Бен Чжоу, владелец дубайской криптовалютной биржи Bybit, вспомнил, что 21 февраля был обычным днем. Перед сном он одобрил перевод средств между счетами компании — «типичную операцию», выполняемую при предоставлении услуг более чем 60 миллионам пользователей по всему миру. Через полчаса ему позвонили. «Бен, возникла проблема», — сказал его финансовый директор дрожащим голосом. «Возможно, нас взломали… весь Ethereum исчез».

Независимые следователи и ФБР быстро указали на знакомого виновника: Северную Корею. Хакеры из «Королевства-отшельника» стали одной из самых больших угроз для криптоиндустрии и важным источником дохода для северокорейского режима, помогая ему отражать международные санкции, контролировать свою элиту и финансировать свои программы по созданию ракет и ядерного оружия.

По данным компании Chainalysis, занимающейся расследованием криптовалют, в 2023 году северокорейские хакеры похитили в общей сложности 661 миллион долларов США; в 2024 году сумма краж удвоилась, и в результате 47 краж было похищено в общей сложности 1,34 миллиарда долларов США, что составляет более 60% от общей суммы украденной криптовалюты по всему миру.

Кража с ByBit показывает, что хакеры становятся все более опытными и амбициозными: в ходе одной атаки Северная Корея похитила с биржи сумму, эквивалентную 1,5 миллиардам долларов, что стало крупнейшей кражей в истории криптовалют.

Истоки кибервойск Северной Кореи

Нападение Северной Кореи стало кульминацией десятилетий работы. Первые в стране школы компьютерных наук появились как минимум в 1980-х годах. Война в Персидском заливе помогла режиму осознать важность кибертехнологий для современной войны. Тхэ Ён Хо, высокопоставленный северокорейский дипломат, бежавший в 2016 году, рассказал, что одаренных учеников-математиков отправляют в специальные школы и освобождают от ежегодных обязательных работ в сельской местности. Кибервойска Северной Кореи изначально задумывались как инструменты шпионажа и саботажа, но в середине 2010-х годов начали сосредотачиваться на киберпреступности. Говорят, что Ким Чен Ын назвал кибервойну «универсальным мечом».

Криптоатаки и отмывание денег

Кража криптовалюты включает два основных этапа. Первый этап — взлом целевой системы — эквивалент поиска подземного хода к банковскому хранилищу. Фишинговые письма могут содержать вредоносный код. Северокорейские агенты выдавали себя за вербовщиков, чтобы обманом заставить разработчиков программного обеспечения открыть зараженные файлы во время поддельных собеседований при приеме на работу. Другой метод — использовать поддельное удостоверение личности для получения удаленной работы в сфере ИТ в иностранной компании, что может стать первым шагом к доступу к учетной записи. «Они очень хороши в поиске уязвимостей с помощью социальной инженерии», — сказал Эндрю Фирман из Chainalysis. В случае с ByBit хакеры взломали компьютеры разработчиков, работающих на поставщика программного обеспечения для цифровых кошельков.

После кражи криптовалюту необходимо отмыть. Грязные деньги распределяются по нескольким цифровым кошелькам, смешиваются с чистыми средствами и переводятся между различными криптовалютами. Этот процесс в отрасли известен как «смешивание монет» и «переход между цепочками». «Это самые изощренные отмыватели криптовалют, с которыми мы когда-либо сталкивались», — сказал Том Робинсон из аналитической компании блокчейна Elliptic. В конце концов, украденные средства нужно вывести.

Достичь этого может помочь растущее число подпольных служб, многие из которых связаны с организованной преступностью. Перехваты и блокпосты со стороны правоохранительных органов привели к сокращению общего дохода, но Ник Карлсен, бывший аналитик ФБР, ныне работающий в компании TRM Labs, занимающейся блокчейн-разведкой, заявил, что Северная Корея может рассчитывать на получение «определенно 80, а может быть, и 90 процентов» украденных ею средств.

Почему Северная Корея так преуспела в краже криптовалюты

Почему Северная Корея так преуспела в краже криптовалюты

У Северной Кореи есть несколько преимуществ. Один из них — талант. Это может показаться нелогичным: страна крайне бедна, а у простых людей нет доступа к Интернету или даже компьютерам. Но «Северная Корея может выбрать лучших специалистов и сказать им, что делать», — сказал Ким Сын Чжу из Корейского университета в Сеуле. «Им не нужно беспокоиться о том, что они будут работать в Samsung». На Международном студенческом конкурсе программирования 2019 года команда из северокорейского университета заняла восьмое место, обойдя команды из Кембриджа, Гарварда, Оксфорда и Стэнфорда.

Эти таланты также нашли применение. Северокорейские хакеры работают круглосуточно. Они были необычайно смелы в своих атаках. Большинство государственных деятелей стараются избегать дипломатической реакции и «ведут себя так, как будто они в «Одиннадцати друзьях Оушена»: надевают белые перчатки, тихо входят, крадут королевские драгоценности и тихо уходят», — сказала Дженни Джун из Технологического института Джорджии. Северная Корея «не ценит секретность — они не боятся издавать громкие звуки».

Что Северная Корея делает с украденными криптовалютами

Для северокорейского режима украденная криптовалюта стала спасательным кругом, особенно с учетом того, что международные санкции и пандемия коронавируса ограничили и без того ограниченную торговлю. Кража криптовалюты — более эффективный способ заработать твердую валюту, чем традиционные источники твердой валюты, такие как зарубежная рабочая сила или нелегальные наркотики. Группа экспертов ООН (UNPE), осуществляющая мониторинг, в 2023 году сообщила, что на киберкражи приходится половина валютных поступлений Северной Кореи. Стоимость цифровых краж Северной Кореей в прошлом году более чем в три раза превысила стоимость ее экспорта в Китай. «Чтобы добиться чего-то, что могут повторить всего несколько десятков человек, нужны миллионы рабочих», — сказал г-н Карлсон.

Эти средства помогают поддерживать северокорейский режим. Твердая валюта используется для покупки предметов роскоши, чтобы держать элиту под контролем. Его также используют при производстве оружия. Предполагается, что значительная часть украденной криптовалюты Северной Кореи пошла на ее программы по созданию ракет и ядерного оружия.

Будут ли в будущем еще хакерские атаки со стороны Северной Кореи?

Специалисты по расследованию преступлений, связанных с криптовалютами, совершенствуют методы отслеживания украденных средств в блокчейне. Крупные криптовалютные биржи и эмитенты стейблкоинов часто сотрудничают с правоохранительными органами с целью заморозки украденных средств. В 2023 году США, Япония и Южная Корея объявили о проведении совместной операции по борьбе с северокорейской киберпреступностью. Соединенные Штаты ввели санкции против нескольких поставщиков услуг по микшированию криптовалют, используемых Северной Кореей.

Однако власти все еще на шаг отстают. После того, как США ввели санкции против популярных северокорейских криптовалютных миксеров, хакеры обратились к другим компаниям, предлагающим аналогичные услуги. Решение этой проблемы требует многосторонних усилий правительств и частного сектора, однако такое сотрудничество дает сбой. В прошлом году Россия использовала свое право вето в Организации Объединенных Наций, чтобы упразднить Комиссию ООН по возможностям кибербезопасности. Действия президента Дональда Трампа по сокращению помощи США в целях развития нанесли удар по программам, направленным на наращивание потенциала кибербезопасности уязвимых стран.

Северная Корея, напротив, вкладывает все больше ресурсов в борьбу с киберпреступностью. По оценкам южнокорейской разведки, численность киберпреступников в Северной Корее выросла с 6800 человек в 2022 году до 8400 человек в прошлом году. Абишек Шарма из индийского аналитического центра Observer Research Foundation заявил, что у Северной Кореи становится все более «богатая среда для таргетинга», поскольку индустрия криптовалют расширяется в странах со слабым регулированием. Г-н Шарма отметил, что в прошлом году Северная Корея атаковала биржи в Индии и Индонезии.

Хорошо известно, что Северная Корея уже использует ИИ в своих операциях. Инструменты искусственного интеллекта могут помочь сделать фишинговые письма более убедительными и упростить их создание в больших масштабах на нескольких языках. Они также могут облегчить проникновение в компанию удаленных ИТ-сотрудников. Плохие дни, подобные тем, что пережил господин Чжоу из Bybit, скорее всего, станут более частыми.