लाजरस ग्रुप: उत्तर कोरियाई साइबर अपराधी क्रिप्टो कैसे चुराते हैं
एक हैकिंग गिरोह ने इतिहास में किसी भी अन्य गिरोह से कहीं अधिक क्रिप्टोकरेंसी चुराई है। संयोग से, यह गिरोह एक सरकारी संस्था के लिए काम करता है। लाजरस ग्रुप उत्तर कोरिया का सरकारी हैकिंग गिरोह है, और इसके लिए क्रिप्टोकरेंसी चुराना कोई मामूली काम नहीं है। यह उनका मुख्य व्यवसाय है, एक राष्ट्रीय आय का स्रोत है जिसके पीछे वेतन का भुगतान होता है। उनके मानकों के अनुसार, एक अच्छे वर्ष में यह समूह एक्सचेंजों, ब्रिज और सामान्य वॉलेट से दो अरब डॉलर से अधिक की रकम निकाल लेता है। इसमें से अधिकांश रकम किसी के रिपोर्ट दर्ज करने से पहले ही गायब हो जाती है।
इस गाइड में बताया गया है कि वे कौन हैं, उनसे जुड़ी सबसे बड़ी लूटपाट की घटनाएं, हमला कैसे होता है, पैसे की हेराफेरी कैसे होती है और कितना पैसा गायब हो चुका है। मुख्य फोकस क्रिप्टोकरेंसी पर है। कहानी अब क्रिप्टोकरेंसी के इर्द-गिर्द घूमती है।
लाजरस ग्रुप वास्तव में कौन है?
हुडी पहने अकेले हैकर की छवि को भूल जाइए। लाजरस ग्रुप एक वेतनभोगी सरकारी विभाग की तरह है। पश्चिमी एजेंसियां इसे उत्तर कोरिया के टोही महानिरीक्षक ब्यूरो, जो देश की मुख्य विदेशी खुफिया सेवा है, और ब्यूरो 121 के नाम से जानी जाने वाली इकाइयों से जोड़ती हैं। साइबर सुरक्षा शोधकर्ता इसे एक एकल खतरा समूह के रूप में देखते हैं, हालांकि व्यवहार में यह उत्तर कोरियाई सरकार के आक्रामक साइबर अभियानों को चलाने वाली टीमों का एक समूह है। कीबोर्ड के पीछे बैठे लोग प्रशिक्षित, वेतनभोगी और जिम्मेदारियां सौंपी जाती हैं, और उनकी लक्ष्य सूची सरकार द्वारा निर्धारित की जाती है।
रिपोर्ट लिखने वाले के अनुसार इस समूह के कई नाम हैं: APT38, हिडन कोबरा, गार्डियंस ऑफ पीस, लैबिरिंथ चोलिमा। विश्लेषक इसे अलग-अलग कार्यों वाली उप-टीमों में बांटते हैं। ब्लू नॉरॉफ बैंकों और क्रिप्टो फर्मों से पैसे वसूलता है, एंडारियल जासूसी और व्यवधान पैदा करने पर केंद्रित है, और व्यापक समूह लाजरस प्रमुख हमलों को संभालता है। यह समूह लगभग 2009 से किसी न किसी रूप में सक्रिय है, जो इसे दुनिया के सबसे लंबे समय तक सक्रिय रहने वाले और सबसे अधिक वित्तीय रूप से प्रेरित खतरा पैदा करने वाले समूहों में से एक बनाता है।
लाजरस को अधिकांश सरकारी हैकरों से अलग करने वाली बात इसका मकसद है। रूस और चीन मुख्य रूप से जासूसी करते हैं। उत्तर कोरिया खुद को चलाने के लिए चोरी करता है। सितंबर 2019 में अमेरिकी वित्त मंत्रालय ने लाजरस और उससे जुड़े दो समूहों, ब्लू नॉरॉफ और एंडारियल पर औपचारिक रूप से प्रतिबंध लगा दिया , और उन्हें उत्तर कोरियाई सरकार की शाखा बताया। एक सुरक्षा फर्म ने इस समूह का सटीक वर्णन करते हुए कहा: एक झंडाबंद आपराधिक गिरोह।
सोनी से लेकर वानाक्राई तक: शुरुआती साल
क्रिप्टो करेंसी से पहले, लाजरस ने अराजकता फैलाकर अपना नाम कमाया था। 2014 में सोनी पिक्चर्स एंटरटेनमेंट पर आई इस हिट फिल्म ने 'गार्जियंस ऑफ पीस' के साथ करार किया, सिस्टम को तहस-नहस कर दिया, रिलीज न हुई फिल्में लीक कर दीं और कई सालों के आंतरिक ईमेल लीक कर दिए। इसका मकसद क्या था? उत्तर कोरिया के नेता का मज़ाक उड़ाने वाली एक कॉमेडी फिल्म। शोरगुल भरी, राजनीतिक और विनाशकारी। अभी तक मुनाफा नहीं कमा पाई है।
इसके बाद पैसों का सिलसिला शुरू हुआ। 2016 में इस गिरोह ने अब तक की सबसे बड़ी बैंक डकैतियों में से एक को अंजाम देने की पूरी कोशिश की। उन्होंने फर्जी SWIFT संदेशों के जरिए न्यूयॉर्क फेडरल रिजर्व में बांग्लादेश बैंक के खाते से 951 मिलियन डॉलर निकालने का प्रयास किया। एक टाइपिंग की गलती और किस्मत के साथ ने इस योजना को नाकाम कर दिया। फिर भी लगभग 81 मिलियन डॉलर की रकम बच निकली। इस एक साइबर हमले ने साबित कर दिया कि लाजरस कीबोर्ड से ही वित्तीय संस्थानों को लूट सकता है, और इसने सरकारी साइबर अपराध को एक वास्तविक लाभ का केंद्र बना दिया।
फिर 2017 में वानाक्राई आया, एक रैंसमवेयर वर्म जिसने लगभग 150 देशों में लाखों मशीनों को ठप कर दिया और ब्रिटेन के अस्पतालों को भी प्रभावित किया। यह लापरवाही भरा कदम था और इससे नाममात्र की कमाई हुई। लेकिन इसने अपनी पहुंच का प्रदर्शन किया। इसलिए जब तक क्रिप्टो का विकास हुआ, लाजरस को पहले से ही एक दशक से ऐसे पैसे के लेन-देन का अनुभव था जिस पर उसका कोई अधिकार नहीं था।
उत्तर कोरियाई हैकर्स क्रिप्टो को क्यों निशाना बनाते हैं?
वैश्विक बैंकिंग प्रणाली से कटे हुए शासन के लिए, क्रिप्टोकरेंसी बेहद सुविधाजनक है। प्रतिबंध बैंक खाते को फ्रीज कर सकते हैं और SWIFT ट्रांसफर को रोक सकते हैं, लेकिन कोई भी वॉलेट में धनराशि आने से नहीं रोक सकता। क्रिप्टोकरेंसी मिनटों में सीमाओं के पार पहुंच जाती है, अपरिवर्तनीय रूप से स्थापित हो जाती है, और इसके लेन-देन का पता लगाने के लिए डिज़ाइन किए गए उपकरणों के माध्यम से इसे आसानी से स्थानांतरित किया जा सकता है।
इसलिए उत्तर कोरिया ने अपनी रणनीति बदल दी। एक फ़ोन कॉल से उलट जाने वाले बैंक डकैती के जोखिम को क्यों उठाया जाए, जबकि ब्रिज एक्सप्लॉइट से दस गुना अधिक लाभ मिलता है और उसे वापस नहीं लिया जा सकता? आर्थिक रूप से हमलावर को भारी लाभ मिलता है। असफल SWIFT ट्रांसफर को रोक दिया जाता है और पैसा वापस कर दिया जाता है; जबकि सफल ब्रिज ड्रेन ब्लॉक की पुष्टि होते ही अंतिम हो जाता है। इसमें न तो कोई प्रतिपक्ष होता है, न ही कोई चार्जबैक, और न ही वॉलेट पर अधिकार क्षेत्र रखने वाली कोई अदालत। जांचकर्ताओं और संयुक्त राष्ट्र का अनुमान है कि चोरी की गई क्रिप्टोकरेंसी देश की विदेशी आय का एक बड़ा हिस्सा और उसके हथियार कार्यक्रम का एक महत्वपूर्ण हिस्सा है, हालांकि ये सटीक प्रतिशत सार्वजनिक खातों के बजाय खुफिया आकलन से प्राप्त हुए हैं।
लाजरस ग्रुप की सबसे बड़ी क्रिप्टो चोरी
ये आंकड़े अब अपराध जैसे नहीं लगते। ये किसी राष्ट्रीय बजट की तरह लगते हैं। सबसे बड़ी चोरी, बायबिट हैक, अगली कई चोरियों से कहीं ज़्यादा बड़ी है और इतिहास में किसी भी गैर-क्रिप्टो बैंक डकैती से कहीं ज़्यादा बड़ी है।
| लूट | तारीख | मात्रा | तरीका |
|---|---|---|---|
| बायबिट | फरवरी 2025 | लगभग 1.5 बिलियन डॉलर | हेरफेर किया गया मल्टीसिग हस्ताक्षर इंटरफ़ेस |
| रोनिन ब्रिज (एक्सी) | मार्च 2022 | लगभग 625 मिलियन डॉलर | चोरी किए गए वैलिडेटर निजी कुंजी |
| डीएमएम बिटकॉइन | मई 2024 | लगभग 308 मिलियन डॉलर | फर्जी भर्तीकर्ता, समझौता किया हुआ कर्मचारी |
| वज़ीरएक्स | जुलाई 2024 | लगभग 235 मिलियन डॉलर | वॉलेट इंफ्रास्ट्रक्चर उल्लंघन |
| हार्मनी होराइजन | जून 2022 | लगभग 100 मिलियन डॉलर | क्षतिग्रस्त पुल की चाबियाँ |
| परमाणु बटुआ | जून 2023 | >$100 मिलियन | दुर्भावनापूर्ण सॉफ़्टवेयर अपडेट |
ध्यान से देखें तो वही कमजोरियाँ बार-बार सामने आती रहती हैं। रोनिन की चोरी इसलिए सफल हुई क्योंकि हमलावरों ने एक वरिष्ठ इंजीनियर को निशाना बनाकर ब्रिज को सुरक्षित रखने वाली नौ वैलिडेटर कुंजियों में से पाँच पर नियंत्रण हासिल कर लिया, जो उनके अपने निकासी को मंजूरी देने के लिए पर्याप्त था। बायबिट का तरीका थोड़ा चालाकी भरा था: हमलावरों ने कोल्ड वॉलेट को तोड़ने के बजाय, हस्ताक्षरकर्ताओं द्वारा देखे जाने वाले इंटरफ़ेस को ही खराब कर दिया, जिससे टीम ने एक ऐसे हस्तांतरण को मंजूरी दे दी जो देखने में सामान्य लग रहा था, लेकिन वास्तव में ऐसा नहीं था। दोनों ही मामलों में क्रिप्टोग्राफी कारगर रही। लेकिन इंसान और उससे जुड़ा सॉफ्टवेयर नाकाम रहे।
अलग-अलग स्रोतों से प्राप्त राशियाँ भिन्न-भिन्न होती हैं क्योंकि वे आमतौर पर उस दिन टोकन की कीमत से जुड़ी होती हैं, और लाजरस अक्सर ईथर जैसी अस्थिर संपत्तियों को चुराता है। रोनिन की राशि लगभग 540 मिलियन डॉलर से लेकर 625 मिलियन डॉलर तक है, यह इस बात पर निर्भर करता है कि कौन गणना कर रहा है, और बायबिट की राशि 1.4 से 1.5 बिलियन डॉलर के बीच बताई जाती है। मूल सिद्धांत एक ही है: ब्रिज , क्रिप्टोकरेंसी एक्सचेंज और वॉलेट सॉफ्टवेयर को निशाना बनाना, ये वे महत्वपूर्ण बिंदु हैं जहाँ एक छोटी सी विफलता से भारी धन का नुकसान हो सकता है।
लाजरस ग्रुप हैक का खुलासा कैसे हुआ
अब आती है वो बात जो लोगों को चौंका देती है। ये रिकॉर्ड तोड़ चोरियां शायद ही कभी किसी अचूक, अचूक तरकीब से शुरू होती हैं। इनकी शुरुआत किसी व्यक्ति को मूर्ख बनाने से होती है। असली चालाकी और अपरिवर्तनीय चाल तो बाद में आती है, जब पैसा गायब हो जाता है।
प्रवेश का तरीका: फर्जी नौकरियां और फ़िशिंग
लाजरस धैर्यवान और सामाजिक है। इसकी लंबे समय से चली आ रही रणनीति, जिसे अक्सर 'ऑपरेशन ड्रीम जॉब' कहा जाता है, लिंक्डइन या डेवलपर समुदाय में एक भर्तीकर्ता बनकर किसी वास्तविक सी दिखने वाली कंपनी में एक आकर्षक नौकरी का प्रस्ताव देना है। इंटरव्यू के दौरान कहीं न कहीं एक "कोडिंग टेस्ट" या पीडीएफ फाइल आती है, जिसे खोलने पर मैलवेयर इंस्टॉल हो जाता है। माना जाता है कि डीएमएम बिटकॉइन चोरी की शुरुआत ठीक इसी तरह हुई थी, जिसमें एक नकली भर्तीकर्ता ने किसी संबंधित कंपनी के कर्मचारी को निशाना बनाया था। इसी तरह का तरीका उद्योग भर के डेवलपर्स को निशाना बनाने के लिए इस्तेमाल किया गया है, जिसमें जालसाजी वाले एनपीएम पैकेज और गिटहब रिपॉजिटरी को वैध कार्य नमूनों के रूप में प्रस्तुत किया जाता है। कोई भी फ़ायरवॉल उस इंजीनियर को नहीं रोक सकता जिसे बताया गया है कि फाइल एक जॉब असाइनमेंट है, और यही कारण है कि इनमें से अधिकांश दरवाजे किसी अभेद्य एक्सप्लॉइट के बजाय सोशल इंजीनियरिंग के माध्यम से खुलते हैं।
इमारत के अंदर नकली आईटी कर्मचारी
नई तरकीब तो और भी ज़्यादा खतरनाक है: घुसपैठ करने के बजाय, उत्तर कोरिया नौकरी के लिए आवेदन करता है। उसके हज़ारों आईटी कर्मचारी चोरी की अमेरिकी पहचान और स्थानीय दलालों द्वारा संचालित लैपटॉप फ़ार्म का इस्तेमाल करके रिमोट डेवलपर बनकर काम करते हैं, ताकि कर्मचारी प्योंगयांग के बजाय टेक्सास से लॉग इन करते हुए दिखाई दें। पश्चिमी तकनीक और क्रिप्टो कंपनियों में नौकरी मिलने के बाद, वे अपना वेतन घर भेज देते हैं और कभी-कभी बाद में चोरी करने के लिए लैपटॉप की पहुँच भी सुरक्षित कर लेते हैं। अमेरिकी न्याय विभाग इस योजना के दोनों पक्षों पर कार्रवाई कर रहा है, जिसमें दिसंबर 2024 में चौदह उत्तर कोरियाई लोगों पर आरोप लगाना और 2025 में लैपटॉप की मेजबानी करने वाले अमेरिकी दलालों के खिलाफ कार्रवाई करना शामिल है। यह वेतन के नाम पर की गई जासूसी है।
मुनाफा कमाना: मिक्सर और ब्रिज
क्रिप्टोकरेंसी चुराना आधा काम है; असली मुश्किल काम है उसे खर्च करना। लाजरस चुराए गए फंड को टॉरनेडो कैश (जिसे अमेरिका ने 2022 में प्रतिबंधित किया था) और सिन्बाद (जिसे 2023 के अंत में प्रतिबंधित किया गया था) जैसे मिक्सर के ज़रिए ट्रांसफर करता है, फिर सबूत मिटाने के लिए ब्रिज और एसेट स्वैप के ज़रिए पैसे को ब्लॉकचेन के पार ट्रांसफर करता है और फिर कमज़ोर जांच वाले एक्सचेंजों के ज़रिए उसे निकाल लेता है। यह प्रक्रिया तेज़ और स्वचालित है; बायबिट के बाद, जांचकर्ताओं ने देखा कि फंड कुछ ही घंटों में सैकड़ों वॉलेट में फैल गया। यह औद्योगिक स्तर पर मनी लॉन्ड्रिंग है, और यह इतनी बार सफल होती है कि सरकार इसे करती रहती है।
लाजरस ग्रुप ने कितनी रकम चुराई है?
ज़रा पीछे मुड़कर देखें तो आंकड़े समझना मुश्किल है। चेनैलिसिस के अनुसार, उत्तर कोरिया से जुड़े हैकर्स ने 2025 में लगभग 2.02 अरब डॉलर की क्रिप्टो करेंसी चुराई, जो पिछले वर्ष की तुलना में 51 प्रतिशत अधिक है, जिससे कुल चोरी की गई राशि 6.75 अरब डॉलर से भी अधिक हो गई। 2025 में, दुनिया भर में क्रिप्टो सेवाओं से चोरी हुई कुल राशि का लगभग 76 प्रतिशत हिस्सा उत्तर कोरिया का था। एक देश, तीन-चौथाई नुकसान।
| अवधि | चोरी (क्रिप्टो) | स्रोत |
|---|---|---|
| 2024 (सरकारों द्वारा पुष्टि की गई) | लगभग $659 मिलियन | अमेरिका/जापान/दक्षिण कोरिया का संयुक्त बयान |
| 2024 (पूर्ण श्रेय) | लगभग $1.19 बिलियन | चेनैलिसिस / मैंडिएंट |
| 2025 | लगभग 2.02 बिलियन डॉलर | चेनैलिसिस |
| सर्वकालिक (निचली सीमा) | लगभग $6.75 बिलियन | चेनैलिसिस |
2024 के आंकड़े विरोधाभासी हैं क्योंकि वे अलग-अलग चीजों को मापते हैं: सरकारों ने कुछ विशिष्ट चोरी की घटनाओं की पुष्टि की, जबकि विश्लेषण फर्मों ने ऑन-चेन ट्रेसिंग के माध्यम से अधिक घटनाओं का पता लगाया। दोनों ही मामलों में रुझान ऊपर की ओर इशारा करता है। संयुक्त राष्ट्र के विशेषज्ञों के एक पैनल की समीक्षा में 2017 से 2023 के बीच लगभग 58 संदिग्ध उत्तर कोरियाई क्रिप्टो हमलों की गिनती की गई, जिनकी कीमत लगभग 3 अरब डॉलर थी, जबकि 2024 और 2025 के रिकॉर्ड अभी तक दर्ज भी नहीं किए गए थे। इसी संस्था ने बताया है कि यह पैसा उत्तर कोरिया के हथियार कार्यक्रम को वित्त पोषित करने में मदद करता है, यह दावा ऑडिट किए गए खातों के बजाय सदस्य देशों की खुफिया जानकारी पर आधारित है, लेकिन यह हर एक्सचेंज उल्लंघन को एक भू-राजनीतिक घटना के रूप में प्रस्तुत करता है।
प्रतिबंध, अभियोग और प्रतिक्रिया
तो आखिर इसके बारे में कोई कुछ कर भी सकता है क्या? उनके नाम उजागर करें, उन पर प्रतिबंध लगाएं, उन पर मुकदमा चलाएं। उन्हें गिरफ्तार करना तो लगभग नामुमकिन है, क्योंकि वे प्योंगयांग में बैठे रहते हैं।
अब तक कागज़ी सबूतों काफ़ी लंबे हो चुके हैं। वित्त मंत्रालय ने 2019 में लाजरस को ब्लैकलिस्ट कर दिया था, फिर उसके साथ जुड़े जालसाज़ों, टॉरनेडो कैश और सिन्बाद के खिलाफ़ कार्रवाई शुरू की। अभियोजकों ने भी मोर्चा संभाल लिया और 2021 में नामजद हैकरों पर आरोप लगाए, और हाल ही में फ़र्ज़ी आईटी कर्मचारियों की भर्ती करने वाले गिरोहों पर भी कार्रवाई की। अब तो वारंट तामील कराने में कामयाबी मिलना नामुमकिन है।
पैसा वापस पाना और भी मुश्किल है। रोनिन की चोरी के बाद, जांचकर्ताओं ने एफबीआई और चेनैलिसिस की मदद से कुछ हिस्सा ही वापस हासिल किया । बस थोड़ा सा। बाकी सब गायब हो गया था। और प्रतिबंधों की वजह से समस्या बस इधर-उधर ही घूमती रहती है: टॉरनेडो कैश को ब्लैकलिस्ट करो तो पैसा सिन्बाद के पास चला जाता है; सिन्बाद पर कार्रवाई करो तो गिरोह अगले दलाल की तलाश में निकल पड़ता है। हर कदम से पैसा निकालना और भी महंगा और बदतर होता जाता है। लेकिन चोरी को जड़ से खत्म नहीं किया जा सकता। आप किसी सरकार का प्रत्यर्पण नहीं कर सकते।
क्या लाजरस ग्रुप को रोका जा सकता है?
सच कहूँ तो, सिर्फ़ प्रतिबंधों से काम नहीं चलेगा। असल बचाव तो डेटा लीक होने से पहले ही हो जाता है, और इसकी ज़िम्मेदारी अभियोजकों के बजाय एक्सचेंजों और उपयोगकर्ताओं पर होती है। इसका मतलब है बड़े लेन-देन पर हार्डवेयर द्वारा अनिवार्य अनुमोदन, अनचाहे भर्तीकर्ता को अवसर के बजाय खतरे के रूप में देखना, और किसी भी असुरक्षित लैपटॉप को खजाने की संपत्ति को खोने से रोकना। इसका यह भी मतलब है कि आप जो हस्ताक्षर कर रहे हैं, उसकी जाँच करना, न कि सिर्फ़ स्क्रीन पर भरोसा करना, यही वह कमी थी जिसकी वजह से बायबिट को एक अरब डॉलर से ज़्यादा का नुकसान हुआ। यह विषमता बेहद गंभीर है: बचाव करने वालों को हर बार सही होना पड़ता है, जबकि लाजरस को एक फ़ाइल खोलने के लिए एक इंजीनियर की ज़रूरत होती है। व्यावहारिक लक्ष्य समूह को खत्म करना नहीं है, बल्कि हर चोरी को धीमा, छोटा और मनी लॉन्ड्रिंग के लिहाज़ से कठिन बनाना है, ताकि अगली अरबों डॉलर की चोरी का मौका ही न मिले।
क्रिप्टो जगत के लिए लाजरस ग्रुप क्यों महत्वपूर्ण है?
लाजरस ने क्रिप्टो की उन विशेषताओं का फायदा उठाया जिन पर क्रिप्टो को सबसे ज्यादा गर्व है - यानी इसकी सीमाहीनता और अपरिवर्तनीयता - और उन्हें सरकारी फंडिंग के साधन में बदल दिया। यही वह असहज सबक है जो हमें यहाँ मिलता है: जिस डिज़ाइन से पैसा बैंकों से मुक्त होता है, वही उसे वसूली से भी मुक्त कर देता है। क्रिप्टो सुरक्षा अब केवल आपकी अपनी कुंजियों से जुड़ी निजी चिंता नहीं रह गई है; यह एक साथ कई देशों की राष्ट्रीय सुरक्षा का प्रश्न बन गया है। हर बिना ऑडिट वाला ब्रिज और ढीले नियंत्रण वाला हर एक्सचेंज मिसाइल बजट में एक संभावित मद है। विचारणीय प्रश्न यह है कि एक खुली, अनुमति-रहित वित्तीय प्रणाली खुद को एक ऐसे धैर्यवान, अच्छी तरह से वित्तपोषित प्रतिद्वंद्वी से कैसे बचाएगी जो बड़े पैमाने पर चोरी को विदेश नीति का मामला मानता है।
