Северокорейские хакеры и фриланс-работа
Северокорейские хакерские группы используют заманчивые предложения о фриланс-работе в области ИТ, чтобы получить доступ к облачным системам и украсть криптовалюту на миллионы долларов. Об этом свидетельствуют исследования Google Cloud и компании по безопасности Wiz.
Отчет Google Cloud о угрозах
Отчет Google Cloud о угрозах в облаке за второе полугодие 2025 года показывает, что группа Google Threat Intelligence «активно отслеживает» UNC4899, северокорейское хакерское подразделение, которое успешно взломало две компании после контакта с их сотрудниками через социальные сети.
Методы работы UNC4899
В обоих случаях UNC4899 давала сотрудникам задания, в результате которых они запускали вредоносное ПО на своих рабочих станциях, что позволяло хакерам установить соединения между своими центрами управления и облачными системами целевых компаний. В результате UNC4899 смогла исследовать облачные среды жертв, получая учетные данные и в конечном итоге идентифицируя хосты, ответственные за обработку крипто-транзакций.
Кража криптовалюты
Хотя каждый отдельный инцидент нацеливался на разные (не названные) компании и различные облачные сервисы (Google Cloud и AWS), оба случая привели к краже «нескольких миллионов в криптовалюте».
Распространенность поддельных вакансий
Использование поддельных вакансий северокорейскими хакерами стало «довольно распространенным», что отражает значительную степень сложности, отметил Джейми Коллиер, ведущий советник по угрозам для Европы в группе Google Threat Intelligence, в интервью Decrypt.
«Они часто выдают себя за рекрутеров, журналистов, экспертов или профессоров колледжей, когда связываются с целями», — добавил он, отметив, что они часто общаются несколько раз, чтобы установить контакт с жертвами.
Использование новых технологий
Коллиер объясняет, что северокорейские угрозы были одними из первых, кто быстро адаптировал новые технологии, такие как ИИ, которые они используют для создания «более убедительных писем для установления контакта» и написания своих вредоносных скриптов.
Анализ компании Wiz
Также о действиях UNC4899 сообщает компания по облачной безопасности Wiz, которая отмечает, что группу также называют TraderTraitor, Jade Sleet и Slow Pisces. TraderTraitor представляет собой определенный вид угрожающей активности, а не конкретную группу, при этом за типичными действиями TraderTraitor стоят поддерживаемые Северной Кореей структуры Lazarus Group, APT38, BlueNoroff и Stardust Chollima.
История атак
В своем анализе UNC4899/TraderTraitor Wiz отмечает, что кампании начались еще в 2020 году, и с самого начала ответственные хакерские группы использовали заманчивые вакансии, чтобы заставить сотрудников загружать вредоносные крипто-приложения, созданные на JavaScript и Node.js с использованием фреймворка Electron.
Успехи хакеров
Кампания группы с 2020 по 2022 год «успешно взломала несколько организаций», согласно Wiz, включая взлом сети Ronin от Axie Infinity на сумму 620 миллионов долларов, осуществленный группой Lazarus. Затем угрожающая активность TraderTraitor в 2023 году эволюционировала, включив использование вредоносного открытого кода.
Взломы в 2024 году
В 2024 году TraderTraitor удвоила усилия по поддельным вакансиям, в основном нацеливаясь на биржи. Особенно примечательно, что группы TraderTraitor были ответственны за взлом DMM Bitcoin в Японии на сумму 305 миллионов долларов, а также за взлом Bybit на 1,5 миллиарда долларов в конце 2024 года, о котором биржа сообщила в феврале этого года.
Уязвимость облачных систем
Как и в случаях, выделенных Google, эти взломы нацеливались на облачные системы в разной степени, и, согласно Wiz, такие системы представляют собой значительную уязвимость для криптоиндустрии.
Инвестиции Северной Кореи
«Мы считаем, что TraderTraitor сосредоточился на облачных взломах и техниках, потому что именно там находятся данные, а значит, и деньги», — сказал Бенджамин Рид, директор по стратегической разведке угроз в Wiz, в интервью Decrypt.
«Это особенно верно для криптоиндустрии, где компании новее и, вероятно, построили свою инфраструктуру в облачном формате».
Финансовые результаты
Эти группы ведут крупный бизнес, с «оценками в 1,6 миллиарда долларов в украденной криптовалюте на данный момент в 2025 году», добавил он, отметив, что у TraderTraitor и связанных групп «вероятно, тысячи сотрудников», которые работают в многочисленных и иногда пересекающихся группах.
Будущее северокорейских хакеров
В конечном итоге такие инвестиции позволили Северной Корее стать лидером в крипто-взломах, и отчет TRM Labs за февраль пришел к выводу, что страна составила 35% всех украденных средств в прошлом году. Эксперты заявили, что все доступные признаки указывают на то, что страна, вероятно, останется важным игроком в крипто-взломах в ближайшее время, особенно учитывая способность ее оперативников разрабатывать новые техники.
«Северокорейские угрозы — это динамичная и гибкая сила, которая постоянно адаптируется к стратегическим и финансовым целям режима», — сказал Коллиер из Google.
Подтверждая, что северокорейские хакеры все чаще используют ИИ, Коллиер объяснил, что такое использование позволяет «умножение силы», что, в свою очередь, позволило хакерам масштабировать свои действия. «Мы не видим признаков их замедления и ожидаем, что это расширение продолжится», — заключил он.
