Укр Рус
24 Канал Статьи Ограбление века: как хакеры КНДР воруют миллиарды крипты для финансирования ракет и оружия
28 февраля, 12:00
8

Ограбление века: как хакеры КНДР воруют миллиарды крипты для финансирования ракет и оружия

Лев Шевченко
Хакеры из КНДР Хакеры из КНДР

Северокорейские хакеры совершили беспрецедентную кражу криптовалюты на сумму 1,5 миллиарда долларов в одной атаке, что стало крупнейшим хакерским преступлением в сфере цифровых активов, сообщает CNN со ссылкой на экспертов по кибербезопасности.

Эта атака не только нанесла удар по одной из крупнейших криптобирж мира, но и стала очередным напоминанием о роли кибератак в финансировании санкционного режима КНДР. Похищенные средства, по оценкам экспертов, могут быть направлены на поддержку ракетной программы страны. Событие также ставит перед международным сообществом и новой администрацией Дональда Трампа вопрос: как эффективнее противодействовать хакерским угрозам со стороны Северной Кореи?

Подробнее о кибератаке северокорейских хакеров – читайте в материале 24 Канала.

Удар по Bybit: крупнейшее криптовалютное преступление

Мишенью атаки стала криптобиржа Bybit, которая заявляет, что является второй по величине в мире и обслуживает более 40 миллионов пользователей.

За считанные минуты в пятницу, 21 февраля, злоумышленники похитили сумму, равную значительной части официального ВВП Северной Кореи. А уже на выходных хакеры начали отмывать около 160 миллионов долларов через серию счетов, связанных с северокорейскими операторами, сообщила компания TRM Labs, специализирующаяся на отслеживании криптотранзакций. Специалисты отмечают, что эта кража почти удвоила общую сумму криптовалют, похищенных Северной Кореей за прошлый год.

Читайте также Китай против США: как и почему дешевые китайские DeepSeek и Qwen от Alibaba захватывают рынок ИИ

Генеральный директор Bybit Бен Чжоу заверил клиентов, что компания сможет покрыть потери, и подчеркнул, что биржа тесно сотрудничает с регуляторами и правоохранителями для расследования инцидента.

Как говорится в отчете Crypto Crime Report 2025, в 2023 году аффилированные с КНДР киберпреступники похитили 660,5 миллионов долларов в 20 атаках, а в 2024 году эта сумма выросла до 1,34 миллиарда долларов через 47 атак – прирост на 102,88%. В одном только случае с Bybit злоумышленники украли на 160 миллионов долларов больше, чем все хакерские группы КНДР за весь 2024 год.

Основной сценарий действий киберпреступников остался неизменным: социальная инженерия, сложные схемы отмывания и попытки избежать обнаружения. Похищенные с Bybit средства оказались на адресах, которые уже использовались в предыдущих атаках, что еще больше подтверждает причастность северокорейских хакеров.

Этапы атаки были следующие:

  • Компрометация через социальную инженерию. Хакеры проникли в систему Bybit, используя фишинговые атаки на подписчиков холодных кошельков. Это позволило им подменить оригинальный контракт многоподписного кошелька на вредоносный.
  • Несанкционированные транзакции. В момент планового перевода активов с холодного кошелька Bybit на горячий кошелек хакеры перехватили процесс и перенаправили примерно 401 000 ETH (на тот момент около 1,5 миллиарда долларов) на собственные адреса.
  • Распыление активов через посреднические кошельки. Похищенные средства прошли через сложную сеть промежуточных адресов, чтобы усложнить отслеживание.
  • Конвертация и отмывание. Часть ETH была обменяна на BTC и DAI через децентрализованные биржи (DEX), межсетевые мосты и сервисы мгновенного обмена без KYC.
  • Стратегическое "замораживание" активов. Значительная часть средств остается на разных адресах. Это распространенная тактика хакеров КНДР: они откладывают процесс отмывания, чтобы уменьшить внимание к транзакциям после резонансного взлома.

К теме Китай, мемкоин и TikTok: как второй приход Трампа к власти уже меняет мир крипты и технологий

При чем здесь ракетная программа КНДР

Этот случай стал первым серьезным испытанием для новой администрации Дональда Трампа в вопросе сдерживания киберпреступности КНДР. Особенно в аспекте нацбезопасности.

Мы никогда не видели кражи такого масштаба. Способность этих нелегальных финансовых сетей так быстро обрабатывать такие огромные суммы вызывает серьезное беспокойство,
– цитирует CNN Ника Карлсена, бывшего аналитика ФБР, ныне работающего в TRM Labs.

По данным американских и южнокорейских спецслужб, хакерские группировки Северной Кореи являются ключевым источником финансирования режима, находящегося под жесткими международными санкциями.

За последние годы северокорейские хакеры похитили миллиарды долларов у банков и криптовалютных компаний, отмечается в отчетах ООН и независимых исследовательских компаний. По оценкам Белого дома, примерно половина ракетной программы КНДР финансируется за счет таких цифровых краж.

Интересно! После введения жестких экономических санкций в 2017 году, которые запретили экспорт северокорейских товаров, в частности угля и текстиля, КНДР была вынуждена искать альтернативные источники финансирования. Ограничения стали ответом на продолжение ядерных испытаний страны. Именно тогда Пхеньян начал активно развивать киберпреступность, в частности взлом криптовалютных платформ.

Криптовалюта стала идеальным инструментом для таких операций, ведь это децентрализованная технология – нет банка или регулятора, который мог бы остановить перемещение средств или заморозить кошелек (хотя, например, эмитент стейблкоина Tether имеет возможность блокировать санкционные адреса).

По данным разведывательных служб Южной Кореи, с 2017 года Северная Корея украла криптовалюту и другие виртуальные активы на сумму около 1,2 миллиарда долларов. Эти средства используются для поддержания экономики страны и финансирования ее ядерной программы, несмотря на международные санкции и экономические ограничения.

В 2024 году северокорейские хакеры похитили криптовалюту на сумму 1,34 миллиарда долларов, что составляет две трети от общего объема глобальных криптокраж за этот период. Такие объемы свидетельствуют о растущей активности и мастерстве северокорейских киберпреступников в этой сфере.

Читайте также Феномен RedNote: что это такое, чем отличается от TikTok и почему становится популярной в США

Группа Lazarus, известная своими масштабными кибератаками, ответственна за значительные кражи, которые направляются на финансирование ракетных и ядерных программ Пхеньяна. Кроме того, известна роль режима КНДР в поддержке других агрессоров, в частности России, в обмен на денежные средства и технологии.

Эти кибератаки стали важным источником дохода для Северной Кореи, позволяя стране обходить международные санкции и обеспечивать финансирование своих военных программ.

Что известно о Lazarus

В отличие от большинства государственных хакерских группировок, которые занимаются шпионажем или саботажем, северокорейская группа Lazarus с 2009 года активно занимается кражами средств. Киберпреступность стала для Пхеньяна инструментом наполнения госбюджета после введения жестких санкций в 2017 году. С тех пор хакеры атакуют банки, криптовалютные биржи и распространяют вирус-вымогатель WannaCry.

Lazarus получила мировую славу после атак на Sony Pictures в 2014 году и Центральный банк Бангладеш в 2016-м, когда хакеры украли 81 миллион долларов. В 2017 году они распространили вирус-вымогатель WannaCry, который поразил 200 тысяч компьютеров в 150 странах и нанес ущерб на миллиарды долларов.

В Северной Корее интернет полностью контролируется правительством, а будущих хакеров начинают отбирать еще с 11 лет. Для обучения они отправляются в Китай, где знакомятся с технологиями перед тем, как начать работать на режим. Lazarus самостоятельно разрабатывает вредоносное ПО, использует передовые методы взлома и оставляет свое присутствие в системах как можно дольше.

В отличие от российских группировок, которые порой идут на уступки под давлением Запада, северокорейские хакеры действуют бесстрашно, ведь работают непосредственно в интересах режима и не боятся наказания.

В 2020 году министерство юстиции США выдвинуло обвинения трем северокорейским хакерам в похищении 1,3 миллиарда долларов. Однако из-за поддержки правительства реальных арестов или судебных процессов вряд ли стоит ожидать. Кибератаки стали одним из главных источников дохода для КНДР, а значит, мир не избавится от Lazarus еще долгое время.

Как Пхеньян отмывает криптовалюту

После крупных взломов северокорейские операторы пытаются перевести похищенные средства в Пхеньян. Отмывание денег обычно проходит через серию обменов между различными криптовалютами, прежде чем они конвертируются в доллары США или китайские юани.

Правоохранители США и Южной Кореи имеют всего несколько минут, чтобы отследить и заморозить часть похищенных активов. Ранее CNN сообщала о подобной операции, во время которой удалось вернуть 1 миллион долларов из похищенных 100 миллионов у калифорнийской криптовалютной компании.

Сейчас расследователи пытаются заблокировать часть украденных 1,5 миллиарда долларов. Группа экспертов по кибербезопасности уже помогла вернуть 43 миллиона долларов. Еще 243 тысячи удалось изъять другой компании по отслеживанию криптовалют Elliptic.

Bybit объявила, что вознаградит экспертов, которые будут способствовать возврату средств, предоставив им 10% от восстановленной суммы.

В экспертной среде отмечают, что мир нуждается в более радикальных мерах для борьбы с киберпреступлениями КНДР: "Текущая стратегия правительств и криптоиндустрии явно не работает. Необходимо пересмотреть подходы, чтобы сдержать и наказать Северную Корею за эти атаки", – подчеркнул Ник Карлсен.