أرجع مكتب التحقيقات الفيدرالي (FBI) رسميًا الهجوم السيبراني الأخير الذي بلغت قيمته 1.5 مليار دولار على بورصة العملات المشفرة Bybit إلى مجموعة Lazarus Group التي ترعاها الدولة في كوريا الشمالية. شهد الهجوم، الذي وقع في 21 فبراير، تسلل قراصنة إلى إحدى محافظ Bybit الباردة وسرقة أكثر من 41000 ETH.
يضيف هذا الاختراق إلى قائمة متزايدة من عمليات سرقة العملات المشفرة رفيعة المستوى التي تنظمها كيانات القرصنة الكورية الشمالية.
السلطات الأمريكية تدق ناقوس الخطر بشأن سرقات كوريا الشمالية للعملات المشفرة
وفي تقرير استشاري مشترك للأمن السيبراني (CSA) أصدره مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) ووزارة الخزانة الأمريكية، حذرت السلطات من تزايد المخاطر السيبرانية التي تشكلها مجموعات التهديد المستمر المتقدم (APT) المدعومة من كوريا الشمالية.
تجري Lazarus Group، المعروفة أيضًا بأسماء مستعارة مثل APT38 وBlueNoroff وStardust Chollima، عمليات سرقة إلكترونية منذ عام 2020 على الأقل. ومن المعروف أن هذا الكيان يستهدف بشكل منهجي بورصات العملات المشفرة، وبروتوكولات التمويل اللامركزي (DeFi)، ومنصات ألعاب اللعب من أجل الربح، بالإضافة إلى شركات رأس المال الاستثماري التي تستثمر في الأصول الرقمية.
ويحدد الاستشارة تكتيكات المجموعة، والتي تشمل الهندسة الاجتماعية، وحملات التصيد الاحتيالي، ونشر تطبيقات العملات المشفرة من نوع طروادة لاختراق الشبكات وسرقة الأموال.
وفقًا للسلطات الأمريكية، يستخدم المتسللون الكوريون الشماليون سلالات معقدة من البرامج الضارة، بما في ذلك البرنامج الضار AppleJeus سيئ السمعة، لاختراق منصات العملات المشفرة. غالبًا ما تستغل هذه الجهات الفاعلة السيبرانية نقاط الضعف في شركات التكنولوجيا المالية والبنية التحتية لسلسلة الكتل لغسل الأصول الرقمية المسروقة، وتحويل الأموال في النهاية إلى النظام الكوري الشمالي.
"التاجر الخائن"
يتبع اختراق Bybit نمطًا مألوفًا، حيث يستخدم المهاجمون أساليب توظيف خادعة لخداع الموظفين لتنزيل تطبيقات التداول المخترقة، والتي يطلق عليها اسم "TraderTraitor". تم تصميم هذه التطبيقات باستخدام JavaScript وNode.js عبر الأنظمة الأساسية لجعلها تبدو شرعية، ولكنها تحتوي على برامج ضارة مخفية تسمح للمهاجمين بالوصول غير المصرح به إلى المفاتيح الخاصة وبدء معاملات blockchain الاحتيالية.
مع تكثيف عمليات السرقة الإلكترونية في كوريا الشمالية، أكدت الحكومة الأمريكية التزامها بمكافحة الأنشطة غير المشروعة في قطاع العملات المشفرة. يحث مكتب التحقيقات الفيدرالي شركات العملات المشفرة على تعزيز تدابير الأمن السيبراني، ومراقبة مؤشرات التسوية (IOC)، وتنفيذ بروتوكولات أمنية قوية للتخفيف من المخاطر المرتبطة بالتهديدات السيبرانية المدعومة من كوريا الشمالية.
منشور مكتب التحقيقات الفيدرالي يربط هجومًا إلكترونيًا بقيمة 1.5 مليار دولار من شركة Bybit بمجموعة Lazarus في كوريا الشمالية ظهر لأول مرة على CryptoPotato .