Поддерживаемые государством хакеры Северной Кореи побили рекорды в 2024 году, украв криптовалюту на сумму $1,34 млрд всего за 47 атак. Это более чем вдвое превышает $660,5 млн, которые они украли за 20 инцидентов в 2023 году, согласно новому отчету Chainalysis.

На долю этих цифровых воров теперь приходится 61% всех украденных криптовалют в мире в этом году, что закрепляет за Пхеньяном место главного игрока в криптопреступности. Американские и международные чиновники предупреждают, что эти украденные средства финансируют ракетные и оружейные программы Северной Кореи, обходя санкции и ставя под угрозу глобальную безопасность.

Время между успешными взломами резко сократилось, особенно для высокоценных атак на сумму 50 миллионов долларов и более. Кибероперативы Пхеньяна изменили свою стратегию, сосредоточив внимание на крупномасштабных кражах, сохраняя при этом стабильный поток небольших операций на сумму около 10,000 долларов.

Использование кражи криптовалюты с внутренним проникновением

Тактики, которые используют эти хакеры, являются мастер-классом в обмане. Все чаще северокорейские IT-работники проникают в легитимные компании, используя возможности удаленной работы для внедрения в сети. Они выдают себя за высококвалифицированных специалистов, используя поддельные личности и сомнительных посредников, чтобы получить работу.

Оказавшись внутри, они крадут конфиденциальную информацию и даже воруют непосредственно из счетов компаний. Министерство юстиции США недавно предъявило обвинение 14 северокорейцам, которые осуществили эту схему, украдя 88 миллионов долларов, выдавая себя за сотрудников американских компаний.

Широкая картина еще более мрачная. Киберпреступники Пхеньяна нацеливаются не только на компании, но и на саму инфраструктуру мира криптовалют. В одном из самых дерзких взломов года они атаковали японскую биржу DMM Bitcoin, украдя 4,502.9 Bitcoin—стоимостью 305 миллионов долларов на тот момент.

Эксплуатируя слабости инфраструктуры обмена, они прокладывали украденные активы через миксеры и межсетевые мосты, делая их почти невозможными для отслеживания. Последствия заставили DMM Bitcoin закрыться, передав свои операции на другой обмен под крупным финансовым конгломератом.

Этот вид атаки не редкость. Хакеры Северной Кореи используют продвинутое вредоносное ПО, схемы фишинга и социальную инженерию, чтобы получить доступ к системам.

Они буквально совершенствовали искусство перемещения украденных средств через сложные схемы отмывания, часто используя сервисы смешивания CoinJoin и obscure онлайн-рынки, чтобы скрыть следы денег.

Изменение стратегии после июля

Первая половина 2024 года увидела, как хакеры Пхеньяна действовали на полную мощность, но их активность резко снизилась после высокопрофильного саммита в конце июня. Президент России Владимир Путин и верховный лидер Северной Кореи Ким Чен Ын встретились в Пхеньяне, чтобы подписать pact о взаимной обороне.

В отчете говорится, что вскоре после этого произошло резкое падение стоимости, украденной северокорейскими хакерами—снизившись на 53.73% во второй половине года по сравнению с первой. Тем временем, количество атак, не связанных с Северной Кореей, немного увеличилось.

Аналитики осторожны в установлении прямой связи между саммитом и замедлением атак, но стоит признать, что время трудно игнорировать. Россия освободила миллионы долларов замороженных северокорейских активов примерно в тот же период, потенциально предоставляя Пхеньяну альтернативные источники финансирования.

С другой стороны, Северная Корея направила войска в Украину и, как сообщается, искала передовые военные технологии у Москвы, так что ее ресурсы могли быть перенаправлены на конфликт.

От нуля до Web3 Про: Ваш 90-дневный план запуска карьеры