Північнокорейські хакери здійснили безпрецедентну крадіжку криптовалюти на суму 1,5 мільярда доларів в одній атаці, що стало найбільшим хакерським злочином у сфері цифрових активів, повідомляє CNN з посиланням на експертів з кібербезпеки.

Ця атака не лише завдала удару по одній з найбільших криптобірж світу, а й стала черговим нагадуванням про роль кібератак у фінансуванні санкційного режиму КНДР. Викрадені кошти, за оцінками експертів, можуть бути спрямовані на підтримку ракетної програми країни. Подія також ставить перед міжнародною спільнотою та новою адміністрацією Дональда Трампа питання: як ефективніше протидіяти хакерським загрозам з боку Північної Кореї?

Детальніше про кібератаку північнокорейських хакерів – читайте в матеріалі 24 Каналу.

Мішенню атаки стала криптобіржа Bybit, яка заявляє, що є другою за величиною у світі та обслуговує понад 40 мільйонів користувачів.

За лічені хвилини в п'ятницю, 21 лютого, зловмисники викрали суму, що дорівнює значній частині офіційного ВВП Північної Кореї. А вже на вихідних хакери почали відмивати близько 160 мільйонів доларів через серію рахунків, пов’язаних із північнокорейськими операторами, повідомила компанія TRM Labs, що спеціалізується на відстеженні криптотранзакцій. Фахівці зазначають, що ця крадіжка майже подвоїла загальну суму криптовалют, викрадених Північною Кореєю за минулий рік.

Читайте також Китай проти США: як і чому дешеві китайські DeepSeek і Qwen від Alibaba захоплюють ринок ШІ

Генеральний директор Bybit Бен Чжоу запевнив клієнтів, що компанія зможе покрити втрати, й наголосив, що біржа тісно співпрацює з регуляторами та правоохоронцями для розслідування інциденту.

Як мовиться у звіті Crypto Crime Report 2025, у 2023 році афілійовані з КНДР кіберзлочинці викрали 660,5 мільйонів доларів у 20 атаках, а у 2024 році ця сума зросла до 1,34 мільярда доларів через 47 атак – приріст на 102,88%. В одному лише випадку з Bybit зловмисники вкрали на 160 мільйонів доларів більше, ніж усі хакерські групи КНДР за весь 2024 рік.

Основний сценарій дій кіберзлочинців залишився незмінним: соціальна інженерія, складні схеми відмивання та спроби уникнення виявлення. Викрадені з Bybit кошти опинилися на адресах, які вже використовувалися у попередніх атаках, що ще більше підтверджує причетність північнокорейських хакерів.

Етапи атаки були такі:

  • Компрометація через соціальну інженерію. Хакери проникли в систему Bybit, використовуючи фішингові атаки на підписантів холодних гаманців. Це дозволило їм підмінити оригінальний контракт багатопідписного гаманця на шкідливий.
  • Несанкціоновані транзакції. У момент планового переказу активів із холодного гаманця Bybit на гарячий гаманець хакери перехопили процес і перенаправили приблизно 401 000 ETH (на той момент близько 1,5 мільярда доларів) на власні адреси.
  • Розпорошення активів через посередницькі гаманці. Викрадені кошти пройшли через складну мережу проміжних адрес, щоб ускладнити відстеження.
  • Конвертація та відмивання. Частина ETH була обміняна на BTC і DAI через децентралізовані біржі (DEX), міжмережеві мости та сервіси миттєвого обміну без KYC.
  • Стратегічне "заморожування" активів. Значна частина коштів залишається на різних адресах. Це поширена тактика хакерів КНДР: вони відкладають процес відмивання, щоб зменшити увагу до транзакцій після резонансного злому.

До теми Китай, мемкоїн і TikTok: як другий прихід Трампа до влади вже змінює світ крипти та технологій

Цей випадок став першим серйозним випробуванням для нової адміністрації Дональда Трампа в питанні стримування кіберзлочинності КНДР. Особливо в аспекті нацбезпеки.

Ми ніколи не бачили крадіжки такого масштабу. Здатність цих нелегальних фінансових мереж так швидко обробляти такі величезні суми викликає серйозне занепокоєння,
– цитує CNN Ніка Карлсена, колишнього аналітика ФБР, який нині працює в TRM Labs.

За даними американських і південнокорейських спецслужб, хакерські угруповання Північної Кореї є ключовим джерелом фінансування режиму, який перебуває під жорсткими міжнародними санкціями.

За останні роки північнокорейські хакери викрали мільярди доларів у банків і криптовалютних компаній, зазначається у звітах ООН та незалежних дослідницьких компаній. За оцінками Білого дому, приблизно половина ракетної програми КНДР фінансується коштом таких цифрових крадіжок.

Цікаво! Після введення жорстких економічних санкцій у 2017 році, які заборонили експорт північнокорейських товарів, зокрема вугілля та текстилю, КНДР була змушена шукати альтернативні джерела фінансування. Обмеження стали відповіддю на продовження ядерних випробувань країни. Саме тоді Пхеньян почав активно розвивати кіберзлочинність, зокрема злам криптовалютних платформ.

Криптовалюта стала ідеальним інструментом для таких операцій, адже це децентралізована технологія – немає банку чи регулятора, який міг би зупинити переміщення коштів або заморозити гаманець (хоча, наприклад, емітент стейблкоїна Tether має можливість блокувати санкційні адреси).

За даними розвідувальних служб Південної Кореї, з 2017 року Північна Корея викрала криптовалюту та інші віртуальні активи на суму близько 1,2 мільярда доларів. Ці кошти використовуються для підтримки економіки країни та фінансування її ядерної програми, попри міжнародні санкції та економічні обмеження. ​

У 2024 році північнокорейські хакери викрали криптовалюту на суму 1,34 мільярда доларів, що становить дві третини від загального обсягу глобальних криптокрадіжок за цей період. Такі обсяги свідчать про висхідну активність та майстерність північнокорейських кіберзлочинців у цій сфері. ​

Читайте також Феномен RedNote: що це таке, чим відрізняється від TikTok і чому стає популярною в США

Група Lazarus, відома своїми масштабними кібератаками, відповідальна за значні крадіжки, які спрямовуються на фінансування ракетних та ядерних програм Пхеньяна. Крім того, відома роль режиму КНДР у підтримці інших агресорів, зокрема Росії, в обмін на грошові кошти та технології. ​

Ці кібератаки стали важливим джерелом доходу для Північної Кореї, дозволяючи країні обходити міжнародні санкції та забезпечувати фінансування своїх військових програм.

На відміну від більшості державних хакерських угруповань, які займаються шпигунством або саботажем, північнокорейська група Lazarus із 2009 року активно займається крадіжками коштів. Кіберзлочинність стала для Пхеньяна інструментом наповнення держбюджету після запровадження жорстких санкцій у 2017 році. Відтоді хакери атакують банки, криптовалютні біржі та поширюють вірус-здирник WannaCry.

Lazarus отримала світову славу після атак на Sony Pictures у 2014 році та Центральний банк Бангладеш у 2016-му, коли хакери вкрали 81 мільйон доларів. У 2017 році вони розповсюдили вірус-здирник WannaCry, який уразив 200 тисяч комп'ютерів у 150 країнах та завдав збитків на мільярди доларів.

У Північній Кореї інтернет повністю контролюється урядом, а майбутніх хакерів починають відбирати ще з 11 років. Для навчання вони відправляються до Китаю, де знайомляться з технологіями перед тим, як почати працювати на режим. Lazarus самостійно розробляє шкідливе ПЗ, використовує передові методи злому та залишає свою присутність у системах якомога довше.

На відміну від російських угруповань, які часом йдуть на поступки під тиском Заходу, північнокорейські хакери діють безстрашно, адже працюють безпосередньо в інтересах режиму та не бояться покарання.

У 2020 році міністерство юстиції США висунуло звинувачення трьом північнокорейським хакерам у викраденні 1,3 мільярда доларів. Проте через підтримку уряду реальних арештів або судових процесів навряд чи варто очікувати. Кібератаки стали одним із головних джерел доходу для КНДР, а отже, світ не позбудеться Lazarus ще довгий час.

Після великих зламів північнокорейські оператори намагаються переказати викрадені кошти до Пхеньяна. Відмивання грошей зазвичай проходить через серію обмінів між різними криптовалютами, перш ніж вони конвертуються в долари США або китайські юані.

Правоохоронці США та Південної Кореї мають лише кілька хвилин, щоб відстежити та заморозити частину викрадених активів. Раніше CNN повідомляла про подібну операцію, під час якої вдалося повернути 1 мільйон доларів із викрадених 100 мільйонів у каліфорнійської криптовалютної компанії.

Наразі розслідувачі намагаються заблокувати частину викрадених 1,5 мільярда доларів. Група експертів з кібербезпеки вже допомогла повернути 43 мільйони доларів. Ще 243 тисячі вдалося вилучити іншій компанії з відстеження криптовалют Elliptic.

Bybit оголосила, що винагородить експертів, які сприятимуть поверненню коштів, надавши їм 10% від відновленої суми.

В експертному середовищі наголошують, що світ потребує радикальніших заходів для боротьби з кіберзлочинами КНДР: "Поточна стратегія урядів і криптоіндустрії явно не працює. Необхідно переглянути підходи, щоб стримати та покарати Північну Корею за ці атаки", – підкреслив Нік Карлсен.