سلسله کیم و ارزهای دیجیتال؛ هکرهای حکومتی کره شمالی چه هدفی را دنبال می کنند؟

سال هاست که رسانه ها از اقدامات خرابکارانه گروه های هکری منتسب به کره شمالی علیه شرکت های مالی جهان خبر می دهند. از طرفی اتحادیه بین المللی مخابرات (ITU) می گوید درصد واقعی حضور مردم جمهوری دموکراتیک خلق کره یا همان کره شمالی در فضای اینترنت نزدیک به صفر است. این تناقض از کجا سرچشمه می گیرد؟

قطعاً محیط این کشور برای پرورش مهارت ها در حوزه سایبری چندان مساعد نیست؛ چه برای تبهکاران سایبری جاه طلب و چه برای کارآفرینان درستکار حوزه اینترنت. با این حال وضعیت کره شمالی نشان می دهد رمز ارزها به خاطر استقلال از دولت و ملیت، قابلیت تبدیل به سلاح های استراتژیک را دارند و می توان از آنها در کنار دیگر ابزارهای سنتی برای اعمال فشار سیاسی بهره گرفت.

داستان دو کشور

شکاف بین کره شمالی و کره جنوبی که تمام حوزه های صنعتی از جمله رمز ارزها و بلاکچین را هم در بر می گیرد، بسیار عمیق است. تمامی مردمان شبه جزیره کره از یک زبان، نژاد و فرهنگ هستند اما آتش جنگ، آنها را از هم جدا کرده است.

از زمان جدایی، کره جنوبی مسیر رشد و توسعه را در پیش گرفت و با تحقق بازار آزاد، به شکوفایی اقتصادی و دموکراسی رسید. اکنون کره جنوبی را می توان یکی از کشورهای پیشرو در حوزه بلاکچین دانست که رویکردهای خلاقانه ای را در زمینه فناوری یا قوانین و مقررات پیاده سازی کرده است. آن سوی مرزها، کره شمالی به عنوان یکی از آخرین کشورهای کمونیستی جهان تحت سلطه سلاله کوه پکتو به سر می برد. در تصویر زیر مقایسه جمعیت، تولید ناخالص ملی، صادرات، واردات و تعداد تلفن همراه به ازای هر 100 نفر را بین کره شمالی و جنوبی می بینید.

حکومت کره شمالی تمامی ارتباطات با دنیای خارج را تحت کنترل دارد و همین موضوع، رویکردی متفاوت را در حوزه فناوری اطلاعات به وجود آورده است. اطلاعات موجود در مورد این کشور بسیار پراکنده و منسوخ به نظر می رسند. با این حال تمامی منابع اطلاعاتی معتقدند زیرساخت های فناوری کره شمالی به شدت قدیمی و کنترل شده هستند.

دسترسی به اینترنت در این کشور فقط به افراد و گروه های خاص محدود می شود که با حکومت ارتباط نزدیکی دارند. این افراد می توانند به شکل قانونی یا غیر قانونی از جدید ترین تجهیزات سخت افزاری و نرم افزاری روز دنیا هم بهره مند شوند. تعدادی از کاربران اینترنت کره شمالی که در کشورهای دیگر مثل چین یا هند ساکن هستند هم چنین وضعیتی دارند.

به همین دلیل می توان تمام ردپای حضور کره شمالی در دنیای رمز ارزها یا به طور کلی در فضای وب را به دولت این کشور یا حداقل افراد بانفوذ نسبت داد.

مجوز هک

برای درک وضعیت عجیب کره شمالی، باید بدانیم که این کشور هیچگاه روابط عادی و طبیعی با سایر کشورها نداشته است. از سال 1992 ایالات متحده تحریم های شدیدی را روی کره شمالی اعمال کرده تا برنامه های موشکی و هسته ای آنها را متوقف سازد.

در سال 2006 شورای امنیت سازمان ملل متحد به اولین تست اتمی کره شمالی واکنش نشان داد و مبادله کالا با این کشور توسط اعضای سازمان ملل را محدود ساخت. به همین دلیل فعالیت سنگین گروه های هکری کره شمالی (عمدتاً وابسته به دولت) را می توان سلاحی برای اعمال فشار روی کشورهای رقیب و جمع آوری منابع مالی دانست.

ارتباط مستقیم بین جنگ سایبری و تحریم های اقتصادی کاملاً خطی به نظر می رسد. کارشناسان می گویند کره شمالی از سال 2009 حملات محروم سازی از سرویس توزیع شده (DDoS) را علیه کره شمالی به اجرا درآورده است. یک سال بعد هکرها روی حوزه بانکی و نهادهای بین المللی تمرکز کردند. مثلاً شرکت سونی پیکچرز در سال 2014 هدف حمله کره شمالی قرار گرفت و سال 2016 هم بانک مرکزی بنگلادش چنین وضعیتی را تجربه کرد.

از سال 2017 دولت آمریکا فعالیت های سایبری تبهکارانه منتسب به کره شمالی را تحت عنوان «کبرای پنهان» زیر نظر گرفت و فعالیت هکرها را به دقت ارزیابی کرد. در آن زمان برای اولین بار شاهد توجه هکرها به حوزه رمز ارزها بودیم.

اولین گزارش فعالیت مشکوک هکرهای کره شمالی در رسانه ها، به هک صرافی Bithumb کره جنوبی اختصاص داشت. در این حمله سایبری در ابتدای سال 2017 بیش از 7 میلیون دلار رمز ارز به سرقت رفت.

ماه مه 2017 باج افزار معروف واناکرای (WannaCry) هزاران کامپیوتر را در بیش از 150 کشور جهان آلوده کرد. بعضی منابع از ارتباط این باج افزار با هکرهای چینی سخن می گویند، ولی کاخ سفید رسماً این حملات سایبری را به گردن کره شمالی انداخت.

از تابستان 2017 هکرهای کره شمالی حملات علیه صنایع فینتک کره جنوبی را تشدید کردند و نگرانی آژانس اینترنت و امنیت کره (KISA) را برانگیختند. با این حال تبهکاران سایبری موفق شدند در آخرین روزهای سال 2017 به Youbit حمله کرده و یک پنجم سرمایه کاربران این پلتفرم را به سرقت ببرند. این شرکت پس از حمله فوق اعلام ورشکستگی کرد.

حملات دامنه دار همچنان ادامه یافت، اگرچه گاهی اوقات ارتباط آنها با گروه های کره شمالی مبهم است. مثلاً هکرها با حمله به Coinrail در ماه ژوئن 2018 بیش از 40 میلیون دلار رمز ارز را به سرقت بردند. در ماه مارس 2019 شرکت Bithumb دوباره 19 میلیون دلار را از دست داد. مقامات امنیتی کره جنوبی در مورد ارتباط این حملات با گروه های هکری کره شمالی مطمئن نیستند ولی می دانند که حمله فیشینگ به UPbit در ماه مه 2019 توسط کشور همسایه صورت گرفته است.

هنوز نمی دانیم کره شمالی در این حملات چه مقدار رمز ارز را به سرقت برده ولی گزارش شورای امنیت سازمان ملل به رقم حدودی 670 میلیون دلار بین سال های 2015 تا 2018 اشاره می کند. گزارش اخیر این سازمان نشان می دهد تا به امروز هکرهای کره شمالی در مجموع 2 میلیارد دلار را از بانک ها و صرافی های رمز ارز دزدیده اند؛ رقمی که 7 درصد تولید ناخالص ملی این کشور را تشکیل می دهد. در گزارش سازمان ملل، 35 حمله به 17 کشور مختلف ذکر شده است.

لازاروس بر می خیزد

اواخر سال 2017 کارشناسان مؤسسه امنیتی FireEye متوجه شدند حملات هکری با منشأ کره شمالی در این سال، ویژگی های متمایزی با حملات قبلی دارد. آنها اعلام کردند انتخاب کیف پول های شخصی و صرافی های رمز ارز احتمالاً «روشی برای گریز از تحریم ها و کسب درآمد برای حکومت» است.

دلیل اصلی این تغییر مسیر، افزایش قیمت رمز ارزها در بازار بود. به عقیده FireEye تعجبی ندارد که رمز ارزها به عنوان نوعی دارایی جدید، هدف اصلی حکومت هایی مثل کره شمالی قرار گیرند، حکومتی که شبیه یک سازمان تبهکار رفتار می کند.

راهکار اصلی هکرها استفاده از فیشینگ هدفمند است. آنها آدرس ایمیل شخصی کارکنان مراکز مبادله ارز دیجیتال را برای ارسال پیام های جعلی و تزریق بدافزار به خدمت گرفته و نهایتاً از طریق آن به زیرساخت IT شرکت ها دست می یابند.

تحلیل های انجام شده در سال 2018 نشان داد بسیاری از این حملات به یک گروه خاص موسوم به لازاروس (Lazarus) یا DarkSeol بر می گردد. شرکت امنیتی Boup-IB حدود 65 درصد مبالغ دزدیده شده از صرافی های رمز ارز از ابتدای سال 2017 تا پایان سال 2018 را به لازاروس نسبت می دهد. بخش اصلی این مبلغ (534 میلیون از 571 میلیون دلار) به یک مورد سرقت سایبری از صرافی بزرگ ژاپنی یعنی Coincheck در ژانویه 2018 مربوط می شود.

گزارش جامع Group-IB ارتباط بین لازاروس و آدرس های IP مربوط به رده های بالای ارتش کره شمالی را نشان می دهد. به گفته Group-IB گروه لازاروس احتمالاً بخشی از Bureau 121 متعلق به سرویس اطلاعاتی کره شمالی است که سابقه فعالیتش به سال 2016 بر می گردد.

تحلیلگران امنیتی Group-IB استراتژی بسیار پیچیده ای را برای اجرای حملات گزینشی و پیاده سازی ساختار سرور چندلایه داخل زیرساخت شرکت های قربانی شناسایی کرده اند. علاوه بر این، هکرهای کره شمالی ابزاری ماژولار برای کنترل کامپیوترهای آلوده از راه دور در اختیار دارند. به همین دلیل شناسایی بدافزار کار دشواریست. هکرها همچنین توانایی استفاده از بخش های مختلف نرم افزار یا ترکیب آنها را با یکدیگر دارند تا شرکت های خاص را به شیوه ای منحصر به فرد هدف قرار دهند.

بهار سال 2019 هم شرکت کسپرسکی از تکامل جعبه ابزار لازاروس خبر داد. در این مجموعه ابزار، بدافزارهایی برای هر دو سیستم عامل ویندوز و مک او اس دیده می شود که امکان اجرای اسکریپت های مخرب در زیرساخت های هدف را فراهم می سازند.

آزادی در چنگال تمامیت خواهی

هکرهای کره شمالی دو هدف اصلی را در سر دارند: از یک سو می خواهند زیرساخت های IT کشورهای رقیب را تخریب کنند و از سوی دیگر، منابع مالی حکومت خود را از روش هایی نامعمول و به دور از قوانین بین المللی تأمین نمایند. هدف دوم تا حدودی تلاش های کره شمالی برای ماین کردن رمز ارزها را توضیح می دهد، پروژه ای که اواخر بهار 2017 آغاز شد اما ظاهراً هنوز به موفقیت نرسیده است.

این روش کسب درآمد توسط بعضی کشورهای دیگر هم دنبال می شود. با این حال هنوز کارآیی رمز ارزها به عنوان ابزار گریز از قوانین بین المللی به اثبات نرسیده است. از طرفی تبدیل رمز ارزها به پول رایج کار دشواریست، به خصوص رمز ارزهایی که از طریق سرقت به دست آمده اند. اکثر صرافی های دیجیتال با همکاری یکدیگر مانع از خرید و فروش اموال سرقتی می شوند. به همین دلیل رقم نهایی درآمد هکرها از حملات سایبری به مراتب پایین تر از رقم هاییست که در رسانه ها می شنویم.

تحلیلگران می گویند هکرهای وابسته به کره شمالی با چالش های زیادی روبرو هستند. احتمال می رود که حملات به صرافی های رمز ارز با هدف شناسایی اهداف دیگر صورت گرفته باشد، تا در نهایت بتوانند ارزهای رایج را به سرقت ببرند.

کره شمالی نمونه بارز کشوریست که شهروندانش را از رمز ارزها محروم می کند اما خودش به شکل سازمان یافته از آنها بهره می گیرد. ارزهای دیجیتال برخاسته از آزادی هستند، اما حکومت های تمامیت خواه می توانند از آنها به عنوان سلاح سایبری استفاده کنند. این وضعیت به خوبی نشان می دهد که مسیر تکامل نوآوری های تحول آفرین مانند بلاکچین و ارزهای دیجیتال،  از میان جوامع، نهادها و شرایط اقتصاد جهانی عبور می کند.