Северокорейские хакеры украли $1,4 миллиарда из криптоиндустрии: расследование группы Lazarus и другие киберугрозы КНДР

В феврале северокорейские хакеры привлекли внимание общественности тем, что, как теперь считается, совершили крупнейшую в истории криптоиндустрии атаку.

Группа Lazarus украла не менее $1,4 миллиарда с Bybit и позднее отмыла эти средства через криптовалютные миксеры.

«Кто-то осуществил крупнейшую хакерскую атаку в [крипто] истории, и мы были очевидцами этого», — вспомнил Самцзун, исследователь из Paradigm, в блоге.

Исследователь сказал, что они стали свидетелями кражи в реальном времени и сотрудничали с Bybit для подтверждения несанкционированного доступа.

Самцзун работал с SEAL 911, аварийной реакционной группой, связанной с Альянсом безопасности, некоммерческой организацией, занимающейся обеспечением безопасности децентрализованных систем.

Но эти атаки не сводятся только к группе Lazarus. В кибератаках Северной Кореи больше, чем считалось ранее.

Существует заблуждение о том, как «классифицировать и называть» операции группы.

Хотя термин «группа Lazarus» является «разговорно приемлемым», обсуждение того, как КНДР (Корейская Народно-Демократическая Республика) управляет своими кибероперациями в наступлении, требует большей строгости, утверждает Самцзун.

Группа Lazarus стала предпочтительным термином для СМИ, когда речь идет о кибердеятельности КНДР. Исследователи в области кибербезопасности «создали более точные обозначения», чтобы показать, какие из них занимаются определенными видами деятельности, добавили они.

Хакерское бюро

Хакерская экосистема КНДР функционирует под управлением Главного разведывательного управления (RGB), которое включает несколько различных групп: AppleJeus, APT38, DangerousPassword и TraderTraitor.

Эти группы действуют с использованием специфических методов нацеливания и технических возможностей.

TraderTraitor, признанная самой сложной группой КНДР, нацеленной на криптоиндустрию, сосредотачивается на биржах с большими резервами и использует продвинутые техники, успешно взломав Axie Infinity через поддельные предложения о работе и манипулируя WazirX.

AppleJeus специализируется на сложных атаках на цепочку поставок, включая хак 3CX в 2023 году, который потенциально затронул 12 миллионов пользователей.

В то же время Dangerous Password проводит более простые социоинженерные атаки через фишинговые электронные письма и злонамеренные сообщения на платформах, таких как Telegram.

Другую подгруппу, APT38, отделилась от Lazarus в 2016 году и сосредоточилась на финансовых преступлениях. Сначала она нацеливалась на традиционные банки, прежде чем переключить свое внимание на криптоплатформы.

В 2018 году OFAC впервые упомянула «северокорейских ИТ-работников», которые в 2023 году были идентифицированы исследователями как «Зараженное интервью» и «Wagemole», действующие по схемам, в которых злоумышленники либо выступают как рекрутеры, либо пытаются устроиться на работу в целевые компании.

Все еще есть надежда

Хотя КНДР продемонстрировала способность применять атаки нулевого дня, не было зафиксировано или известных случаев их применения непосредственно против криптоиндустрии, отметил Самцзун.

Исследователь призвал криптокомпании внедрить основные меры безопасности, такие как доступ с минимальными привилегиями, двухфакторная аутентификация и сегрегация устройств. Если меры предосторожности не сработают, сотрудничество с охранными группами, такими как SEAL 911, и подразделением КНДР ФБР также будет полезным.

«Хакеры КНДР представляют собой растущую угрозу для нашей отрасли, и мы не можем победить врага, которого не знаем и не понимаем», — написал Самцзун.

Отредактировано Себастьяном Синклером.