أعلنت بورصة العملات الرقمية التايوانية “بيتو برو” (BitoPro) أن مجموعة القرصنة الكورية الشمالية “لازاروس” (Lazarus Group) تقف وراء الهجوم الإلكتروني الذي أدى إلى سرقة عملات رقمية بقيمة 11 مليون دولار في 9 مايو 2025.
وأوضحت الشركة أن منهجية الهجوم تشبه أنماطًا لوحظت في حوادث دولية كبرى سابقة، بما في ذلك التحويلات غير المشروعة من نظام “سويفت” المصرفي العالمي وسرقة أصول من بورصات عملات رقمية كبيرة، والتي نُسبت سابقًا إلى مجموعة “لازاروس”.
آليات تنفيذ احترافية
-
قام المهاجمون بتنفيذ هجوم هندسة اجتماعية على أحد أعضاء الفريق المسؤول عن العمليات السحابية، لزرع برمجية خبيثة والوصول إلى جهازه عن بُعد، متجنبين الرقابة الأمنية.
-
اختطاف رموز جلسات AWS لاختراق نظام المصادقة متعددة العوامل (MFA).
-
من خلال بيئة “AWS”، قاموا بإرسال أوامر عبر خادم تحكم C2 لنقل نصوص خبيثة إلى مضيف المحفظة الساخنة (Hot Wallet)، منتظرين التوقيت المناسب للهجوم.
-
بعد مراقبة مطولة، استغل القراصنة فترة ترقية نظام المحفظة ونقل الأصول، حيث قاموا بمحاكاة السلوكيات التشغيلية الطبيعية
