Північнокорейські хакери вкрали $1.4 млрд з Bybit: деталі найбільшого зламу в історії криптовалют

У лютому північнокорейські хакери потрапили в заголовки новин, здійснивши те, що зараз вважається найбільшим одноразовим зламою в історії криптовалюти.

Група Lazarus вкрала не менше ніж$1.4 мільярда з Bybit, а потім переказала ці кошти в криптовалютні міксери.

«Хтось вчинив найбільший злам в історії криптовалют, і ми були свідками цього з перших рядів», – згадував Самцзсун, партнер з досліджень у компанії Paradigm, в блозі.

Дослідник зазначив, що вони спостерігали за крадіжкою в реальному часі та співпрацювали з Bybit для підтвердження несанкціонованого доступу.

Самцзсун працював з SEAL 911, екстреним підрозділом, пов`язаним з Альянсом безпеки, неприбутковою організацією, що займається захистом децентралізованих систем.

Однак ці атаки не обмежуються лише групою Lazarus. Існує більше аспектів кібероперацій Північної Кореї, ніж вважалося раніше.

Є хибне уявлення про те, як `класифікувати та називати` операції цієї групи.

Хоча термін `група Lazarus` є `розмовно прийнятним`, обговорення того, як КНДР (Корейська Народно-Демократична Республіка) здійснює свої кібероперації, потребує більше точності, стверджував Самцзсун.

Група Lazarus стала популярним терміном у ЗМІ для опису кібердіяльності КНДР. Дослідники з кібербезпеки `створили більш точні позначення`, щоб показати, які з них займаються конкретними активностями, додали вони.

Агентство зламу

Екосистема зламу КНДР діє під егідою Генерального управління розвідки (RGB), яке містить кілька окремих груп: AppleJeus, APT38, DangerousPassword та TraderTraitor.

Ці групи працюють із специфічними методами цілей та технічними можливостями.

• TraderTraitor визнано найбільш вимогливим актором КНДР, що націлений на криптоіндустрію; він фокусується на біржах із великими резервами та використовує просунуті техніки, успішно зламуючи Axie Infinity через підроблені вакансії та маніпуляції WazirX.
• AppleJeus спеціалізується на складних атаках на ланцюги постачання, включаючи злом 3CX у 2023 році, що потенційно вразив 12 мільйонів користувачів.
• Dangerous Password проводить прості соціальні інженерії через фішингові електронні листи та шкідливі повідомлення на платформах, таких як Telegram.
• Інша підгрупа, APT38, виникла з групи Lazarus у 2016 році та зосередилася на фінансових злочинах. Спочатку вона націлилася на традиційні банки, а потім переключила увагу на криптоплатформи.

У 2018 році OFAC вперше згадала `північнокорейських IT-робітників`, які в 2023 році були ідентифіковані дослідниками як `Contagious Interview` та `Wagemole`, що діють через схеми, де загрози або представляються рекрутерами, або намагаються потрапити на роботу в цільові компанії.

Все ще є надія

Хоча КНДР показала свою здатність здійснювати атаки нульового дня, не було `зафіксованих або відомих випадків` їх застосування безпосередньо проти криптоіндустрії, сказав Самцзсун.

Дослідник закликав криптокомпанії впроваджувати основні заходи безпеки, такі як доступ з найменшими привілеями, двофакторна автентифікація та розділення пристроїв. Якщо запобіжні заходи не спрацюють, зв’язок з безпековими групами, такими як SEAL 911, а також з підрозділом ФБР, що займається КНДР, буде також корисним.

«Хакери КНДР – це зростаюча загроза для нашої індустрії, і ми не можемо перемогти ворога, якого не знаємо чи не розуміємо», – написав Самцзсун.

Редагував Себастіан Сінклер