Північнокорейські хакери удосконалюють методи крадіжок у криптоіндустрії: нові загрози і рекордні атаки на біржі

Північнокорейські хакери у сфері криптовалют стають все більш витонченими. Компанія в сфері криптовалют Paradigm у звіті під назвою “Демістифікація загрози з Північної Кореї” попереджає, що атаки північнокорейських кіберзлочинців на криптоіндустрію зростають у складності, і кількість груп, залучених до такої кримінальної діяльності, збільшується.

Протягом років Північна Корея була пов`язана з високопрофільними кібератаками на криптовалютні біржі, з яких вкрадені гроші, як вважають, використовуються для фінансування збройних і ядерних програм країни.

Організація Об`єднаних Націй оцінила, що з 2017 по 2023 рік Північна Корея вкрала близько 3 мільярдів доларів у криптохакерських атаках. Однак вже у 2024 та 2025 роках вони забрали рекордні 1,7 мільярда доларів з двох найбільших бірж, WazirX та Bybit.

Хакери використовують підроблені пропозиції роботи для крадіжки криптовалюти, підставляючи мільйони користувачів під загрозу.

Існує кілька фракцій північнокорейських хакерів, кожна з яких спеціалізується на різних видах кібератак. Найбільш відомою є група Lazarus, яка має історію атаки на фінансові установи та біржі цифрових активів.

Інші групи, такі як AppleJeus, Dangerous Password і Spinout, використовують різні методи (наприклад, фішинг-атаки, підроблені пропозиції роботи, шкідливе ПЗ, ставлячи за справжнє).

Найшокуюча атака на сьогоднішній день відбулася в лютому 2025 року, коли криптобіржа Bybit була зламана на суму 1,5 мільярда доларів — найбільша крадіжка криптовалюти на сьогодні. Хоча спочатку це вважалося схемою фішингу, детальне розслідування показало, що експлуатація базувалася на значно більш складній стратегії.

Хакери з Генерального управління розвідки Північної Кореї тихо скомпрометували Safe{Wallet}, систему цифрових гаманців, яку використовують багато користувачів Bybit, замість того, щоб безпосередньо нападати на біржу. Вони проникли через задні двері у програмне забезпечення, що дозволило їм викрадати гроші без негайного виявлення.

Цей метод був набагато більш витонченим. Замість того, щоб націлюватися на біржі, він націлився на інфраструктуру, що підтримує криптобіржі.

Коли вони вкрадають криптовалюту, хакери відмивають її і ухиляються від виявлення, використовуючи готові, добре відпрацьовані техніки. Спочатку вони ділять крадене на менші суми, пропускають їх через сотні цифрових гаманців і зрештою перетворюють на Bitcoin (BTC).

Ця тактика ускладнює правоохоронним органам простежити гроші. Згідно з даними компанії безпеки Chainalysis, група Lazarus має тенденцію тримати вкрадені гроші протягом місяців, років, і навіть перед витратами, максимізуючи шанси уникнути виявлення.

ФБР ідентифікувало трьох ймовірних учасників групи Lazarus і обвинувачувало їх у кіберзлочинах. У лютому 2021 року Міністерство юстиції США висунуло обвинувачення проти двох з цих членів за участь у глобальних кіберзлочинах. Проте, незважаючи на такі зусилля, північнокорейські хакери та кіберзлочинці продовжують адаптуватися і знаходити нові методи втручання у фінансові системи.