Тайны армии хакеров КНДР: как готовят гениев криптопреступности

В последнее время все чаще в новостях упоминаются северокорейские хакеры. Их последнее громкое появление в СМИ — крупнейший взлом в истории, когда преступникам удалось украсть цифровых активов на $1,5 млрд у биржи криптовалют Bybit. Следующей жертвой могла стать биржа OKXоднако команда компании вовремя заметила потенциальные уязвимости. В течение месяца украденные у Bybit средства отмыли и перевели в биткоины, что сделало Северную Корею третьим государством в мире по количеству BTC. Зачем КНДР столько денег? Обычно средства используются на поддержание диктатуры и поддержку ядерной программы. Ничего нового. Но интересно другое: как властям Северной Кореи удалось найти и обучить столь талантливых хакеров? Где она берет высокотехнологичное оборудование, если находится под санкциями большинства стран мира? Попробуем разобраться.

Великая, злая и могущественная Lazarus Group

О северокорейской Lazarus Group не слышал разве что ленивый. Именно эти хакеры стоят за самыми крупными кражами. Всего в течение 2024 года хакеры из КНДР украли криптовалют на сумму около $800 млн. Именно КНДР стоит за 35% всех похищенных цифровых активов в 2024 году, ее атаки были почти в пять раз масштабнее, чем у коллег по цеху.

Аналитики отметили, что методы Lazarus Group часто включают сложную социальную инженерию, фишинговые кампании и эксплуатацию уязвимостей программного обеспечения (ПО).

В случае с активами Bybit скорость отмывания средств была поразительной: в течение 48 часов не менее $160 млн было выведено незаконными методами. Для этого было задействовано несколько кошельков-посредников, конвертация в различные криптовалюты, децентрализованные биржи и межсетевые мосты для заметания следов.

Столь быстрое отмывание средств свидетельствует, что Северная Корея либо расширила свою инфраструктуру или подпольные финансовые сети, особенно в Китае, а также повысила способность поглощать и обрабатывать похищенные средства.

Обычно северокорейские киберпреступники полагались на миксеры, такие как Tornado Cash,чтобы скрыть происхождение похищенных средств перед конвертацией в фиат. Однако в случае с Bybit злоумышленники применили многогранную стратегию с использованием нескольких кошельков-посредников, децентрализованных бирж и межцепочечных мостов, чтобы быстро скрыть источник происхождения средств.

Сначала часть похищенных монет Ethereum прошла через сети Binance Smart Chain и Solana. Еще часть конвертировали в BTC. Сейчас большая часть конвертируемых биткоинов остается нетронутой. Значит, хакеры готовятся к масштабной ликвидации или дальнейшему сокрытию через внебиржевые (OTC) сети.

По словам эксперта TRM по Северной Корее и бывшего специалиста ФБР Ника Карлсена, «Эксплойт Bybit свидетельствует, что режим усиливает технику «flood the zone» — перегрузки команд комплаенса, аналитиков блокчейна и правоохранительных органов быстрыми, высокочастотными транзакциями на нескольких платформах, затрудняя отслеживание».

В течение десятилетий Северная Корея действовала как государство-изгнанник из-за международных санкций, введенных по причинам ядерной программы, нарушения прав человека и незаконной финансовой деятельности. Пхеньян был вынужден развивать сложную глобальную сеть незаконных источников дохода. Задолго до фокусировки на кражах криптовалюты, КНДР занималась подделкой долларов США и участвовала в контрабанде поддельных сигарет, наркотрафиком и продажей оружия.

Переломным моментом стал взлом Банка Бангладеш в 2016 году, когда северокорейские хакеры проникли в банковскую сеть SWIFT. Из запланированных $1 млрд им удалось вывести лишь $81 млн. Это был первый известный случай, когда государство совершило финансовое преступление с помощью кибертехнологий в таких больших масштабах. Впоследствии кибердеятельность Северной Кореи переключилась на экосистему цифровых активов. За несколько лет за КНДР закрепился статус самого активного финансового киберпреступника в мире.

История крупнейших криптовалютных краж хакеров из КНДР

Взлом криптобиржи Bybit стал самым громким в серии громких краж, которые приписывают Lazarus Group из Северной Кореи. Аналитики TRM Labs считаютчто Lazarus Group нельзя считать традиционной спонсируемой государством группой киберпреступников в традиционном понимании. Они считают, что Lazarus следует рассматривать как одно целое с Северной Кореей. Эти хакеры уже много раз показали способность адаптироваться и эволюционировать в своих тактиках поиска и использования уязвимостей в экосистеме криптовалют.

Atomic Wallet (июнь 2023)

Северокорейские хакеры атаковали пользователей некастодиального кошелька Atomic Wallet, и украли около $100 млн в криптовалюте. Им удалось добраться до более 4100 отдельных адресов. Хакерская атака, вероятно, была осуществлена через фишинг или компрометацию цепочки поставок.

Ставка (сентябрь 2023 года)

ФБР подтвердило, что группа Lazarus Group стояла за кражей около $41 млн в криптоактивах из онлайн-казино и платформы ставок Stake.com. Украденные средства были украдены с контролируемых Stake адресов в блокчейнах Ethereum, Binance Smart Chain и Polygon.

Ронинский мост (март 2022 года)

В одном из самых значительных эксплойтов DeFi хакеры взломали Ronin Bridge, связанный с игрой Axie InfinityВ результате чего смогли украсть более $600 млн в криптовалютах.

WazirX (2024)

Хакеры из Северной Кореи похитили $235 с крупнейшей индийской криптовалютной биржи WazirX.

DMM Bitcoin (2024)

Также они вытащили $305 млн в биткоинах с японской биржи DMM Bitcoin.

Откуда в Северной Корее талантливые хакеры?

Первые школы по информатике появились в КНДР еще в 1980-х годах. Война в Персидском заливе помогла режиму понять значение интернет-технологий в современной войне. Одаренных студентов-математиков отправляли в специализированные школы и освобождали от обязательных ежегодных сельскохозяйственных работ, рассказанный The Economist Тхе Йонг Хо, старший северокорейский дипломат, который сбежал на Запад в 2016 году.

Первоначально киберсилы нужны были Северной Корее для шпионажа и саботажа, но в середине 2010-х годов они сосредоточились на киберпреступности. По слухам, Ким Чен Ын называет кибервойну «универсальным мечом».

КНДР, несмотря на свою бедность, имеет несколько преимуществ. Одно из них — таланты. Доступ обычных граждан к интернету или компьютерам строго ограничен.

Северокорейские хакеры работают круглосуточно и дерзко, поскольку чихать хотели на секретность и дипломатические последствия.

Процесс поиска талантов и их подготовки напоминает методику воспитания олимпийцев в бывшем СССР, пишет The New Yorker. В отличие от традиционной войны, которая требует дорогостоящего и сложного развития вооружений, хакерская программа требует только одного ресурса: умных людей. И Северная Корея «не испытывает дефицита человеческого капитала». Самых перспективных учеников поощряют использовать компьютеры в школах. Успешные в математике попадают в специализированные школы. Лучшие студенты путешествуют за границу, чтобы участвовать в таких соревнованиях, как Международная математическая олимпиада (ММО).

Многие лауреаты медали Филдса — самой престижной премии по математике для подростков — занимали высокие места на этих соревнованиях. Северокорейские участники часто демонстрируют впечатляющие результаты на ИМО. Кстати, КНДР была единственной страной, которую дисквалифицировали по подозрению в мошенничестве: северокорейскую команду исключали из соревнований дважды — в 1991 и 2010 годах.

На ИМО 2019 года, состоявшейся в Бате, Англия, Кук Сон Хён идеально выполнил первые пять из шести задач и разделил первое место со студентами из Китая, Южной Кореи, Польши и США, пока не получил низкий балл за финальную задачу.

Два университета в Пхеньяне — Технологический университет имени Ким Чхека и Университет имени Ким Ир Сена — привлекают самых талантливых подростков из специализированных математических и компьютерных школ, где их обучают современным методам программирования. Эти учреждения часто опережают американские и китайские университеты на Международной студенческой олимпиаде по программированию (ICPC).

На Международной студенческой олимпиаде по программированию в 2019 году команда из северокорейского университета заняла восьмое место, опередив команды Кембриджа, Гарварда, Оксфорда и Стэнфорда.

Киберструктура КНДР. Фото: Mandiant

Костин-Андрей Онческу, который представлял Оксфордский университет на ICPC 2019 года, рассказал, что подобные соревнования становятся платформой для рекрутинга ведущих технологических компаний. Например, спонсором финала 2019 года была компания Huawei. Многие участники достигли значительных успехов в программировании.

По разным оценкам, в киберпрограмме страны задействовано около 7 тысяч человек. Сотрудники поделены между Главным штабным управлением армии, которое поддерживает военные операции, и Главным разведывательным бюро.

По данным исследователей Корейского университета, одно из подразделений Г.Р.Б., известное как «Юнит 180», отвечает за «проведение кибератак с целью кражи иностранных денег за пределами Северной Кореи». Самое известное подразделение северокорейских хакеров — Lazarus Group, хотя это подразделение может включать или частично быть замещено другими группами, известными западным правоохранительным органам и разведке под названиями BeagleBoyz, Hidden Cobra и APT38 (сокращение от Advanced Persistent Threat — «продвинутая постоянная угроза»).

Точных данных о количестве сотрудников в каждой группе или их кражах нет.

Вот еще кое-что интересное: где именно работают северокорейские хакеры? Сотрудница Гарварда в течение 2017-2020 года отслеживала метаданные интернет-пользователей из Северной Кореи. Она выяснила, что могло использоваться всего несколько сотен IP-адресов. На основе этого и других данных она сделала вывод, что большинство северокорейских программистов работают за пределами КНДР — в Китае и некоторых частях Юго-Восточной Азии. Но лучшие специалисты остаются в Пхеньяне или возвращаются туда для выполнения важнейших задач правительства.

Лучшие хакеры в КНДР, участвующие в самых прибыльных схемах, получают в награду автомобили, комфортное жилье или другие материальные блага, известные как «Особые подарки Ким Чен Ына». Это то, что недоступно для других граждан.

Джон Демерс из Министерства юстиции США подозревает, что Китай помогает Северной Корее в кибератаках, поскольку «не хочет, чтобы КНДР потерпела крах». Он также отметил, что «Северная Корея подключена к миру в основном через российскую и китайскую инфраструктуру».

Через границы Северной Кореи с Россией и Китаем, которые исторически были союзниками, продолжается некоторая как легальная, так и нелегальная торговля. По данным Агентства кибербезопасности и безопасности инфраструктуры США, ни одно финансовое учреждение России или Китая не было атаковано северокорейскими хакерами.

Северокорейские хакеры, в частности Lazarus Group, продолжают искусно воровать миллиарды в криптовалюте. Благодаря талантливым программистам, воспитанным в специальных школах, и уже поставленным на конвейер методам отмывания цифровых средств, КНДР финансирует диктатуру и ядерную программу в обход санкций. Не без помощи соседей.