كيف نفذت كوريا الشمالية أكبر سرقة في التاريخ؟

تمام الساعة الثانية بعد ظهر الجمعة الماضي نفذت مجموعة سيئة السمعة من القراصنة – مسؤولة عن بعض من أسوأ الجرائم السيبرانية في القرن الـ21 – ما قد يكون سرقتها الكبرى.

في غضون دقائق قليلة سرقت عملات رقمية تقارب قيمتها 1.46 مليار دولار (1.16 مليار جنيه استرليني) من منصة “بايبت”، وهي واحدة من أشهر منصات تداول العملات المشفرة في العالم، وحولت عبر الإنترنت إلى محافظ مجهولة. وشكلت هذه العملية أكبر سرقة في التاريخ.

للمقارنة، يزيد المبلغ المسروق بنحو 30 مرة على الـ53 مليون جنيه استرليني التي سُرقت خلال السطو على مستودع “سيكوريتاس” في تونبريدج عام 2006، ومثلت أكبر سرقة نقدية في تاريخ المملكة المتحدة. كذلك يفوق بمقدار 500 مليون دولار تقريباً المبلغ الذي سرقه صدام حسين من المصرف المركزي العراقي عشية حرب العراق عام 2003، في واحدة من أكبر عمليات السرقة المسجلة على الإطلاق.

لا تزال تفاصيل العملية تتكشف، لكن ما يميز اختراق منصات العملات المشفرة هو أن الأموال يمكن متابعتها لحظة بلحظة عبر تقنية سلسلة الكتل (blockchain). هذه التقنية تعمل كسجل إلكتروني يوفر شفافية لكل معاملة وحركة للأموال تجريان بين المحافظ، حتى لو كان مالك كل محفظة غير معروف.

ويمكن ذلك المحققين من متابعة الأصول المسروقة لحظة بلحظة أثناء محاولة القراصنة غسلها من خلال تمريرها بمحافظ ومنصات تداول مختلفة، وقد عكست أنماط التحويل تقنية مألوفة تستخدمها واحدة من أكثر جهات القرصنة تقدماً في العالم: “مجموعة لازاروس”.

يزعم أن هذه المجموعة مدعومة من كوريا الشمالية منذ تأسيسها عام 2009، وقد أثارت فوضى عالمية من خلال الهجمات بفيروس الفدية “واناكراي” عام 2017، التي أصابت 200 ألف كمبيوتر في 150 دولة، بما في ذلك نظام هيئة الخدمات الصحية الوطنية البريطانية.

كذلك شنت “مجموعة لازاروس” عديداً من الهجمات على عملات مشفرة في الماضي، لكن عملية الـ21 من فبراير (شباط) كانت الأضخم حتى الآن، إذ استولى القراصنة على ما يعادل موازنة كوريا الشمالية الدفاعية السنوية لعام 2023، والتي بلغت 1.47 مليار دولار.

أشارت الشركة المتخصصة في تحليلات العملات المشفرة “تشين أناليسيس” إلى أن عملية الاختراق اتبعت نمطاً مألوفاً من الأنماط المعتمدة من قبل “مجموعة لازاروس”، إذ بدأت بهجوم من نوع “الهندسة الاجتماعية” (التلاعب النفسي بالناس لدفعهم إلى ارتكاب أفعال معينة أو الإفصاح عن معلومات سرية) لاختراق [حسابات] الأموال. وقع الهجوم أثناء نقل روتيني من “المحفظة الباردة” لعملة الإيثيريوم المشفرة الخاصة بمنصة “بايبت” – والمحفظة الباردة هي جهاز تخزين للعملات المشفرة غير متصل بالإنترنت – إلى “محفظتها الساخنة” المتصلة بالإنترنت.

ومن خلال استهداف الأشخاص المسؤولين عن التحقق من عناوين المحافظ عبر هجمات “تصيد” (phishing) مخصصة، تمكن القراصنة من خداعهم للموافقة على تحويل الأموال إلى محافظ تابعة لـ”مجموعة لازاروس”.

وقال شحار مدار، نائب رئيس الأمن والثقة في منصة “فاير بلوكس” المتخصصة في سلاسل الكتل، لصحيفة “اندبندنت”: “أي نظام أمني يكون ضعيفاً بقدر ضعف أضعف حلقة فيه. في حال ‘بايبت’، كانت ثمة ثغرة أمنية عند استخدام ‘ليدجر’ [محفظة أجهزة (hardware wallet)] وتطبيق [محفظة] ‘سيف’ [محفظة رقمية (digital wallet)] معاً”. وأضاف “استخدم القراصنة، على الأرجح، برمجيات خبيثة لتعديل ما يظهر للمستخدمين على واجهة [محفظة] ‘سيف’. وظن المستخدمون أنهم يوافقون على معاملة عادية، لكن في الواقع، كانوا يوافقون على معاملة مختلفة جرى التلاعب بها. كما أن ‘ليدجر’ كانت تطلب من المستخدمين الموافقة على المعاملات من دون إظهار التفاصيل الكاملة لها (وهو ما يعرف بـ’التوقيع الأعمى’ (“blind signing”)، ما جعل من السهل على القراصنة خداعهم”.

في غضون ساعتين من عملية السرقة لاحظ باحثون من شركة “إيليبتيك” لتحليل سلاسل الكتل تحويل الأموال المسروقة إلى 50 محفظة مختلفة، احتوت كل منها على نحو 10 آلاف وحدة إيثريوم.

ثم فرغت هذه المحافظ في شكل منهجي عبر منصات تداول لا مركزية في عملية غسل أموال تعرف باسم “التكديس” (“layering”)، وتهدف إلى إخفاء مسار التحويلات المالية.

وأوردت شركة “إيليبتيك” في منشور على مدونتها ما يلي: “تعد ‘مجموعة لازاروس’ في كوريا الشمالية الأكثر تقدماً والأوفر موارد في عمليات غسل الأصول المشفرة، إذ تواصل مواءمة تقنياتها لتجنب التعرف عليها أو مصادرة الأموال المسروقة. وعلى رغم أن الشفافية في سلاسل الكتل تسمح بمتابعة المعاملات، تعقد تكتيكات التكديس عملية المتابعة، مما يمنح القراصنة وقتاً ثميناً يمكنهم خلاله تسييل الأصول”.

وبالتعاون مع “بايبت” زعمت “إيليبتيك” أنها تمكنت بالفعل من مصادرة بعض الأموال المسروقة من المنصة التي تتخذ من دبي مقراً لها، لكنها أشارت إلى أن التحدي الأكبر يتمثل في حجم الأصول المسروقة.

ولاحظت منصة تحليل العملات المشفرة “أركام” أن قراصنة “بايبت” أجروا معاملات متعددة كل دقيقة لمدة بلغت 45 دقيقة، قبل التوقف لمدة 15 دقيقة، ما يشير إلى أن العملية لم تكن آلية بالكامل، بل كان ثمة دور بشري في تنفيذها.

وفي منشور على منصة “إكس” (“تويتر” سابقاً)، تساءلت الشركة: “هل وظفت ‘لازاروس’ متدرباً لغسل الأموال يدوياً؟”.

وأثرت السرقة الضخمة في سوق العملات المشفرة، لكنها أظهرت أيضاً قدرة القطاع على الصمود. فخلال 72 ساعة من الهجوم، استعادت “بايبت” احتياطاتها بنسبة 1:1، ما يعني أن أموال العملاء لم تضع.

وجاء في بيان للمنصة: “على رغم كل شيء أظهر مجتمع العملات المشفرة وشركاؤنا ومستخدمونا دعماً لا يتزعزع. نحن نعرف إلى أين ذهبت أموالنا، ونحن ملتزمون تحويل هذه التجربة إلى فرصة لتعزيز المنظومة [باقتناص فرصة سانحة لتعزيز المنظومة]… يمثل اليوم بداية أسبوع جديد وفصل جديد”.

قد يؤدي حجم الهجوم في نهاية المطاف إلى تكثيف الجهود العالمية للقضاء على “مجموعة لازاروس”. في رد على الهجوم، دعا بن تشو، الرئيس التنفيذي لشركة “بايبت” – ثاني أكبر منصة لتداول العملات المشفرة على صعيد حجم التداول – إلى “شن حرب على ‘لازاروس'”، معلناً عن مكافأة قدرها 140 مليون دولار لمن يساعد في استعادة الأموال أو تقديم معلومات عن المجموعة.

وتعد هذه الخطوة سابقة في القطاع، وقد تمثل بداية تحرك عالمي منسق لإنهاء حملات “لازاروس” السيبرانية الإرهابية.

وقال تشو: “لقد شهدنا لحظة مظلمة في تاريخ العملات المشفرة، لكننا أثبتنا أننا أقوى من المجرمين. لن نتوقف حتى يجري القضاء على ‘لازاروس’ أو أي جهات خبيثة في هذا المجال”.