الصحية الوطنية.
كما نفذت مجموعة لازاروس العديد من هجمات العملات المشفرة في الماضي، على الرغم من أن عملية يوم الجمعة تمثل أكبر ضربة حتى الآن، حيث سرق المتسللون ما يعادل ميزانية الدفاع السنوية لكوريا الشمالية (1.47 مليار دولار في عام 2023).
وأشارت شركة التحقيق في العملات المشفرة Chainalysis إلى أن اختراق Bybit اتبع دليلًا شائعًا يستخدمه لازاروس، والذي يتضمن هجومًا هندسيًا اجتماعيًا لاختراق الأموال في البداية.
وحدث ذلك أثناء نقل روتيني من محفظة Ethereum الباردة الخاصة بـ Bybit – جهاز تخزين العملات المشفرة غير المتصل بالإنترنت – إلى محفظتها الساخنة عبر الإنترنت.
ومن خلال استهداف المسؤولين عن التحقق من عناوين المحفظة بهجمات تصيد شخصية، خدعهم المتسللون للتوقيع على المعاملات إلى محافظ مملوكة لشركة لازاروس.
كيف تمت عملية السرقة؟
في غضون ساعتين من سرقة Bybit، لاحظ باحثون من شركة تحليلات blockchain Elliptic إرسال أموال مسروقة إلى 50 محفظة مختلفة، كل منها تحتوي على ما يقرب من (10 آلاف إيثريوم).
وقد تم إفراغ هذه المحافظ بشكل منهجي من خلال البورصات اللامركزية في عملية غسيل تُعرف باسم “التقسيم الطبقي”، والتي تحاول إخفاء مسار المعاملات.
وأشارت Elliptic في منشور على مدونتها إلى أن “مجموعة لازاروس في كوريا الشمالية هي أكثر شركات غسيل الأصول المشفرة تطوراً وتزويداً بالموارد، حيث تتكيف باستمرار مع تقنياتها للتهرب من تحديد ومصادرة الأصول المسروقة.
وتعني شفافيةblockchain أنه يمكن تتبع مسار المعاملات هذا، ولكن تكتيكات التقسيم الطبقي هذه يمكن أن تعقد عملية التتبع، مما يمنح غاسلي الأموال وقتًا ثمينًا لسحب الأصول”.
وبالتعاون مع Bybit، تدعي Elliptic أنها استولت بالفعل على بعض الأموال المسروقة من البورصة التي تتخذ من دبي مقراً لها، لكنها تقول إن التحدي الأكبر هو الحجم الهائل للأصول المسروقة.
وأشارت منصة الاستخبارات المشفرة Arkham إلى أن قراصنة Bybit كانوا يقومون بمعاملات متعددة كل دقيقة لمدة 45 دقيقة، قبل التوقف لمدة 15 دقيقة. ويبدو أن النمط يشير إلى أن العملية لم تكن آلية، حيث يحتاج من يقوم بها إلى أخذ فترات راحة دورية.
وتسببت عملية السطو الضخمة في انهيار أسواق العملات المشفرة، لكنها كانت أيضًا بمثابة عرض غير مقصود لمرونة الصناعة. في غضون 72 ساعة من الهجوم، أعادت Bybit احتياطيها إلى نسبة 1:1، مما يعني عدم خسارة أي أموال للعملاء.
وقد يؤدي حجم الهجوم في النهاية إلى تغذية جهود أوسع نطاقًا لإسقاط لازاروس، ردًا على الاختراق، ودعا الرئيس التنفيذي لشركة Bybit، بن تشو، وهي ثاني أكبر بورصة للعملات المشفرة في العالم من حيث حجم التداول، إلى “حرب ضد لازاروس وأصدر مكافأة قدرها 140 مليون دولار لاستعادة الأموال وتقديم معلومات عن المجموعة”ز
وقد تمثل هذه الخطوة، التي تعد الأولى من نوعها في الصناعة، بداية عمل عالمي منسق لتحييد حملات الإرهاب السيبراني التي تشنها مجموعة لازاروس أخيرًا.
وقال تشو: “لقد شاركنا في لحظة مظلمة من تاريخ العملات المشفرة، وأثبتنا أننا أفضل من الجهات الخبيثة.. ولن نتوقف حتى يتم القضاء على لازاروس أو الجهات الخبيثة في الصناعة”.
