Кражи криптовалюты хакерами из КНДР
Хакеры из Корейской Народно-Демократической Республики (КНДР) украли криптовалюту на сумму $2,02 миллиарда с начала 2025 года, согласно отчету компании Chainalysis, опубликованному в четверг. Это представляет собой увеличение на 51% по сравнению с прошлогодними показателями и является самым крупным годом по количеству краж криптовалюты, связанных с КНДР.
Общие данные о кражах
В целом, в этом году в криптовалютной сфере было зафиксировано краж на сумму $3,4 миллиарда, что означает, что атаки КНДР составляют 59% от этих украденных средств. Chainalysis считает, что данные показывают «эволюцию» Северной Кореи, так как они начинают совершать меньше атак, но наносят значительно больший ущерб с каждой из них.
Примеры атак
Атака на биржу Bybit в феврале на сумму $1,5 миллиарда, которую ФБР связало с КНДР, является ключевым примером этой эволюции.
«Для криптовалютной индустрии эта эволюция требует повышенной бдительности в отношении высокозначимых целей и улучшенного обнаружения специфических схем отмывания денег, связанных с КНДР,» — говорится в отчете.
Методы отмывания денег
Chainalysis утверждает, что идентифицировала четкий трехволновой, 45-дневный паттерн отмывания денег, которому обычно следуют атакующие из КНДР. Идентификаторы включают:
- использование китайскоязычных сервисов,
- сильную зависимость от мостовых активов для запутывания отслеживания,
- более широкое использование сервисов смешивания криптовалют.
Этот паттерн, по словам отчета, сохранялся на протяжении последних нескольких лет.
Угрозы со стороны хакеров
Chainalysis не ответила на запрос Decrypt о том, как аналитики знают, что эти атаки были совершены именно КНДР, а не другими группами. Все чаще атаки совершаются злонамеренными актерами, нанятыми криптовалютными компаниями. Атакующий затем работает над получением привилегированного доступа перед тем, как украсть важную информацию или средства.
Работа с криптобиржами
Binance сообщила Decrypt летом, что северокорейские хакеры пытаются устроиться на работу в крупные централизованные биржи каждый день. Джимми Су, главный специалист по безопасности Binance, объяснил, что атакующие могут даже использовать сгенерированное ИИ живое видео и изменители голоса на звонках в попытке устроиться на работу.
Биржа идентифицировала несколько общих признаков атакующих из КНДР и делится этой информацией с другими криптобиржами через Telegram и Signal.
Угрозы в коде
Кроме того, северокорейские хакеры были замечены в отравлении пакетов NPM, регулярно используемых в публичных библиотеках кода, чтобы проникнуть в проекты. Снова Binance признала эту угрозу и утверждает, что ее разработчики вынуждены тщательно проверять каждую библиотеку кода.
Заключение
«Поскольку Северная Корея продолжает использовать кражу криптовалюты для финансирования государственных приоритетов и обхода международных санкций, индустрия должна признать, что этот угрозный актор действует по другим правилам, чем типичные киберпреступники,» — говорится в отчете Chainalysis.
«Рекордные показатели страны в 2025 году, достигнутые с 74% меньшим количеством известных атак, предполагают, что мы можем видеть только наиболее заметную часть ее деятельности.»
«Задача на 2026 год будет заключаться в обнаружении и предотвращении этих операций с высоким воздействием до того, как связанные с КНДР актеры нанесут еще один инцидент масштаба Bybit,» — подводят итог в отчете.
