گروه لازاروس: چگونه هکرهای سایبری کره شمالی ارزهای دیجیتال را سرقت می‌کنند

یک گروه هکری بیش از هر کس دیگری در تاریخ ارز دیجیتال دزدیده است. این گروه همچنین برای یک دولت کار می‌کند. گروه لازاروس، عملیات هک دولتی کره شمالی است و برای آن، سرقت ارز دیجیتال یک شغل جانبی نیست. این شغل، یک شغل روزانه و یک خط درآمد ملی با حقوق و دستمزد است. طبق استانداردهای آنها، این گروه در یک سال خوب، بیش از دو میلیارد دلار از صرافی‌ها، پل‌ها و کیف پول‌های معمولی درآمد کسب می‌کند. بیشتر این پول قبل از اینکه کسی گزارشی ارائه دهد، از بین می‌رود.

این راهنما به این موارد می‌پردازد: آنها چه کسانی هستند، بزرگترین سرقت‌های مرتبط با آنها چیست، چگونه یک حمله رخ می‌دهد، چگونه پولشویی می‌شود و چه مقدار از آن ناپدید شده است. تمرکز بر روی ارزهای دیجیتال است. این داستان اکنون در همین حوزه است.

گروه لازاروس واقعاً کیست؟

تصویر یک هکر تنها با هودی را فراموش کنید. گروه لازاروس بیشتر به یک وزارتخانه دولتی با حقوق و دستمزد نزدیک است. آژانس‌های غربی آن را به اداره کل شناسایی کره شمالی، سرویس اصلی اطلاعات خارجی این کشور، و به واحدهایی که گاهی اوقات با نام اداره ۱۲۱ شناخته می‌شوند، مرتبط می‌دانند. محققان امنیت سایبری آن را به عنوان یک گروه تهدید واحد ردیابی می‌کنند، اگرچه در عمل مجموعه‌ای از تیم‌ها هستند که عملیات سایبری تهاجمی دولت کره شمالی را اجرا می‌کنند. افرادی که پشت کیبوردها هستند، آموزش دیده، حقوق دریافت می‌کنند و وظایفی بر عهده دارند و فهرست اهداف آنها توسط دولت تعیین می‌شود.

این گروه بسته به اینکه چه کسی گزارش را می‌نویسد، نام‌های مختلفی دارد: APT38، کبرای پنهان، نگهبانان صلح، لابیرنت چولیما. تحلیلگران آن را به زیرگروه‌هایی با وظایف مختلف تقسیم کرده‌اند. بلونوروف بانک‌ها و شرکت‌های رمزنگاری را برای پول تعقیب می‌کند، آنداریل به جاسوسی و اختلال گرایش دارد و چتر گسترده‌تر لازاروس حملات اصلی را مدیریت می‌کند. این گروه از حدود سال ۲۰۰۹ به نوعی فعال بوده است، که آن را به یکی از قدیمی‌ترین و با انگیزه‌ترین عوامل تهدید در جهان تبدیل می‌کند.

چیزی که لازاروس را از اکثر هکرهای دولتی متمایز می‌کند، انگیزه‌ی آن است. روسیه و چین عمدتاً جاسوسی می‌کنند. کره شمالی برای تأمین مالی خود دزدی می‌کند. در سپتامبر ۲۰۱۹، وزارت خزانه‌داری ایالات متحده رسماً لازاروس و دو گروه مرتبط با آن، بلونوروف و آنداریل، را تحریم کرد و آنها را به عنوان بازوهای دولت کره شمالی نامید. یک شرکت امنیتی، این گروه را به طور خلاصه اینگونه توصیف کرد: یک سندیکای جنایی با یک پرچم.

از سونی تا WannaCry: سال‌های اولیه

قبل از ارزهای دیجیتال، لازاروس نام خود را بر پایه هرج و مرج بنا کرده بود. این پروژه که در سال ۲۰۱۴ در سونی پیکچرز انترتینمنت به موفقیت رسید، با فیلم نگهبانان صلح قرارداد امضا کرد، سیستم‌ها را پاک کرد، فیلم‌های منتشر نشده را فاش کرد و سال‌ها ایمیل داخلی را فاش کرد. انگیزه ظاهری؟ یک کمدی که رهبر کره شمالی را مسخره می‌کرد. پرسروصدا، سیاسی، مخرب. هنوز سودآور نیست.

پول در مرحله بعد از راه رسید. در سال ۲۰۱۶، این گروه تقریباً یکی از بزرگترین سرقت‌های بانکی تاریخ را انجام داد و با ارسال پیام‌های جعلی SWIFT، ۹۵۱ میلیون دلار از حساب بانک بنگلادش در بانک فدرال نیویورک برداشت کرد. یک اشتباه تایپی و کمی شانس، بخش عمده‌ای از آن را از بین برد. حدود ۸۱ میلیون دلار همچنان از دست رفت. آن حمله سایبری ثابت کرد که لازاروس می‌تواند از طریق یک صفحه کلید، مؤسسات مالی را سرقت کند و جرایم سایبری دولتی را به یک مرکز سود واقعی تبدیل کرد.

سپس در سال ۲۰۱۷، واناکرای از راه رسید، یک کرم باج‌افزار که صدها هزار دستگاه را در تقریباً ۱۵۰ کشور مسدود کرد و در این مسیر بیمارستان‌های بریتانیا را نیز از کار انداخت. این حمله بی‌دقت بود و به سختی چیزی به دست آورد. اما دامنه نفوذ خود را نشان داد. بنابراین، زمانی که ارزهای دیجیتال رشد کردند، لازاروس یک دهه در جابجایی پولی که حق دست زدن به آن را نداشت، تجربه داشت.

چرا هکرهای کره شمالی ارزهای دیجیتال را هدف قرار می‌دهند؟

برای رژیمی که از سیستم بانکی جهانی جدا شده است، ارز دیجیتال تقریباً بیش از حد راحت است. تحریم‌ها می‌توانند یک حساب بانکی را مسدود کرده و انتقال SWIFT را مسدود کنند، اما هیچ کس نمی‌تواند مانع از دریافت وجه توسط یک کیف پول شود. ارز دیجیتال در عرض چند دقیقه از مرزها عبور می‌کند، به طور برگشت‌ناپذیر تسویه می‌شود و می‌توان آن را از طریق ابزارهایی که برای شکستن ردپا طراحی شده‌اند، جابجا کرد.

بنابراین کره شمالی تغییر مسیر داد. چرا باید ریسک سرقت از بانکی را پذیرفت که با یک تماس تلفنی می‌توان آن را لغو کرد، در حالی که سوءاستفاده از یک پل ده برابر بیشتر هزینه دارد و نمی‌توان آن را پس گرفت؟ اوضاع اقتصادی به نفع مهاجم است. یک انتقال ناموفق سوئیفت مسدود شده و برگشت داده می‌شود؛ یک تخلیه موفق پل به محض تأیید بلوک، نهایی می‌شود. هیچ طرف مقابلی برای تماس وجود ندارد، هیچ بازپرداختی انجام نمی‌شود، هیچ دادگاهی با صلاحیت رسیدگی به کیف پول وجود ندارد. محققان و سازمان ملل متحد اکنون تخمین می‌زنند که ارزهای دیجیتال سرقت شده سهم بزرگی از درآمد خارجی کشور و بخش قابل توجهی از برنامه تسلیحاتی آن را تشکیل می‌دهند، اگرچه این درصدهای دقیق از ارزیابی‌های اطلاعاتی به جای دفاتر باز به دست می‌آیند.

بزرگترین سرقت‌های ارز دیجیتال گروه لازاروس

مدتی است که دیگر اعداد و ارقام شبیه جرم و جنایت به نظر نمی‌رسند. آنها مانند بودجه ملی خوانده می‌شوند. بزرگترین سرقت، یعنی هک Bybit، بزرگتر از چندین سرقت بعدی و بزرگتر از هر سرقت بانکی غیر کریپتویی در تاریخ است.

با دقت نگاه کنید، همان نقاط ضعف دوباره ظاهر می‌شوند. سرقت رونین به این دلیل جواب داد که مهاجمان پس از به خطر انداختن یک مهندس ارشد، کنترل پنج کلید از نه کلید اعتبارسنجی که پل را ایمن می‌کردند، به دست آوردند، که برای تأیید برداشت‌های خودشان کافی بود. بای‌بیت زیرکانه‌تر عمل کرد: مهاجمان به جای اینکه کیف پول سرد را بشکنند، رابطی را که امضاکنندگان دیدند خراب کردند، بنابراین تیم انتقالی را تأیید کرد که به نظر روتین می‌رسید و به هیچ وجه عادی نبود. در هر دو مورد، رمزنگاری برقرار بود. انسان‌ها و نرم‌افزارهای اطراف آن این کار را نکردند.

مبالغ بر اساس منبع متفاوت است زیرا معمولاً به قیمت توکن در روز وابسته هستند و لازاروس تمایل به سرقت دارایی‌های ناپایدار مانند اتر دارد. رقم رونین بسته به اینکه چه کسی شمارش می‌کند، از حدود ۵۴۰ میلیون دلار تا ۶۲۵ میلیون دلار متغیر است و بای‌بیت از ۱.۴ تا ۱.۵ میلیارد دلار قیمت دارد. الگوی زیرین ثابت است: به دنبال پل‌ها ، صرافی‌های ارز دیجیتال و نرم‌افزار کیف پول بروید، نقاط انسدادی که یک شکست واحد در آنها ثروت زیادی را آزاد می‌کند.

چگونه هک گروه لازاروس آشکار می‌شود

این بخشی است که مردم را شگفت‌زده می‌کند. این سرقت‌های رکوردشکن به ندرت با یک سوءاستفاده عجیب و غریب و غیرقابل توقف شروع می‌شوند. آنها با فریب خوردن یک فرد شروع می‌شوند. بخش هوشمندانه و برگشت‌ناپذیر ماجرا پس از آن اتفاق می‌افتد، زمانی که پول باید ناپدید شود.

راه نفوذ: مشاغل جعلی و فیشینگ

لازاروس صبور و اجتماعی است. برنامه‌ی بلندمدت آن که اغلب «عملیات شغل رویایی» نامیده می‌شود، این است که خود را به عنوان یک استخدام‌کننده در لینکدین یا در یک جامعه‌ی توسعه‌دهندگان جا بزند و یک نقش رویایی را در یک شرکت واقعی پیشنهاد دهد. جایی در مصاحبه، یک «آزمون کدنویسی» یا فایل PDF از راه می‌رسد و باز کردن آن باعث نصب بدافزار می‌شود. اعتقاد بر این است که سرقت بیت‌کوین DMM دقیقاً از همین طریق آغاز شده است، با یک استخدام‌کننده‌ی جعلی که یک کارمند را در یک شرکت مرتبط به خطر می‌اندازد. همین رویکرد از طریق بسته‌های npm تله‌گذاری شده و مخازن GitHub که به عنوان نمونه‌های کار قانونی پوشانده شده‌اند، توسعه‌دهندگان را در سراسر صنعت هدف قرار داده است. هیچ فایروالی جلوی مهندسی را که به او گفته شده فایل یک تکلیف شغلی است، نمی‌گیرد، و دقیقاً به همین دلیل است که مهندسی اجتماعی، نه یک اکسپلویت غیرقابل نفوذ، بیشتر این درها را باز می‌کند.

کارمندان جعلی فناوری اطلاعات در داخل ساختمان

ترفند جدیدتر حتی جسورانه‌تر است: کره شمالی به جای نفوذ، برای این شغل درخواست می‌دهد. هزاران نفر از کارکنان فناوری اطلاعات این کشور خود را به عنوان توسعه‌دهنده از راه دور جا زده‌اند و از هویت‌های دزدیده شده آمریکایی و مزارع لپ‌تاپ که توسط تسهیلگران محلی اداره می‌شوند، استفاده می‌کنند، بنابراین به نظر می‌رسد که کارمند از تگزاس وارد سیستم می‌شود نه از پیونگ یانگ. آنها پس از استخدام در شرکت‌های فناوری و رمزنگاری غربی، حقوق خود را به خانه منتقل می‌کنند و گاهی اوقات برای سرقت بعدی، دسترسی به سیستم را فراهم می‌کنند. وزارت دادگستری ایالات متحده هر دو سر این طرح را تحت پیگرد قرار داده است، از جمله پرونده‌ای در دسامبر ۲۰۲۴ که چهارده کره شمالی را متهم کرد و اقداماتی در سال ۲۰۲۵ علیه تسهیلگران مستقر در ایالات متحده که میزبان لپ‌تاپ‌ها بودند، انجام داد. این جاسوسی است که در قالب یک ورودی حقوق و دستمزد پنهان شده است.

برداشت وجه: میکسرها و بریج‌ها

دزدیدن ارز دیجیتال نیمی از کار است؛ نیمه سخت‌تر خرج کردن آن است. لازاروس وجوه دزدیده شده را از طریق میکسرهایی مانند Tornado Cash که در سال ۲۰۲۲ توسط ایالات متحده تحریم شد و Sinbad که در اواخر سال ۲۰۲۳ تحریم شد، اجرا می‌کند، سپس پول را از طریق پل‌ها و مبادله بین دارایی‌ها در بلاکچین‌ها جابجا می‌کند تا ردپا را مخدوش کند و سپس از طریق صرافی‌هایی با چک‌های ضعیف نقد کند. این فرآیند سریع و خودکار است. پس از Bybit، محققان شاهد پراکنده شدن وجوه در صدها کیف پول در عرض چند ساعت بودند. این یک پولشویی در مقیاس صنعتی است و آنقدر زیاد انجام می‌شود که رژیم به انجام آن ادامه می‌دهد.

گروه لازاروس چقدر دزدیده است؟

اگر کمی به عقب برگردیم، پردازش کل این اطلاعات دشوار است. طبق گزارش Chainalysis ، هکرهای مرتبط با کره شمالی در طول سال ۲۰۲۵ تقریباً ۲.۰۲ میلیارد دلار ارز دیجیتال به سرقت برده‌اند که نسبت به سال قبل ۵۱ درصد افزایش داشته و مجموع کل سرقت‌ها را به ۶.۷۵ میلیارد دلار رسانده است. در سال ۲۰۲۵، این کشور حدود ۷۶ درصد از کل ارزش سرقت شده از خدمات ارز دیجیتال در سراسر جهان را به خود اختصاص داده است. یک ایالت، سه چهارم خسارت را به خود اختصاص داده است.

آمار سال ۲۰۲۴ با هم متفاوت هستند زیرا موارد متفاوتی را اندازه‌گیری می‌کنند: دولت‌ها تعداد انگشت‌شماری از سرقت‌های خاص را تأیید کردند، در حالی که شرکت‌های تحلیلی از طریق ردیابی درون زنجیره‌ای، تعداد بیشتری را نسبت دادند. در هر صورت، روند صعودی است. یک بررسی توسط هیئتی از کارشناسان سازمان ملل متحد، تقریباً ۵۸ حمله مشکوک به ارزهای دیجیتال کره شمالی به ارزش حدود ۳ میلیارد دلار را بین سال‌های ۲۰۱۷ تا ۲۰۲۳، قبل از ثبت رکوردهای ۲۰۲۴ و ۲۰۲۵، شمارش کرد. همین نهاد گزارش داده است که این پول به تأمین مالی برنامه تسلیحاتی کره شمالی کمک می‌کند، ادعایی که از اطلاعات کشورهای عضو به جای حساب‌های حسابرسی شده گرفته شده است، اما ادعایی است که هر نقض صرافی را به عنوان چیزی نزدیک‌تر به یک رویداد ژئوپلیتیکی تعریف می‌کند.

تحریم‌ها، کیفرخواست‌ها و واکنش‌ها

خب، واقعاً چه کاری از دست کسی برمی‌آید؟ اسمشان را ببرید، تحریمشان کنید، کیفرخواست صادر کنید. دستگیرشان کنید، تقریباً هیچ‌وقت، چون در پیونگ‌یانگ هستند.

ردپای مدارک تا الان طولانی شده است. وزارت خزانه‌داری در سال ۲۰۱۹ لازاروس را در لیست سیاه قرار داد، سپس به سراغ میکسرهایی که به آنها متکی است، تورنادو کش و سینباد، رفت. دادستان‌ها هم به این کار ادامه دادند و هکرهای شناخته‌شده را از سال ۲۰۲۱ و اخیراً، افرادی را که خط تولید جعلی کارمند فناوری اطلاعات را اداره می‌کنند، متهم کردند. موفق باشید که حکم‌ها را اجرا می‌کنید.

بازپس‌گیری پول از این هم نادرتر است. پس از سرقت رونین، بازرسان با کمک اف‌بی‌آی و چینالیسیس بخشی از وجوه را پس گرفتند . یک بخش. بقیه رفته بود. و تحریم‌ها عادت دارند که فقط مشکل را جابه‌جا کنند: تورنادو کش را در لیست سیاه قرار می‌دهند و پول به سندباد می‌رود؛ سندباد را می‌زنند و گروه میکسر بعدی را پیدا می‌کند. هر حرکتی، نقد کردن پول را گران‌تر و زشت‌تر می‌کند. هیچ‌کدام از این‌ها جلوی سرقت را در مبدا نمی‌گیرد. شما نمی‌توانید یک دولت را مسترد کنید.

آیا می‌توان گروه لازاروس را متوقف کرد؟

راستش را بخواهید، نه فقط با تحریم‌ها. دفاعی که اهمیت دارد قبل از نقض اتفاق می‌افتد و به جای دادستان‌ها، بر دوش صرافی‌ها و کاربران است. این یعنی تأییدیه‌های سخت‌افزاری برای نقل و انتقالات بزرگ، برخورد با یک استخدام‌کننده ناخواسته به عنوان یک تهدید به جای یک فرصت، و امتناع از امضای یک خزانه توسط یک لپ‌تاپ آلوده. همچنین به معنای تأیید آنچه واقعاً امضا می‌کنید به جای اعتماد به یک صفحه نمایش است، دقیقاً همان شکافی که برای Bybit بیش از یک میلیارد دلار هزینه داشت. عدم تقارن بی‌رحمانه است: مدافعان باید هر بار درست بگویند، در حالی که Lazarus برای باز کردن یک فایل به یک مهندس نیاز دارد. هدف واقع‌بینانه حذف گروه نیست، بلکه کندتر، کوچکتر و دشوارتر کردن هر سرقت است، به طوری که فرصت میلیارد دلاری بعدی به سادگی پیدا نشود.

چرا گروه لازاروس برای ارزهای دیجیتال اهمیت دارد؟

لازاروس ویژگی‌هایی را که کریپتو به آنها افتخار می‌کند، یعنی بی‌مرز و برگشت‌ناپذیر بودن، گرفت و آنها را به ابزاری برای تأمین مالی دولت تبدیل کرد. درس ناخوشایند اینجاست: همان طراحی که پول را از بانک‌ها آزاد می‌کند، آن را از بازیابی نیز آزاد می‌کند. امنیت کریپتو دیگر فقط یک نگرانی شخصی در مورد کلیدهای شخصی شما نیست؛ بلکه به یک مسئله امنیت ملی برای چندین کشور به طور همزمان تبدیل شده است. هر پل حسابرسی نشده و هر صرافی با کنترل‌های سهل‌انگارانه، یک ردیف بالقوه در بودجه موشکی است. سؤالی که ارزش بررسی دارد این است که چگونه یک سیستم مالی باز و بدون مجوز از خود در برابر حریف صبور و دارای بودجه کافی که با سرقت در مقیاس بزرگ به عنوان یک موضوع سیاست خارجی رفتار می‌کند، دفاع می‌کند.

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.