تصویرسازی: الکساندرا سیترین-صافادی/وال استریت ژورنال؛ iStock
تصویرسازی: الکساندرا سیترین-صافادی/وال استریت ژورنال؛ iStock

چگونه هکرها میلیاردها دلار رمزارز را برای بقای رژیم کره شمالی به سرقت بردند

بیش از ۶ میلیارد دلار حاصل سرقت‌ها، پیچیدگی عملیات سایبری تزریق پول به برنامه هسته‌ای کیم جونگ اون را نشان می‌دهد

نویسنده: پاتریشیا کاوزمن,تیموتی دبلیو. مارتین تاریخ انتشار: 2025-04-03 04:07:00 GMT منتشر شده در: وال استریت ژورنال مدت زمان مطالعه: 15 دقیقه

در ساعت ۱۱:۴۹ صبح روز ۱۸ ژوئیه، هکرهای کره شمالی به یک صرافی بزرگ رمزارز که صدها میلیون دلار را مدیریت می‌کرد، حمله کردند.

هکرها به خزانه مجازی صرافی نفوذ کردند، کنترل آن را به دست گرفتند و سپس شروع به سرقت توکن‌های رمزارز کردند. در کمتر از یک ساعت، هکرها ناپدید شدند - و همراه با آن‌ها، بیش از ۲۰۰ میلیون دلار برای رژیم کیم جونگ اون.

این سرقت تکان‌دهنده از WazirX، بزرگترین صرافی رمزارز هند، همراه با چندین سرقت بزرگ اخیر دیگر، این موضوع را روشن کرده است: کره شمالی اکنون خطرناک‌ترین سارق رمزارز در جهان است.

این کشور طی دهه گذشته بیش از ۶ میلیارد دلار رمزارز به سرقت برده است - مبلغی آن‌قدر هنگفت که هیچ‌کس دیگری قابل مقایسه با آن نیست.

به گفته بازرسان، هکرهای این کشور هم صبور و هم گستاخ هستند. برای نفوذ به رایانه‌های شرکت‌ها، آن‌ها صفحات فیس‌بوک و اینستاگرام کارمندان را جستجو می‌کنند و داستان‌های سفارشی می‌سازند تا آن‌ها را فریب دهند که روی پیوندهای حاوی ویروس کلیک کنند. برخی از هکرهای کره شمالی حتی خودشان کارمند شده‌اند و شرکت‌های آمریکایی را فریب داده‌اند تا آن‌ها را به عنوان کارمندان دورکار فناوری اطلاعات استخدام کنند و به شبکه‌هایشان دسترسی پیدا کنند.

پس از به دست آوردن غنیمت، هکرهای کره شمالی در فرار استاد هستند. در مورد WazirX، بازرسان معتقدند که آن‌ها از الگوریتم‌هایی برای پخش وجوه از طریق شبکه‌های رمزارزی جهانی سریع‌تر از هر انسانی استفاده کرده‌اند، که تعقیب آن‌ها را برای مقامات تقریباً غیرممکن می‌سازد. پس از پراکنده شدن رمزارز، کره‌شمالی‌ها اغلب تا زمانی که بازرسان علاقه خود را از دست داده و به سراغ پرونده‌های دیگر بروند، پنهان می‌شوند و ماه‌ها یا سال‌ها منتظر می‌مانند تا غنیمت خود را به پول سنتی تبدیل کنند که بتوان آن را خرج کرد.

نمودار نشان‌دهنده سرقت رمزارز توسط هکرهای کره شمالی طی سال‌های اخیر
توجه: داده‌های سال ۲۰۲۵ تا ۲۶ مارس. منبع: Chainalysis

نیک کارلسن، تحلیلگر سابق اداره تحقیقات فدرال (FBI) که اکنون بازپرس در شرکت تحلیل بلاکچین TRM Labs است، گفت: «هکرهای کره شمالی بازی متفاوتی نسبت به دیگران انجام می‌دهند.»

بزرگترین دستاورد پیونگ‌یانگ در ماه فوریه با حمله ۱.۵ میلیارد دلاری به Bybit، یکی از بزرگترین صرافی‌های رمزارز جهان، در بزرگترین سرقت از این نوع، رقم خورد. این حمله به دنبال چندین هک در سال ۲۰۲۴ بود که در آن کره شمالی بیش از ۶ دلار از هر ۱۰ دلار از دست رفته توسط صنعت رمزارز را به سرقت برد، طبق گزارش Chainalysis که سرقت رمزارز را ردیابی می‌کند.

این پول نامشروع به تأمین مالی برنامه هسته‌ای رژیم کیم و تقویت اقتصاد تحت تحریم این کشور کمک می‌کند.

موفقیت کره شمالی نشان‌دهنده منابع عظیمی است که به این کار اختصاص داده شده است. رژیم بیش از ۸۰۰۰ هکر را مانند یک واحد نظامی فرماندهی می‌کند که شامل باهوش‌ترین ذهن‌های کشور است. حمایت دولتی به این معنی است که هکرهای آن می‌توانند ماه‌ها یا سال‌ها منتظر بمانند تا از یک لغزش کوچک در امنیت دیجیتال یک شرکت بهره‌برداری کنند. ناامیدی پیونگ‌یانگ برای به دست آوردن پول نقد و عدم نگرانی آن از پیامدهای دیپلماتیک، انگیزه آن را برای بهتر بودن از هر کس دیگری تقویت کرده است.

جون کیم، مالک شرکت Naru Security مستقر در سئول که با آژانس اطلاعاتی و پلیس ملی کره جنوبی در زمینه مسائل سایبری همکاری می‌کند، گفت: «کره‌شمالی‌ها بسیار عمل‌گرا هستند و فقط می‌خواهند کارها را انجام دهند - این چیزی است که آن‌ها را خاص می‌کند.»

پیونگ‌یانگ به طور علنی در مورد آخرین هک‌های رمزارز اظهار نظری نکرده است. این کشور در گذشته دخالت در سایر حملات سایبری را رد کرده است، حملاتی که مقامات آمریکایی می‌گویند شامل هک ایمیل شرکت Sony Pictures Entertainment در سال ۲۰۱۴، سرقت ۸۱ میلیون دلاری از بانک مرکزی بنگلادش در سال ۲۰۱۶ و حمله باج‌افزار WannaCry در سال ۲۰۱۷ بوده است.

چیدمان هنری بای‌بیت در آرت دبی.
Bybit، یک صرافی رمزارز، هدف حمله ۱.۵ میلیارد دلاری هکرهای کره شمالی قرار گرفت. عکس: KARIM SAHIB/AFP/Getty Images

مقامات آمریکایی و بازرسان خصوصی گفتند که کره‌شمالی‌ها ردپاهای دیجیتالی از خود به جای می‌گذارند که روشن می‌کند آن‌ها مجرم هستند، از جمله کدهای بدافزار آشنا و کیف پول‌های رمزارزی که از سرقت‌های قبلی منسوب به پیونگ‌یانگ دوباره استفاده شده‌اند.

تشریح یک سرقت

سرقت از WazirX، صرافی رمزارز هندی، بسیاری از تاکتیک‌های رایج کره شمالی را به نمایش گذاشت.

در آن زمان، مسئولان شرکت در حال انجام یک عملیات عادی بودند: انتقال ۶۲۵ هزار دلار رمزارز از «کیف پول سرد» (cold wallet) WazirX، یک خزانه دیجیتال که صرافی‌ها ذخایر خود را در آن نگهداری می‌کنند، به یک «کیف پول گرم» (hot wallet) که برای انجام تراکنش‌ها و برداشت‌های مشتریان استفاده می‌شود.

این انتقال نیاز به تأیید سه مقام WazirX و یک ارائه‌دهنده خدمات خارجی داشت. به محض انجام این تأییدها، کره‌شمالی‌ها به نحوی کنترل کیف پول سرد را به دست گرفتند و تمام پول موجود در آن - بیش از ۲۰۰ میلیون دلار - را تخلیه و بدون دستگیر شدن پراکنده کردند.

نحوه کار به این صورت بود:

هکرهای کره شمالی به «کیف پول سرد» یک صرافی، جایی که ذخایر رمزارز آن ذخیره می‌شود، دسترسی پیدا کرده و کنترل توکن‌های آن را به دست می‌گیرند.

هکرها توکن‌ها را به کیف پول‌های دیگری که در جای دیگر کنترل می‌کنند پخش می‌کنند و اغلب آن‌ها را از طریق صرافی‌های همتا به همتا (peer-to-peer) با اتر (ether)، رمزارزی که توسط مقامات قابل مسدود شدن نیست زیرا به صورت متمرکز صادر نمی‌شود، مبادله می‌کنند.

سپس هکرها اتر را به «میکسرها» (mixers) - پلتفرم‌های رمزارزی که توکن‌های کاربران مختلف را با هم مخلوط می‌کنند و مالکیت آن‌ها را پنهان می‌سازند - ارسال می‌کنند. پس از آن، اتر با بیت‌کوین مبادله شده و سپس به تتر (tether)، توکنی که ارزش آن به دلار آمریکا مرتبط است، تبدیل می‌شود.

هکرها تتر را به کارگزاران ارز مجازی ارسال می‌کنند که آن را به دلار آمریکا یا سایر ارزهای سنتی تبدیل می‌کنند.

با از دست دادن تقریباً نیمی از دارایی‌های خود، WazirX مجبور به تعطیل کردن صرافی خود شد. تنها حدود ۳ میلیون دلار از رمزارزهای دزدیده شده مسدود شده است، که در این مورد توسط Tether، شرکتی که رمزارزی به همین نام را صادر می‌کند، انجام شده است. نماینده‌ای از WazirX گفت که این شرکت در تلاش است تا بازیابی دارایی‌ها برای کاربران را به حداکثر برساند و پلتفرم خود را در اسرع وقت دوباره فعال کند.

وال استریت ژورنال نتوانست مشخص کند که کره‌شمالی‌ها چگونه به کیف پول سرد WazirX دسترسی پیدا کرده یا تأییدیه‌های لازم را برای به دست گرفتن کنترل تغییر داده‌اند.

اما واضح بود که آن‌ها بسیار ماهر بودند. به گفته بندیکت همیلتون، مدیر عامل Kroll، شرکتی که WazirX برای کمک به ردیابی وجوه و بازسازی بدهی خود استخدام کرده است، کره‌شمالی‌ها از بیش از ۴۰۰ تراکنش - همه در کمتر از یک ساعت - برای انتقال توکن‌های رمزارز WazirX به کیف پولی که کنترل می‌کردند، استفاده کردند، که نشان‌دهنده استفاده از اتوماسیون است.

همیلتون گفت که احتمالاً بیشتر وجوه قبلاً به پول نقد تبدیل شده است.

«جنگ‌های رایانه‌ای»

کره شمالی دهه‌ها صرف پرورش قابلیت‌های هک نخبه خود کرده است، و پدر دیکتاتور فعلی، کیم جونگ ایل فقید، زمانی گفته بود: «تمام جنگ‌های سال‌های آینده، جنگ‌های رایانه‌ای خواهند بود.»

به گفته مقامات کره جنوبی، عملیات حمله سایبری این کشور شامل شش گروه و حدود دوازده سازمان پشتیبان است.

جوانانی که استعداد ریاضی و علوم از خود نشان می‌دهند، به سرعت برای آموزش جذب می‌شوند. الما دووال، یکی از نویسندگان گزارشی توسط PScore، یک گروه حمایتی مستقر در سئول که با کارگران سابق فناوری اطلاعات کره شمالی مصاحبه کرده است، گفت که عوامل سایبری کار کمی جز بهبود مهارت‌های خود انجام می‌دهند و مشمول مجازات بدنی هستند. با این حال، آن‌ها راحت‌تر از اکثر مردم کره شمالی زندگی می‌کنند.

کیم جونگ اون در حال ادای احترام به سربازان کره شمالی.
کیم جونگ اون از رمزارزهای دزدیده شده برای کمک به تقویت رژیم تحت تحریم خود استفاده می‌کند. عکس: KCNA/AFP/Getty Images

دلیل تمرکز کره شمالی واضح است: آژانس اطلاعاتی کره جنوبی گفته است که این کشور سالانه به حدود ۶ میلیارد دلار برای تأمین مالی فعالیت‌های مختلف دولتی خود نیاز دارد، از جمله صدها میلیون دلاری که تخمین زده می‌شود برای برنامه هسته‌ای آن اختصاص یابد.

اریک پنتون-ووک، که از سال ۲۰۲۱ تا ۲۰۲۳ به عنوان هماهنگ‌کننده هیئت سازمان ملل متحد ناظر بر اجرای تحریم‌های کره شمالی خدمت می‌کرد، گفت که تحریم‌های بین‌المللی درآمد کره شمالی از منابع سنتی پول‌سازی‌اش، از جمله فروش اسلحه، قاچاق زغال‌سنگ و نیروی کار خارج از کشور را محدود کرده است. سرقت رمزارز راهی کم‌خطر برای پیونگ‌یانگ جهت پر کردن خزانه‌اش فراهم می‌کند.

او گفت: «کره شمالی باید برای همه چیز هزینه بیشتری بپردازد، بنابراین باید بیشتر از هر کس دیگری سرقت کند.» «تحت تحریم بودن بسیار گران است.»

«جنگجویان فناوری اطلاعات»

توانایی‌های در حال گسترش سرقت سایبری این کشور به‌ویژه برای تنظیم‌کنندگان جهانی نگران‌کننده است زیرا با انفجار علاقه مصرف‌کنندگان به رمزارز همزمان شده است.

در ماه سپتامبر، FBI هشداری صادر کرد مبنی بر اینکه هکرهای کره شمالی در حال تحقیق بر روی شرکت‌های مرتبط با صندوق‌های قابل معامله در بورس (ETF) هستند که به جای سهام، رمزارز نگهداری می‌کنند. این گوشه از بازار مالی سال گذشته حدود ۳۷ میلیارد دلار ورودی خالص جذب کرد، از سرمایه‌گذاران خرد آمریکایی گرفته تا غول‌هایی مانند BlackRock و Fidelity Investments.

FBI افزود که کره شمالی از کمپین‌های فیشینگ (phishing) دشوار برای شناسایی با استفاده از بدافزارهای پیشرفته استفاده می‌کند. هکرها اغلب افرادی را که در صنعت رمزارز کار می‌کنند هدف قرار می‌دهند و به دنبال جزئیات مربوط به آن‌ها در رسانه‌های اجتماعی و وب‌سایت‌ها می‌گردند. این آژانس گفت، سپس آن‌ها سناریوهای ساختگی سفارشی ایجاد می‌کنند که برای قربانیانشان جذاب باشد، مانند پیشنهادات شغلی یا فرصت‌های سرمایه‌گذاری.

هنگامی که قربانیان روی پیوندهای به اشتراک گذاشته شده برای تماس‌های مجازی یا درخواست‌های شغلی کلیک می‌کنند، هکرها به سیستم‌ها دسترسی پیدا می‌کنند و به طور بالقوه آن‌ها را قادر می‌سازند تا به رمزارز کاربران دسترسی پیدا کنند.

در ماه دسامبر، دادگاهی در ایالات متحده ۱۴ تبعه کره شمالی را به اتهام استفاده از هویت‌های جعلی، دزدیده شده یا قرض گرفته شده شهروندان آمریکایی برای به دست آوردن مشاغل از راه دور در شرکت‌ها و سازمان‌های غیرانتفاعی ایالات متحده متهم کرد. اتباع کره شمالی درگیر در این کمپین، که خود را «جنگجویان فناوری اطلاعات» می‌نامیدند، ظاهراً حداقل ۸۸ میلیون دلار حقوق برای رژیم کیم به جیب زده‌اند و به شبکه‌های رایانه‌ای شرکت‌ها دسترسی پیدا کرده‌اند. به گفته منابع داخلی صنعت، چندین شرکت رمزارزی طعمه کره‌شمالی‌هایی شده‌اند که به عنوان متقاضیان کار ظاهر می‌شوند.

بن ترنر، رئیس مهندسی در Cloudburst Technologies، یک شرکت داده‌های اطلاعاتی رمزارز، گفت: «احساس ما این است که هکرهای کره شمالی به طور فزاینده‌ای در اطراف ما هستند.»

با پاتریشیا کاوزمن در [email protected] و تیموتی دبلیو. مارتین در [email protected] تماس بگیرید.

https://www.wsj.com/world/asia/north-korea-cryptocurrency-580d7d3f?mod=hp_lead_pos9