Государственные хакерские группы Северной Кореи
Северная Корея использует государственные хакерские группы, такие как Lazarus, для финансирования своей армии. Украденная криптовалюта составляет почти треть ее доходов в иностранной валюте и обеспечивает стабильный, незаконный денежный поток, не подверженный традиционным санкциям.
Кражи криптовалюты
В отчете от 22 октября Многосторонней группы мониторинга санкций говорится, что с января 2024 года по сентябрь 2025 года северокорейские хакеры организовали кражи криптовалюты на сумму не менее $2,8 миллиарда, нацеливаясь на сектор цифровых активов. Большая часть похищенных средств была получена в результате крупных инцидентов, включая взлом Bybit в феврале 2025 года, который составил примерно половину от общей суммы.
«Эти взломы приписываются известным северокорейским группам, использующим сложные методы, такие как атаки на цепочку поставок, социальная инженерия и компрометация кошельков.»
Экосистема хакерских групп
Операции Северной Кореи в области криптовалют сосредоточены вокруг тесной экосистемы хакерских групп, связанных с государством, среди которых главными являются Lazarus, Kimsuky, TraderTraitor и Andariel. Их следы можно найти почти в каждом крупном нарушении безопасности цифровых активов за последние два года.
По словам аналитиков в области кибербезопасности, эти группы действуют под эгидой Генерального управления разведки, главного разведывательного органа Пхеньяна, координируя атаки, которые имитируют эффективность частного сектора.
Методы атак
Основная инновация заключается в том, чтобы полностью обойти биржи, нацеливаясь вместо этого на сторонние провайдеры хранения цифровых активов, которые биржи используют для безопасного хранения. Компрометируя инфраструктуру таких компаний, как Safe(Wallet), Ginco и Liminal Custody, северокорейские хакеры получили доступ к средствам клиентов, включая Bybit, японскую DMM Bitcoin и индийскую WazirX.
Атака на DMM Bitcoin, которая привела к потере $308 миллионов и в конечном итоге к закрытию биржи, была инициирована за несколько месяцев до этого, когда хакер TraderTraitor, выдавая себя за рекрутера в LinkedIn, обманул сотрудника Ginco, заставив его открыть вредоносный файл, замаскированный под тест перед собеседованием.
Другие группы и их действия
Другие государственные группы действуют в согласии с этой основной инициативой. Коллектив CryptoCore, хотя и менее сложный, проводит высокообъемную социальную инженерию, выдавая себя за рекрутеров и бизнес-руководителей для проникновения в цели. Тем временем Citrine Sleet зарекомендовал себя как разработчик троянского программного обеспечения для торговли криптовалютой.
В одном детализированном инциденте из октября 2024 года хакер Citrine Sleet, выдавая себя за надежного бывшего подрядчика в Telegram, передал вредоносный ZIP-файл разработчику Radiant Capital, что привело к краже на сумму $50 миллионов.
Отмывание украденных активов
После кражи цифровые активы проходят сложный девятиступенчатый процесс отмывания, предназначенный для сокрытия их происхождения и конвертации в фиатную валюту. Киберакторы КНДР систематически обменивают украденные токены на устоявшиеся криптовалюты, такие как Ethereum или Bitcoin, а затем используют набор миксирующих сервисов, включая Tornado Cash и Wasabi Wallet.
Следователи заявили, что вся эта операция зависит от сети внебиржевых брокеров, преимущественно в Китае, которые принимают отмытый USDT и вносят эквивалентную фиатную валюту на банковские счета, контролируемые КНДР, через карты китайского UnionPay.
Последствия киберпреступлений
Эта неустанная кампания цифровой кражи имеет прямые и серьезные последствия в реальном мире. Миллиарды, выведенные из экосистемы криптовалют, не исчезают в бюрократической пустоте. В отчете Многосторонней группы мониторинга санкций делается вывод, что этот поток доходов критически важен для закупки материалов и оборудования для незаконных программ КНДР по производству оружия массового уничтожения и баллистических ракет.
«Обеспечивая огромный незаконный денежный поток, который не подвержен традиционным финансовым санкциям, глобальная индустрия криптовалют была превращена в оружие, став нерегулируемым и нежелающим финансистом военных амбиций Пхеньяна.»
Эти кражи не просто преступления ради прибыли; это акты государственной политики, финансирующие наращивание военной мощи, угрожающей глобальной безопасности.
