Северокорейские хакеры: эволюция криптовалютных атак и новые методы кражи средств

Северокорейские криптохакеры становятся все более опытными

Криптовалютная компания Paradigm предупреждает в отчете под названием «Демистификация северокорейской угрозы», что кибервойна Северной Кореи против индустрии криптовалют становится все более сложной, а число групп, участвующих в таких преступных действиях, увеличивается.

Северная Корея на протяжении многих лет ассоциируется с высокопрофильными кибератаками на криптовалютные биржи, и украденные средства, как полагают, используются для финансирования военных и ядерных программ страны.

Согласно оценкам ООН, Северная Корея украла около 3 миллиардов долларов в результате криптовалютных хакерских атак с 2017 по 2023 год. Однако только в 2024 и 2025 годах им удалось похитить рекордные 1,7 миллиарда долларов с двух крупнейших бирж - WazirX и Bybit. Хакеры используют поддельные предложения о работе для кражи криптовалюты, ставя под угрозу миллионы пользователей.

Существуют несколько фракций северокорейских хакеров, каждая из которых специализируется на различных типах кибератак. Самая печально известная из них - это группа Lazarus, которая имеет историю атак на финансовые учреждения и биржи цифровых активов.

Другие группы, такие как AppleJeus, Dangerous Password и Spinout, используют различные методы (например, фишинг, поддельные предложения о работе, вредоносное ПО, маскирующееся под легитимное программное обеспечение).

Самая шокирующая атака произошла в феврале 2025 года, когда криптобиржа Bybit была взломана на сумму 1,5 миллиарда долларов - крупнейший взлом криптовалюты на сегодня. Хотя изначально это считали схемой фишинга, более глубокое расследование выявило, что уязвимость была основана на гораздо более сложной стратегии.

Хакеры из Генерального управления разведки Северной Кореи тайно скомпрометировали систему цифрового кошелька Safe{Wallet}, используемую многими пользователями Bybit, а не атаковали непосредственно биржу. Они внедрили бэкдор в программное обеспечение, что позволило им откачивать деньги, не привлекая к себе внимания.

Этот метод оказался гораздо более сложным. Вместо того чтобы нацеливаться на биржи, он нацеливался на инфраструктуру, поддерживающую криптобиржи.

После кражи криптовалюты хакеры отмывают ее и избегают обнаружения, используя стандартные, хорошо известные методы. Сначала они делят добычу на меньшие суммы, пропускают через сотни цифровых кошельков и в конечном итоге превращают их в биткойны (BTC).

Такая тактика усложняет для властей отслеживание денег. По данным компании по безопасности Chainalysis, группа Lazarus, как правило, удерживает украденные средства в течение месяцев и лет, прежде чем потратить их, что увеличивает шансы избежать обнаружения.

ФБР идентифицировало трех предполагаемых членов группы Lazarus и обвинило их в киберпреступлениях. В феврале 2021 года министерство юстиции США предъявило обвинения двум из этих членов за участие в глобальных киберпреступлениях. Тем не менее, несмотря на такие усилия, северокорейские хакеры и киберпреступники продолжают адаптироваться и находить новые методы вмешательства в финансовые системы.