Таємниці армії хакерів КНДР: як готують геніїв криптозлочинності

Останнім часом все частіше в новинах згадуються північнокорейські хакери. Їх остання гучна поява у ЗМІ — найбільший злом в історії, коли злочинцям вдалось поцупити цифрових активів на $1,5 млрд у біржі криптовалют Bybit. Наступною жертвою могла стати біржа OKX, однак команда компанії вчасно помітила потенційні вразливості. Протягом місяця вкрадені у Bybit кошти відмили та перевели у біткоїни, що зробило Північну Корею третьою державою у світі за кількістю BTC. Навіщо КНДР стільки грошей? Зазвичай кошти використовуються на підтримання диктатури та підтримку ядерної програми. Нічого нового. Але цікаво інше: як владі Північної Кореї вдалось знайти та навчити настільки талановитих хакерів? Де вона бере високотехнологічне обладнання, якщо знаходиться під санкціями більшості країн світу? Спробуємо розібратись.

Велика, лиха та могутня Lazarus Group

Про північнокорейську Lazarus Group не чув хіба що ледачий. Саме ці хакери стоять за найбільшими крадіжками. Загалом протягом 2024 року хакери з КНДР вкрали криптовалют на суму близько $800 млн. Саме КНДР стоїть за 35% усіх викрадених цифрових активів у 2024 році, її атаки були майже в п’ять разів масштабнішими, ніж у колег по цеху.

Аналітики відзначили, що методи Lazarus Group часто включають складну соціальну інженерію, фішингові кампанії та експлуатацію вразливостей програмного забезпечення (ПО).

У випадку з активами Bybit швидкість відмивання коштів була разючою: протягом 48 годин щонайменше $160 млн було виведено незаконними методами. Для цього залучити кілька гаманців-посередників, конвертацію в різні криптовалюти, децентралізовані біржі та міжмережеві мости для замітання слідів.

Настільки швидке відмивання коштів свідчить про те, що Північна Корея або розширила свою інфраструктуру або підпільні фінансові мережі, особливо в Китаї, а також підвищила здатність поглинати та обробляти викрадені кошти.

Зазвичай північнокорейські кіберзлочинці покладалися на міксери, такі, як Tornado Cash, щоб приховати походження викрадених коштів перед конвертацією у фіат. Однак у випадку з Bybit зловмисники застосували багатогранну стратегію з використанням декількох гаманців-посередників, децентралізованих бірж і міжланцюгових мостів, щоб швидко приховати джерело походження коштів.

Спочатку частина викрадених монет Ethereum пройшла через мережі Binance Smart Chain і Solana. Ще частину конвертували в BTC. Наразі більша частина конвертованих біткоїнів залишається недоторканою. Значить, хакери готуються до масштабної ліквідації або подальшого приховування через позабіржові (OTC) мережі.

За словами експерта TRM по Північній Кореї та колишнього фахівця ФБР Ніка Карлсена, «Експлойт Bybit свідчить про те, що режим посилює техніку «flood the zone» — перевантаження команд комплаєнсу, аналітиків блокчейну та правоохоронних органів швидкими, високочастотними транзакціями на декількох платформах, ускладнюючи відстеження».

Протягом десятиліть Північна Корея діяла як держава-вигнанець через міжнародні санкції, введені з причин ядерної програми, порушення прав людини та незаконної фінансової діяльності. Пхеньян був змушений розвивати складну глобальну мережу незаконних джерел доходу. Задовго до фокусування на крадіжках криптовалюти, КНДР займалася підробкою доларів США та брала участь у контрабанді підроблених сигарет, наркотрафіком та продажем зброї.

Переломним моментом став злам Банку Бангладеш у 2016 році, коли північнокорейські хакери проникли в банківську мережу SWIFT. З запланованих $1 млрд їм вдалось вивести лише $81 млн. Це був перший відомий випадком, коли держава здійснила фінансовий злочин за допомогою кібертехнологій у таких великих масштабах. Згодом кібердіяльність Північної Кореї перемкнулася на екосистему цифрових активів. За кілька років за КНДР закріпився статус найактивнішого фінансового кіберзлочинця у світі.

Історія найбільших криптовалютних крадіжок хакерів з КНДР

Злам криптобіржі Bybit став найгучніших у серії гучних крадіжок, які приписують Lazarus Group з Північної Кореї. Аналітики TRM Labs вважають, що Lazarus Group не можна вважати традиційною спонсорованою державою групою кіберзлочинців в традиційному розумінні. Вони вважають, що Lazarus слід розглядати як одне ціле з Північною Кореєю. Ці хакери вже багато разків показали здатність адаптуватися та еволюціонувати у своїх тактиках пошуку та використання вразливостей в екосистемі криптовалют.

Atomic Wallet (червень 2023)

Північнокорейські хакери атакували користувачів некастодіального гаманця Atomic Wallet, та вкрали близько $100 млн у криптовалютах. Їм вдалось дістатись до понад 4100 окремих адрес. Хакерська атака, ймовірно, була здійснена через фішинг або компрометацію ланцюжка постачання.

Stake (вересень 2023)

ФБР підтвердило, що група Lazarus Group стояла за крадіжкою близько $41 млн в криптоактивах з онлайн-казино та платформи ставок Stake.com. Вкрадені кошти були поцуплені з контрольованих Stake адрес в блокчейнах Ethereum, Binance Smart Chain та Polygon.

Ronin Bridge (березень 2022)

У одному з найзначніших експлойтів DeFi хакери зламали Ronin Bridge, пов’язаний з грою Axie Infinity, внаслідок чого змогли вкрасти понад $600 млн у криптовалютах.

WazirX (2024)

Хакери з Північної Кореї викрали $235 з найбільшої індійської криптовалютної біржі WazirX.

DMM Bitcoin (2024)

Також вони витягли $305 млн у біткоїнах з японської біржі DMM Bitcoin.

Звідки в Північній Кореї талановиті хакери?

Перші школи з інформатики з’явилися у КНДР ще у 1980-х роках. Війна в Перській затоці допомогла режиму зрозуміти значення інтернет-технологій у сучасній війні. Обдарованих студентів-математиків відправляли в спеціалізовані школи та звільняли від обов’язкових щорічних сільськогосподарських робіт, розповів The Economist Тхе Йонг Хо, старший північнокорейський дипломат, який втік на Захід у 2016 році.

Спочатку кіберсили потрібні були Північній Кореї для шпигунства та саботажу, але в середині 2010-х років вони зосередилися на кіберзлочинності. За чутками, Кім Чен Ин називає кібервійну «універсальним мечем».

КНДР, попри свою бідність, має кілька переваг. Одна з них – таланти. Доступ звичайних громадян до інтернету або комп’ютерів суворо обмежений.

Північнокорейські хакери працюють цілодобово та зухвало, оскільки чхати хотіли на секретність та дипломатичні наслідки.

Процес пошуку талантів та їх підготовки нагадує методику виховання олімпійців у колишньому СРСР, пише The New Yorker. На відміну від традиційної війни, яка вимагає дорогого та складного розвитку озброєнь, хакерська програма потребує лише одного ресурсу: розумних людей. І Північна Корея «не має дефіциту людського капіталу». Найперспективніших учнів заохочують використовувати комп’ютери у школах. Успішні у у математиці потрапляють до спеціалізованих шкіл. Найкращі студенти подорожують за кордон, щоб брати участь у таких змаганнях, як Міжнародна математична олімпіада (ІМО).

Багато лауреатів медалі Філдса — найпрестижної премії з математики для підлітків — займали високі місця на цих змаганнях. Північнокорейські учасники часто демонструють вражаючі результати на ІМО. До речі, КНДР була єдиною країною, яку дискваліфікували через підозру в шахрайстві: північнокорейську команду виключали із змагань двічі — у 1991 та 2010 роках.

На ІМО 2019 року, що відбулася в Баті, Англія, Кук Сон Хьон ідеально виконав перші п’ять із шести завдань і розділив перше місце зі студентами з Китаю, Південної Кореї, Польщі та США, поки не отримав низький бал за фінальну задачу.

Два університети у Пхеньяні — Технологічний університет імені Кім Чхека та Університет імені Кім Ір Сена — залучають найталановитіших підлітків зі спеціалізованих математичних та комп’ютерних шкіл, де їх навчають сучасних методів програмування. Ці заклади часто випереджають американські та китайські університети на Міжнародній студентській олімпіаді з програмування (ICPC).

На Міжнародній студентській олімпіаді з програмування у 2019 році команда з північнокорейського університету посіла восьме місце, випередивши команди Кембриджу, Гарварду, Оксфорду та Стенфорду.

Кіберструктура КНДР. Фото: Mandiant

Костін-Андрей Онческу, який представляв Оксфордський університет на ICPC 2019 року, розповів, що подібні змагання стають платформою для рекрутингу провідних технологічних компаній. Наприклад, спонсором фіналу 2019 року була компанія Huawei. Багато учасників досягли значних успіхів у програмуванні.

За різними оцінками, у кіберпрограмі країни залучено близько 7 тисяч осіб. Співробітники поділені між Головним штабним управлінням армії, яке підтримує військові операції, та Головним розвідувальним бюро.

За даними дослідників Корейського університету, один із підрозділів Г.Р.Б., відомий як «Юніт 180», відповідає за «проведення кібератак з метою викрадення іноземних грошей за межами Північної Кореї». Найвідоміший підрозділ північнокорейських хакерів — Lazarus Group, хоча цей підрозділ може включати або частково бути заміщеним іншими групами, відомими західним правоохоронним органам та розвідці під назвами BeagleBoyz, Hidden Cobra і APT38 (скорочення від Advanced Persistent Threat — «просунута стала загроза»).

Точних даних про кількість співробітників у кожній групі або їхні крадіжки немає.

Ось ще дещо цікаве: де саме працюють північнокорейські хакери? Співробітниця Гарварду протягом 2017-2020 року відстежувала метадані інтернет-користувачів з Північної Кореї. Вона з’ясувала, що могло використовуватися лише кілька сотень IP-адрес. На основі цього та інших даних вона зробила висновок, що більшість північнокорейських програмістів працюють за межами КНДР — у Китаї та деяких частинах Південно-Східної Азії. Але найкращі фахівці залишаються в Пхеньяні або повертаються туди для виконання найважливіших завдань уряду.

Найкращі хакери в КНДР, які беруть участь у найприбутковіших схемах, отримують у винагороду автомобілі, комфортне житло або інші матеріальні блага, відомі як «Особливі подарунки Кім Чен Ина». Це те, що недоступне для інших громадян.

Джон Демерс із Міністерства юстиції США підозрює, що Китай допомагає Північній Кореї в кібератаках, оскільки «не хоче, щоб КНДР зазнала краху». Він також зазначив, що «Північна Корея підключена до світу переважно через російську та китайську інфраструктуру».

Через кордони Північної Кореї з росією та Китаєм, які історично були союзниками, продовжується деяка як легальна, так і нелегальна торгівля. За даними Агентства кібербезпеки та безпеки інфраструктури США, жодна фінансова установа рф чи Китаю не не була атакована північнокорейськими хакерами.

Північнокорейські хакери, зокрема Lazarus Group, продовжують майстерно красти мільярди у криптовалюті. Завдяки талановитим програмістам, вихованим у спеціальних школах, та вже поставленим на конвеєр методам відмивання цифрових коштів, КНДР фінансує диктатуру і ядерну програму в обхід санкцій. Не без допомоги сусідів.