Недавно, согласно отчету, опубликованному компанией по кибербезопасности Recorded Future, Lazarus Group, хакерская группа, связанная с Северной Кореей, за последние шесть лет украла 3 миллиарда долларов в криптовалюте.

В отчете утверждается, что только в 2022 году Lazarus Group украла 1,7 миллиарда долларов в криптовалюте, вероятно, для финансирования северокорейских проектов.

Chainaanaанализ, компания по анализу данных блокчейна, заявила, что с платформ DeFi было украдено 1,1 миллиарда долларов. Министерство внутренней безопасности США опубликовало в сентябре отчет в рамках своей программы аналитического обмена (AEP), в котором также подчеркивалось использование Lazarus протоколов DeFi.

Специализация Lazarus Group — финансовое воровство. В 2016 году они взломали Центральный банк Бангладеш и украли 81 миллион долларов. В 2018 году они атаковали японскую криптовалютную биржу Coincheck, похитив $530 млн, и банк Negara Malaysia, похитив $390 млн.

К вашему сведению приведены основные моменты отчета о стоимости углеродной цепочки:

С 2017 года Северная Корея превратила криптоиндустрию в объект кибератак, похитив в общей сложности более 3 миллиардов долларов в криптовалюте. До этого Северная Корея захватила сеть SWIFT и украла средства финансовых учреждений. Этот вид деятельности привлек пристальное внимание международных агентств. Таким образом, финансовые учреждения инвестировали в улучшение собственной защиты от кибербезопасности.

Когда в 2017 году криптовалюты начали набирать популярность и становиться мейнстримом, северокорейские хакеры переключили свои цели воровства с традиционных финансов на этот новый тип цифровых финансов, сначала нацелившись на южнокорейский рынок криптовалют, а затем расширив свое влияние по всему миру.

Только в 2022 году северокорейские хакеры обвиняются в краже криптовалюты на сумму около 1,7 миллиарда долларов, что эквивалентно примерно 5% размера внутренней экономики Северной Кореи или 45% ее военного бюджета. Эта цифра также почти в 10 раз превышает стоимость экспорта Северной Кореи в 2021 году. Согласно данным сайта ОЭС, экспорт Северной Кореи в том году составил 182 миллиона долларов США.

То, как северокорейские хакеры действуют в криптоиндустрии с целью кражи криптовалюты, часто похоже на то, как действуют традиционные киберпреступники с использованием крипто-миксеров, межцепочных транзакций и фиатных OTC. Однако, если за этим стоит государство, воровство может масштабировать свою деятельность. Подобные операции невозможны для традиционных банд киберпреступников.

По данным отслеживания, примерно 44% украденных криптовалют в 2022 году были связаны со взломом Северной Кореи.

Цели северокорейских хакеров не ограничиваются биржами. Все эти учреждения, работающие в отрасли, и работающие там люди могут стать потенциальными целями для северокорейских хакеров, что позволит правительству Северной Кореи продолжать работать и собирать средства.

Любой пользователь, оператор биржи или основатель стартапа, работающий в криптоиндустрии, должен осознавать возможность стать жертвой хакеров.

Традиционным финансовым институтам также следует обратить пристальное внимание на деятельность северокорейских хакерских групп. После того как криптовалюта украдена и конвертирована в бумажную валюту, северокорейские хакеры перемещают средства между разными счетами, чтобы скрыть источник. Зачастую украденные личные данные и измененные фотографии используются для обхода проверки AML/KYC. Личная информация (PII) любого, кто стал жертвой взлома, связанного с северокорейской хакерской командой, может быть использована для регистрации учетных записей для завершения процесса отмывания денег, связанного с кражей криптовалюты. Таким образом, компании, работающие за пределами криптовалютной и традиционной финансовой отраслей, также должны опасаться деятельности северокорейских хакерских групп и того, используются ли их данные или инфраструктура в качестве плацдарма для дальнейших вторжений.

Большинство вторжений северокорейских хакерских групп начинаются с социальной инженерии и фишинговых кампаний. Некоторым организациям следует обучать сотрудников отслеживать такую ​​деятельность и внедрять надежную многофакторную аутентификацию, например беспарольную аутентификацию, соответствующую требованиям FIDO2.

Большинство вторжений северокорейских хакерских групп начинаются с социальной инженерии и фишинговых кампаний. Некоторым организациям следует обучать сотрудников отслеживать такую ​​деятельность и внедрять надежную многофакторную аутентификацию, например беспарольную аутентификацию, соответствующую требованиям FIDO2.

Северная Корея явно рассматривает продолжающееся хищение криптовалют как основной источник доходов для финансирования своих военных и оружейных программ. Хотя неясно, какая часть украденной криптовалюты была использована непосредственно для финансирования запусков баллистических ракет, очевидно, что количество украденной криптовалюты, а также количество запусков ракет значительно увеличилось за последние годы. Без более строгих правил, требований кибербезопасности и инвестиций в кибербезопасность криптовалютных компаний Северная Корея почти наверняка продолжит полагаться на криптовалютную индустрию как на источник дополнительных доходов для поддержки государства.

12 июля 2023 года американская компания-разработчик корпоративного программного обеспечения JumpCloud объявила, что хакер, поддерживаемый Северной Кореей, проник в ее сеть. Позже исследователи Mandiant опубликовали отчет, в котором указано, что за атаку ответственна группа UNC4899, что, вероятно, соответствует «Trader Traitor», северокорейской хакерской группе, занимающейся криптовалютой. По состоянию на 22 августа 2023 года ФБР опубликовало уведомление, в котором говорилось, что северокорейские хакерские группы использовали Atomic Wallet, Alphapo и CoinsPaid в хакерских атаках, похитив в общей сложности 197 миллионов долларов США в криптовалюте. Кража этих криптовалют позволяет правительству Северной Кореи продолжать действовать в условиях строгих международных санкций и финансировать до 50% стоимости своей программы баллистических ракет.

В 2017 году северокорейские хакеры взломали южнокорейские биржи Bithumb, Youbit и Yapizon, похитив криптовалюту на сумму около 82,7 миллиона долларов на тот момент. Есть также сообщения о том, что пользователи криптовалюты также стали жертвами после утечки личной информации клиентов пользователей Bithumb в июле 2017 года.

Помимо кражи криптовалют, северокорейские хакеры также научились их добывать. В апреле 2017 года исследователи «Лаборатории Касперского» обнаружили программное обеспечение для майнинга Monero, установленное во время взлома APT38.

В январе 2018 года исследователи из Института финансовой безопасности Южной Кореи объявили, что летом 2017 года северокорейская организация Andariel вторглась на сервер неизвестной компании и использовала его для майнинга примерно 70 монет Monero стоимостью примерно 25 000 долларов на тот момент.

В 2020 году исследователи безопасности продолжали сообщать о новых кибератаках северокорейских хакеров, нацеленных на индустрию криптовалют. Северокорейская хакерская группа APT38 нацелена на криптовалютные биржи в США, Европе, Японии, России и Израиле, используя Linkedin в качестве первоначального метода связи с целями.

2021 год стал самым плодотворным годом в Северной Корее для криптовалютной индустрии: северокорейские хакеры взломали как минимум семь криптовалютных учреждений и украли криптовалюту на сумму 400 миллионов долларов. Кроме того, северокорейские хакеры начали атаковать альткойны, включая токены ERC-20 и NFT.

В январе 2022 года исследователи Chainaанализ подтвердили, что с 2017 года осталось выкупить криптовалюту на сумму 170 миллионов долларов.

Известные атаки, приписываемые APT38 в 2022 году, включают кроссчейн-мост Ronin Network (потеря 600 миллионов долларов США), мост Harmony (потеря 100 миллионов долларов США), мост Qubit Finance (потеря 80 миллионов долларов США) и мост Nomad (потеря 100 миллионов долларов США). 190 миллионов долларов). Эти четыре атаки были конкретно нацелены на перекрестные мосты этих платформ. Межцепочные мосты соединяют 2 блокчейна, позволяя пользователям отправлять одну криптовалюту из одного блокчейна в другой, содержащий другую криптовалюту.

В октябре 2022 года Национальное полицейское управление Японии объявило, что Lazarus Group осуществила атаки на компании, работающие в криптовалютной индустрии Японии. Хотя никаких конкретных подробностей предоставлено не было, в заявлении отмечалось, что некоторые компании были успешно скомпрометированы и украдены криптовалюты.

В период с января по август 2023 года APT38 предположительно похитил $200 млн у Atomic Wallet (две атаки с общими потерями в $100 млн), AlphaPo (две атаки с общими потерями в $60 млн) и CoinsPaid (37 млн ​​убытков). Также в январе ФБР США подтвердило, что APT38 потеряла 100 миллионов долларов в результате кражи виртуальной валюты Horizon Bridge компании Harmony.

В ходе атаки на CoinsPaid в июле 2023 года операторы APT38, возможно, выдавали себя за рекрутеров и отправляли электронные письма о приеме на работу и сообщения LinkedIn, специально нацеленные на сотрудников CoinsPaid. CoinsPaid сообщила, что APT38 потратила шесть месяцев, пытаясь получить доступ к своей сети.

Меры по смягчению последствий

Вот несколько советов, как защититься от мошенничества в социальных сетях: