Στις 21 Φεβρουαρίου 2025, η παγκόσμια κοινότητα των κρυπτονομισμάτων ταρακουνήθηκε από μια άνευ προηγουμένου κυβερνοεπίθεση: χάκερς κατάφεραν να αποσπάσουν 1,5 δισεκατομμύρια δολάρια σε Ethereum από την πλατφόρμα συναλλαγών Bybit, καθιστώντας το το μεγαλύτερο ψηφιακό οικονομικό έγκλημα στην ιστορία.
Οι πρώτες αναλύσεις υποδεικνύουν ότι πίσω από την επίθεση βρίσκεται η διαβόητη ομάδα Lazarus της Βόρειας Κορέας, γνωστή για προηγούμενες επιθέσεις σε χρηματοοικονομικούς οργανισμούς και όχι μόνο, όπως αποδεικνύει η ιστορία τους.
Ο ερευνητής κρυπτογράφησης που ακολουθείται ευρέως, γνωστός ως ZachXBT, δημοσίευσε στο επίσημο προφίλ του στο X την σύνδεση της ομάδας Lazarus με το χακάρισμα στο bybit. Μπορείτε να βρείτε το αναλυτικό report στο Chainabuse.
Οι χάκερς, σύμφωνα με τις ανακοινώσεις της εταιρείας, εκμεταλλεύτηκαν ένα κενό ασφαλείας στη διαδικασία μεταφοράς κεφαλαίων μεταξύ των «ψυχρών» και «θερμών» πορτοφολιών της Bybit. Τα ψυχρά πορτοφόλια (cold wallets) είναι offline και θεωρούνται πιο ασφαλή από επιθέσεις, ενώ τα θερμά πορτοφόλια (hot wallets) είναι συνδεδεμένα στο διαδίκτυο και χρησιμοποιούνται για καθημερινές συναλλαγές.
Από τις αναλύσεις ειδικών σε blockchain forensics, φαίνεται ότι η επίθεση ξεκίνησε μέσω μίας phishing καμπάνιας που στοχοποίησε υπαλλήλους της Bybit, αποσπώντας ευαίσθητα credentials. Μόλις οι χάκερς απέκτησαν πρόσβαση στο backend του ανταλλακτηρίου, κατάφεραν να παρακάμψουν τις ρυθμίσεις ασφαλείας και να εκτελέσουν μη εξουσιοδοτημένες μεταφορές κεφαλαίων.
Ο συνιδρυτής και διευθύνων σύμβουλος της Bybit, Ben Zhou, διαβεβαίωσε τους πελάτες ότι η εταιρεία παραμένει φερέγγυα και ότι όλα τα περιουσιακά στοιχεία των πελατών είναι πλήρως καλυμμένα, ακόμα και αν τα κλεμμένα κεφάλαια δεν ανακτηθούν.
O Ben Zhou
Μετά την επίθεση, η Bybit αντιμετώπισε αυξημένες αιτήσεις ανάληψης, με συνολικές εκροές να ξεπερνούν τα 5,5 δισεκατομμύρια δολάρια. Η εταιρεία συνεργάζεται με ειδικούς στην ανάλυση του blockchain για την ανίχνευση των κλεμμένων κεφαλαίων και έχει ξεκινήσει πρόγραμμα επιβράβευσης για την ανάκτησή τους, προσφέροντας έως και 10% του ανακτηθέντος ποσού σε ηθικούς χάκερς που θα βοηθήσουν στην ανάκτηση των κρυπτονομισμάτων.
Η προέλευση και η εξέλιξη της Lazarus Group
Η προέλευση του Lazarus Group παραμένει αβέβαιη, αλλά οι πρώτες του καταγεγραμμένες επιθέσεις εντοπίζονται ήδη από το 2007. Οι αναλυτές κυβερνοασφάλειας της Kaspersky Lab και της FireEye έχουν συνδέσει την ομάδα με το καθεστώς της Βόρειας Κορέας. Από τη Sony μέχρι μεγάλες τράπεζες και ανταλλακτήρια κρυπτονομισμάτων, το Lazarus Group έχει εξελιχθεί στον μεγαλύτερο ψηφιακό εφιάλτη των τελευταίων ετών.
Τα πρώτα σημάδια της δράσης του Lazarus Group ανιχνεύονται γύρω στο 2007, ωστόσο, η ομάδα έγινε ευρέως γνωστή το 2014 με την επίθεση στη Sony Pictures Entertainment. Η επίθεση αυτή αποτέλεσε σημείο καμπής για τον κόσμο της κυβερνοασφάλειας, καθώς έδειξε τις δυνατότητες μιας κρατικά χρηματοδοτούμενης ομάδας να πλήξει μια μεγάλη εταιρεία ψυχαγωγίας, κλέβοντας και διαρρέοντας κρίσιμα δεδομένα.
Οι μεγαλύτερες επιθέσεις του Lazarus Group
AI εικόνα που δημιουργήθηκε με το προγράμμα DALL-E
1. Sony Pictures Hack (2014)
Στις 24 Νοεμβρίου 2014, μια ομάδα χάκερ με την ονομασία «Guardians of Peace» (Φύλακες της Ειρήνης) διείσδυσε στα συστήματα της Sony Pictures Entertainment (SPE), αποκτώντας πρόσβαση σε ευαίσθητα δεδομένα. Μεταξύ των πληροφοριών που διέρρευσαν ήταν προσωπικά στοιχεία υπαλλήλων, εσωτερικά emails, μισθολογικές καταστάσεις, καθώς και αντίγραφα ακυκλοφόρητων ταινιών. Οι χάκερς χρησιμοποίησαν μια παραλλαγή του κακόβουλου λογισμικού Shamoon για να καταστρέψουν την υποδομή των υπολογιστών της Sony.
Η επίθεση συνδέθηκε άμεσα με την ταινία «The Interview», μια πολιτική σάτιρα που παρουσίαζε μια απόπειρα δολοφονίας του ηγέτη της Βόρειας Κορέας, Kim Jong-un. Οι χάκερς απαίτησαν την απόσυρση της ταινίας, απειλώντας με τρομοκρατικές επιθέσεις σε κινηματογράφους που θα την προέβαλαν. Αυτές οι απειλές οδήγησαν πολλές μεγάλες αλυσίδες κινηματογράφων στις ΗΠΑ να ακυρώσουν τις προβολές, και τελικά η Sony αποφάσισε να ματαιώσει την επίσημη κυκλοφορία της ταινίας, επιλέγοντας έναν περιορισμένο ψηφιακό και κινηματογραφικό διανομή. Οι αμερικανικές αρχές, μετά από αξιολόγηση του λογισμικού και των τεχνικών που χρησιμοποιήθηκαν στην επίθεση, κατέληξαν στο συμπέρασμα ότι η κυβερνοεπίθεση υποστηρίχθηκε από τη Βόρεια Κορέα, η οποία αρνήθηκε οποιαδήποτε ανάμειξη.
2. SWIFT Banking Hack (2016)
Μία από τις πιο σοκαριστικές επιθέσεις του Lazarus Group, σύμφωνα με ο FBI, πραγματοποιήθηκε το 2016, όταν κατάφεραν να κλέψουν 81 εκατομμύρια δολάρια από την Κεντρική Τράπεζα του Μπανγκλαντές μέσω του συστήματος SWIFT (Reuters, 2016). Η επίθεση αποκαλύφθηκε λόγω ενός… τυπογραφικού λάθους! Οι χάκερς είχαν προγραμματίσει να μεταφέρουν σχεδόν 1 δισ. δολάρια, αλλά ένα λάθος στη γραφή της λέξης «foundation» ως «fandation» προκάλεσε υποψίες και μπλόκαρε την υπόλοιπη μεταφορά. Η επίθεση αποδόθηκε στην ομάδα APT 38, η οποία συνδέεται με τη διαβόητη ομάδα Lazarus, που πιστεύεται ότι έχει δεσμούς με τη Βόρεια Κορέα.
3. WannaCry Ransomware (2017)
Το 2017, το Lazarus Group εξαπέλυσε το διαβόητο ransomware WannaCry, το οποίο μόλυνε περισσότερους από 200.000 υπολογιστές σε 150 χώρες (Europol, 2017). Το κακόβουλο λογισμικό απαιτούσε πληρωμές σε Bitcoin, και αν τα θύματα δεν συμμορφώνονταν, τα προσωπικά δεδομένα τους κρυπτογραφούνταν οριστικά.
Το ransomware διαδόθηκε χρησιμοποιώντας ως μέσο το EternalBlue, ένα exploit (κενό ασφαλείας) που αναπτύχθηκε από την Εθνική Υπηρεσία Ασφαλείας (NSA) των Ηνωμένων Πολιτειών για συστήματα Windows. Το EternalBlue εκλάπη και διέρρευσε από μια ομάδα που ονομαζόνταν The Shadow Brokers. Η επίθεση επηρέασε σημαντικούς οργανισμούς, όπως το Εθνικό Σύστημα Υγείας του Ηνωμένου Βασιλείου (NHS), προκαλώντας ακυρώσεις ιατρικών ραντεβού και διακοπές λειτουργίας. Άλλες πληγείσες εταιρείες περιλάμβαναν τη FedEx, τη Honda και τη Nissan.
Αργότερα, οι αρχές των ΗΠΑ και του Ηνωμένου Βασιλείου απέδωσαν την ευθύνη της επίθεσης στην ομάδα χάκερ Lazarus Group.
4. Επιθέσεις σε ανταλλακτήρια κρυπτονομισμάτων (2018-2025)
Το Lazarus Group έχει εστιάσει τα τελευταία χρόνια στις αγορές κρυπτονομισμάτων, αποκομίζοντας δισεκατομμύρια δολάρια μέσω hacking:
- 2018: Coincheck Hack (530 εκατομμύρια δολάρια)
- 2020: KuCoin Hack (280 εκατομμύρια δολάρια)
- 2022: Ronin Network Hack (615 εκατομμύρια δολάρια)
- 2024: Mixin Network Hack (200 εκατομμύρια δολάρια)
- 2025: Bybit Hack (1,5 δισεκατομμύρια δολάρια) – Το μεγαλύτερο hack όλων των εποχών
Πώς λειτουργεί το Lazarus Group;
Η ομάδα Lazarus εστιάζει κυρίως σε επιθέσεις που εξυπηρετούν τους οικονομικούς και γεωπολιτικούς στόχους και χρησιμοποιεί σύνθετες τεχνικές, όπως spear phishing, zero-day exploits και κακόβουλο λογισμικό, για να αποκτά πρόσβαση σε ευαίσθητα δεδομένα και οικονομικούς πόρους. Πιο συγκεκριμένα, χρησιμοποιεί έναν συνδυασμό εξελιγμένων τεχνικών κυβερνοεπιθέσεων, όπως:
- Spear phishing: Στόχευση υψηλόβαθμων στελεχών με εξατομικευμένα emails που περιέχουν κακόβουλα συνημμένα ή links.
- Zero-day exploits: Εκμετάλλευση αδυναμιών που δεν έχουν ακόμη ανακαλυφθεί ή επιδιορθωθεί από τους κατασκευαστές λογισμικού.
- Blockchain laundering: Ξέπλυμα κρυπτονομισμάτων μέσω «mixers» και «chain hopping» για να αποκρύψει την προέλευση των χρημάτων.
- Wiper malware: Καταστροφή δεδομένων για να δυσκολέψει την ανάλυση των επιθέσεων.
Λίγα είναι γνωστά για την ομάδα που απαρτίζει το Lazarus Group, αν και το FBI έχει σκιαγραφήσει λεπτομερές πορτρέτο ενός υπόπτου: Παρκ Τζιν Χιόκ (Park Jin Hyok ο οποίος έχει επίσης τα ονόματα Pak Jin-hek και Park Kwang-jin.) Τον περιγράφει ως προγραμματιστή ηλεκτρονικών υπολογιστών που αποφοίτησε από ένα από τα κορυφαία πανεπιστήμια της χώρας και πήγε να εργαστεί για μια βορειοκορεατική εταιρεία, την Chosun Expo, στην κινεζική πόλη-λιμάνι Dalian, δημιουργώντας προγράμματα διαδικτυακών παιχνιδιών και τυχερών παιχνιδιών για πελάτες σε όλο τον κόσμο.
Το 2018, το Υπουργείο Δικαιοσύνης των ΗΠΑ απήγγειλε κατηγορίες εναντίον του Παρκ για συνωμοσία με σκοπό τη διάπραξη απάτης μέσω διαδικτύου και τραπεζικής απάτης, καθώς και για συνωμοσία με σκοπό τη διάπραξη απάτης σχετικής με υπολογιστές. Το FBI εξέδωσε ομοσπονδιακό ένταλμα σύλληψης, το οποίο παραμένει ενεργό, καθώς ο Παρκ βρίσκεται εκτός της δικαιοδοσίας των ΗΠΑ. Παρά τις κατηγορίες, η κυβέρνηση της Βόρειας Κορέας αρνείται την ύπαρξη του Παρκ Τζιν Χιόκ, χαρακτηρίζοντας τις κατηγορίες ως «κατασκευασμένες» και προϊόν «εχθρικής πολιτικής» των ΗΠΑ.
Το όνομα της ομάδας Lazarus πιθανώς επιλέχθηκε λόγω της ικανότητας της ομάδας να «αναγεννάται» και να επανεμφανίζεται με νέες επιθέσεις, παρά τις προσπάθειες καταστολής της δραστηριότητάς της. Η ομάδα έχει επίσης γνωρίσει με άλλα ονόματα, όπως «Guardians of Peace» και «Whois Team » κ,α..
Τα πολλά πρόσωπα του Lazarus Group
1. Reconnaissance General Bureau (RGB)
Το Reconnaissance General Bureau είναι η κύρια υπηρεσία πληροφοριών της Βόρειας Κορέας και θεωρείται ότι επιβλέπει τις δραστηριότητες του Lazarus Group. Το RGB είναι υπεύθυνο για κατασκοπεία και ειδικές επιχειρήσεις, συμπεριλαμβανομένων των κυβερνοεπιθέσεων.
2. Bureau 121
Το Bureau 121 είναι μια μονάδα κυβερνοπολέμου υπό την εποπτεία του Reconnaissance General Bureau. Αποτελείται από εξειδικευμένους χάκερ που διεξάγουν επιθέσεις σε δίκτυα και υποδομές ξένων κρατών.
3. Bluenoroff
Το Bluenoroff είναι υποομάδα του Lazarus Group με κύρια εστίαση σε οικονομικές επιθέσεις, όπως κλοπές από τράπεζες και χρηματοπιστωτικά ιδρύματα. Έχει συνδεθεί με πολλές επιθέσεις που αποσκοπούν στην απόσπαση χρημάτων για τη χρηματοδότηση του βορειοκορεατικού καθεστώτος.
4. Andariel
Η Andariel είναι άλλη μια υποομάδα του Lazarus Group, η οποία επικεντρώνεται σε επιθέσεις κατά της Νότιας Κορέας, στοχεύοντας κυρίως επιχειρήσεις και κυβερνητικούς οργανισμούς.
5. Guardians of Peace
Οι Guardians of Peace είναι ένα ψευδώνυμο που χρησιμοποιήθηκε από το Lazarus Group κατά την επίθεση στη Sony Pictures το 2014.
6. APT38
Το APT38 είναι μια άλλη ονομασία για το Lazarus Group, που χρησιμοποιείται για να περιγράψει τις δραστηριότητές του στον κυβερνοχώρο, ειδικά εκείνες που σχετίζονται με οικονομικές επιθέσεις.
Η κυβερνοεπίθεση στη Bybit επαναφέρει στο προσκήνιο την ασφάλεια των ανταλλακτηρίων κρυπτονομισμάτων, υπογραμμίζοντας την ανάγκη για αυστηρότερα μέτρα προστασίας και πιο αποτελεσματικούς κανονισμούς απέναντι στις διαρκώς εξελισσόμενες κυβερνοαπειλές.
Πηγή: ToVima.gr
