Крадуть мільярдами крипту – вона йде на ракети, які летять по Україні. Як хакери Північної Кореї невидимо фінансують військові програми своєї країни

Майже непомітні хакери

У 2021 році Північна Корея викрала криптовалюту на суму $400 млн. У 2022 році — на $626 млн. Після введення жорстких санкцій ООН та пандемії COVID-19, Північна Корея звернулася до незаконної кібердіяльності як до основного джерела підтримки економіки та військових проєктів.

Національна розвідувальна служба Південної Кореї заявила, що здатність Північної Кореї викрадати цифрові активи вважається однією з найкращих у світі через те, що країна зосереджена на кіберзлочинах і вкладає багато зусиль в розвиток цього напрямку.

На днях компанія Microsoft оприлюднила великий звіт Digital Defense Report 2024. Згідно нього:

Лише у 2023 році було вкрадено майже третину цієї суми — від $600 млн до $1 млрд. Саме минулого року хакери з КНДР зламали 20 криптоплатформ. 

Разом з цим Microsoft визначила 3 основні північнокорейські хакерські групи, націлені на криптовалютні організації. Це — «Нефритовий сніг», «Сапфіровий сніг» та «Цитриновий сніг». Викраденими грошима фінансується понад половина ядерних і ракетних програм КНДР. 

Ще одна шкода від північнокорейських хакерів — це створення програм-вимагачів.

Про це також йдеться в звіті Microsoft. Зокрема, північнокорейська група Moonstone Sleet, виявлена у травні 2024 року, розробила спеціальний варіант програми-вимагача під назвою FakePenny, що використовувалася на організаціях аерокосмічної та оборонної галузей.

Аналітики Microsoft переконані, що поява нових хакерських груп свідчить про те, що північнокорейський режим розширює свою участь у діяльності програм-вимагачів, посилюючи використання інструментів кіберзлочинців для зміцнення своїх фінансових ресурсів та просування власних стратегічних інтересів.

Інша тактика хакерів КНДР — маскування під айтівців.

Тисячі працівників сфери IT, які працюють за контрактами з американськими компаніями, роками таємно надсилали мільйони доларів зі своєї заробітної плати до Північної Кореї для використання в її програмі балістичних ракет.

Міністерство юстиції США заявило, що ІТ-працівники, яких Північна Корея направила на роботу в компанії в Сент-Луїсі та інших містах США, використовували фальшиві документи, щоб отримати роботу. В Бюро повідомили про конфіскацію $1,5 млн і 17 доменних імен у межах розслідування, що триває.

Джей Грінберг, спеціальний агент, відповідальний за офіс ФБР у Сент-Луїсі, заявив, що будь-яка компанія, яка наймає позаштатних айтівців, «більш ніж ймовірно» наймає когось, хто бере участь у цій схемі.

«Ця схема настільки поширена, що компанії повинні бути пильними та перевіряти, кого вони наймають. Як мінімум, ФБР рекомендує роботодавцям вживати додаткових проактивних заходів щодо віддалених ІТ-працівників, щоб ускладнити приховування їхніх особистостей для зловмисників», — сказав Грінберг у пресрелізі.

Чиновники не назвали компанії, які несвідомо наймали північнокорейських працівників, і не сказали, коли почалася ця практика. У судових документах стверджується, що уряд Північної Кореї відправив тисячі кваліфікованих ІТ-працівників жити переважно в Китай і росію, щоб обманути компанії зі США та інших країн, для їхнього рекрутингу як позаштатних віддалених працівників.

Ці айтівці заробляли мільйони доларів на рік, які йшли на користь північнокорейських програм озброєнь. У деяких випадках північнокорейські працівники також проникали в комп’ютерні мережі й викрадали інформацію з компаній, які їх наймали.

Кіберзлочинці КНДР не відстають від світових трендів. На початку цього року компанія-розробник ChatGPT — OpenAI — підтвердила, що хакери, які працюють від імені Північної Кореї використовували послуги штучного інтелекту компанії «для підтримки зловмисної кібердіяльності». За словами представника південнокорейської розвідки, раніше Південна Корея вже виявляла північнокорейських хакерів, які використовували генеративний ШІ для атак на співробітників служб безпеки.

Lazarus Group

Скільки хакерів працює на КНДР? Точної цифри не знайти, враховуючи закритість країни. В матеріалих деяких ЗМІ кількарічної давнини фігурувало число в 6 000 кваліфікованих хакерів. При цьому Північна Корея витрачає від 10% до 20% свого військового бюджету саме на «операції в Інтернеті».

Хакери не з’явилися в КНДР на порожньому місці. Ще батько Кім Чен Ина — Кім Чен Ір (керував країною у 1994—2011 роках) — у 1980-х наказав навчати нові кадри «для підготовки до кібервійни».

Один з найпрестижніших навчальних закладів Північної Кореї, який має закритий характер і спеціалізується на технічній освіті та підготовці кадрів для урядових органів — університет Моранбон — відбирав найздібніших студентів з усієї країни і проводив з ними шестирічне спеціальне навчання по кіберсправі.

Серед хакерів Північної Кореї вже є свої «зірки». Перше місце серед них посідає Lazarus Group, пов’язана з північнокорейською військовою розвідкою. Вона стала сумнозвісною завдяки здійсненню гучних кібератак, а в останні роки змістила свій фокус саме на крадіжку криптовалют. Група відома під багатьма іменами у сфері кібербезпки, зокрема APT 38 та HIDDEN COBRA. 

Діяльність групи можна вести з середини 2000-их. Ось короткий огляд їхньої ранньої хакерської історії та еволюції:

— Операція Flame (2007): Одна з найперших відомих операцій. Вона була націлена на урядові системи Південної Кореї.

— Sony Pictures Hack (2014): Розрекламована атака у відповідь на сатиричний фільм «Інтерв’ю» про лідера Північної Кореї Кім Чен Ина.

— WannaCry Ransomware (2017): Найбільша атака так званго вірусу-здирника. Вона вразила понад 230 000 комп’ютерів у 150 країнах.

Крім цього Lazarus Group постійно докладає зусилля зі збору розвідувальної інформації про військові операції та технології та здійснює кібератаки на різні сектори південнокорейської економіки.

Ранні операції групи заявили про її майстерність. Вони були спрямовані на широке коло жертв — від розважальних фірм до об'єктів критичної інфраструктури.

Криптовразливість

Поступово Lazarus Group перейшла на крадіжи криптовалюти. На це є кілька причин:

— Незначне/відсутність регулювання крипторинку;

— Високий потенціал винагороди — викрадення великих сум за одну успішну атаку;

— Анонімність. Псевдонімна природа криптовалютних транзакцій дозволяє заплутати і приховати сліди.

Перший великий криптовзлам стався в липні 2017 року, коли Lazarus Group пограбувала південнокорейську біржу Bithumb Exchange, викравши за день криптоактивів на суму понад $7 млн. 

З 2021 по 2023 рік діяльність групи у Web 3.0 посилилася, в результаті чого в екосистемі було викрадено $1,9 млрд. Група зосередилася переважно на проєктах децентралізованих фінансів (або ж DeFi, колы використання блокчейну для надання традиційних фінансових послуг відбувається без участі посередників, таких як банки або брокери — ред.), на які припадає 83,8% атак. На платформи централізованого фінансування (CeFi) припало 16,2%.

Найбільші крадіжки криптовалют Lazarus Group виглядають так:

Тактика Lazarus Group під час крадіжок була різною і поступово еволюціонувала. Головним її прийомом можна назвати соціальну інженерію. 

Так, взлом мережі Ronin Network вартістю $625 млн був ініційований за допомогою фейкової пропозиції про роботу в LinkedIn для старшого інженера Axie Infinity. Під час злому Bithumb у 2017 році, який призвів до збитків у $7 млн, група використовувала фішингові електронні листи.

Потрапивши всередину, вони використовують своє становище для проведення атак.

Міжнародна реакція на дії північнокорейських хакерів включала санкції, правоохоронні заходи та співпрацю між країнами. ООН запровадила широкі санкції проти Північної Кореї, спрямовані на запобігання її ядерним амбіціям та джерелам фінансування.

США запровадили цільові санкції проти фізичних та юридичних осіб, пов’язаних з північнокорейськими кіберопераціями. Наприклад, у 2022 році Міністерство фінансів США запровадило санкції проти кількох північнокорейських хакерів та їхніх афілійованих осіб, щоб зруйнувати їхні фінансові мережі та запобігти майбутнім атакам.

Однак такі дії не заважають хакерам КНДР продовжувати свою роботу і надавати кошти для військової розбудови своєї країни.

Північна Корея в російсько-українській війні

У січні міністр оборони Південної Кореї Шин Вон Сік заявив, що Північна Корея може продати москві новий тип балістичних ракет на додаток до передбачуваного постачання балістичних ракет малої дальності.

В липні українська аеророзвідка виявила протитанковий ракетний комплекс Bulsae-4 з КНДР на одному з напрямків, коли він перебував на відкритій місцевості. Bulsae-4 — це далекобійний самохідний протитанковий ракетний комплекс. Точні характеристики Bulsae-4 невідомі, але його дальність ураження оцінюють в межах 10—25 кілометрів. Це дає можливість атакувати бронетехніку з безпечної відстані для самого комплексу. 

На днях Національна розвідувальна служба Південної Кореї підтвердила, що Північна Корея вже почала надсилати війська в росію для війни проти України. На початку серпня 2024 року розвідка Південної Кореї помітила, що Кім Чен Сік — перший заступник голови Міністерства боєприпасів і промисловості КНДР, що є ядром ракетних розробок, — разом з десятками північнокорейських офіцерів відвідав пусковий майданчик північнокорейської ракети КН-23 поблизу російсько-українського кордону.

Після цього розвідка уважно стежила за військовими пересуваннями КНДР. А в період з 8 до 13 жовтня вдалося зафіксувати перевезення північнокорейських спецпризначенців до росії, що підтверджує втягнення КНДР у війну проти України.

Раніше видання Kyiv Post повідомило, що через удар ЗСУ поруч з окупованим Донецьком загинули 6 північнокорейських офіцерів. Анонімний український чиновник заявив, що військові інженери з КНДР допомагають російським військам бити по Україні північнокорейськими балістичними ракетами KN-23.

Уже 8 жовтня міністр оборони Південної Кореї Кім Йон Хен сказав, що домовленості між росією і Північною Кореєю нагадують військовий альянс, тому є висока ймовірність, що військові з КНДР воюють на боці рф в Україні — і їхня кількість може збільшитись. За кілька днів президент Зеленський підтвердив, що Північна Корея постачає росії не лише зброю, але й особовий склад до військових сил.

США висловили стурбованість звістками про те, що північнокорейських військових можуть долучити до війни проти України на боці росії. У розвідці Естонії вважають, що участь північнокорейських солдатів у війні на боці рф не змінить ситуацію на фронті.

«За перший тиждень криптополювання на руc#ю знайшли 540 груп допомоги». Інтерв’ю з українським Містером, який досліджує потоки електронної валюти для спонсорування держави-терориста

По темi

«За перший тиждень криптополювання на руc#ю знайшли 540 груп допомоги». Інтерв’ю з українським Містером, який досліджує потоки електронної валюти для спонсорування держави-терориста

Окупанти почали використовувати північнокорейський ракетний комплекс Bulsae-4

По темi

Окупанти почали використовувати північнокорейський ракетний комплекс Bulsae-4

Тисячі північнокорейських айтівців, які віддалено працюють в американських компаніях, секретно відправляють свою зарплату на ракетну програму КНДР

По темi

Тисячі північнокорейських айтівців, які віддалено працюють в американських компаніях, секретно відправляють свою зарплату на ракетну програму КНДР

Читайте головні IT-новини країни в нашому Telegram

По темi

Читайте головні IT-новини країни в нашому Telegram