Северокорейская хакерская организация украла 3 миллиарда долларов в криптоактивах за 6 лет

Недавно отчет, опубликованный агентством кибербезопасности, раскрыл шокирующий факт: хакерская группа, связанная с Северной Кореей, успешно украла до 3 миллиардов долларов США Криптоактивов за последние 6 лет.

Согласно отчету, только за 2022 год эта организация похитила 1,7 миллиарда долларов в криптоактивах, которые, вероятно, были использованы для поддержки различных программ Северной Кореи. Одна из компаний по анализу данных блокчейн отметила, что около 1,1 миллиарда долларов было украдено с децентрализованных финансовых (DeFi) платформ. В отчете, опубликованном Министерством внутренней безопасности США в сентябре прошлого года, также подчеркивается частота атак этой организации на DeFi протоколы.

Эта хакерская группа известна кражами средств. В 2016 году они взломали Центральный банк Бангладеш и украли 81 миллион долларов. В 2018 году они снова атаковали японскую криптообменную платформу, похитив 530 миллионов долларов, и украли 390 миллионов долларов из Центрального банка Малайзии.

С 2017 года Северная Корея рассматривает криптоактивы как главную цель для сетевых атак. До этого они похищали средства из финансовых учреждений, захватывая сеть SWIFT. Эти действия привлекли большое внимание международных организаций, что побудило финансовые учреждения увеличить вложения в кибербезопасность.

В 2017 году, с ростом Криптоактивов, северокорейские Хакеры изменили свои цели с традиционных финансов на эти новые цифровые активы. Сначала они нацелились на рынок криптоактивов Южной Кореи, а затем расширили свое влияние на глобальный уровень.

В 2022 году северокорейские Хакеры были обвинены в краже около 1,7 миллиарда долларов в Криптоактивах, что составляет примерно 5% от объема внутренней экономики Северной Кореи или 45% от ее военного бюджета. Эта цифра почти в 10 раз превышает общий объем экспорта Северной Кореи в 2021 году.

Схемы преступлений северокорейских хакеров в криптоиндустрии обычно схожи с традиционными методами интернет-преступности, такими как использование крипто-миксеров, кросс-цепочных сделок и оффшорной торговли фиатом. Однако благодаря поддержке государства они могут расширить свои кражи до масштабов, недоступных для традиционных преступных групп.

Согласно данным отслеживания, около 44% украденных криптоактивов в 2022 году были связаны с действиями северокорейских хакеров.

Цели атак северокорейских хакеров не ограничиваются только биржами, но также включают личных пользователей, венчурные компании и другие технологии и протоколы. Все организации и лица, работающие в криптоиндустрии, могут стать потенциальными целями, эти действия предоставляют правительству Северной Кореи возможность продолжать свою работу и собирать средства.

Представители криптоиндустрии, операторы бирж и предприниматели должны осознавать, что они могут стать целью хакерских атак. Традиционные финансовые учреждения также должны внимательно следить за деятельностью северокорейских хакерских группировок. Как только криптоактивы будут украдены и конвертированы в фиат, средства будут перемещаться между различными счетами, чтобы скрыть их происхождение. Обычно украденные удостоверения личности и измененные фотографии используются для обхода мер по борьбе с отмыванием денег и проверки личности клиентов.

Поскольку вторжения северокорейских Хакерских организаций часто начинаются с социальной инженерии и фишинга, организациям следует обучать сотрудников мониторингу таких действий и внедрять надежную многофакторную аутентификацию, такую как безпарольная аутентификация, соответствующая стандартам FIDO2.

Северная Корея будет продолжать рассматривать кражу криптоактивов как основной источник дохода для финансирования своих военных и оружейных программ. Хотя в настоящее время неясно, сколько украденных криптоактивов непосредственно используется для финансирования запусков ракет, количество украденных криптоактивов и количество запусков ракет значительно увеличились в последние годы. Если не принять более строгие правила, требования к кибербезопасности и инвестиции в кибербезопасность компаний криптоактивов, Северная Корея, вероятно, продолжит использовать криптоактивы как источник дополнительных доходов для государства.

В июле 2023 года одна американская компания по разработке программного обеспечения объявила, что хакер, поддерживаемый Северной Кореей, проник в её сеть. Исследователи затем опубликовали отчет, в котором указывалось, что за данной атакой, вероятно, стоит группа хакеров из Северной Кореи, сосредоточенная на криптоактивах. По состоянию на август 2023 года ФБР США выпустило уведомление о том, что хакерская группа из Северной Кореи была вовлечена в несколько хакерских атак, в результате которых было украдено 197 миллионов долларов в криптоактивах. Эти средства позволяют правительству Северной Кореи продолжать свою деятельность в условиях строгих международных санкций и финансировать до 50% затрат на свою программу баллистических ракет.

В 2017 году северокорейские хакеры взломали несколько южнокорейских бирж, похитив Криптоактивы на сумму около 82,7 миллиона долларов. В том же месяце, после утечки личной информации пользователей одной из бирж, пользователи криптовалют также стали объектом атак.

Помимо кражи Криптоактивов, северокорейские Хакеры также научились добывать токен. В апреле 2017 года исследователи обнаружили, что программное обеспечение для добычи Монеро было установлено в результате взлома хакерской группы. В январе 2018 года южнокорейские исследователи объявили, что одна организация из Северной Кореи в летний период 2017 года взломала сервер компании и использовала его для добычи около 70 токенов, которые на тот момент стоили примерно 25000 долларов.

В 2020 году исследователи безопасности продолжили сообщать о новых кибератаках северокорейских хакеров на индустрию криптоактивов. Северокорейские хакерские группы атаковали криптообменники в нескольких странах и использовали LinkedIn в качестве первоначального способа связи с целевыми объектами.

2021 год стал самым активным для Северной Кореи в отношении Криптоактивы, они атаковали как минимум 7 учреждений в области шифрования и украли криптоактивов на сумму 400 миллионов долларов. Кроме того, северокорейские Хакеры начали нацеливаться на альткойны, включая токены ERC-20, а также NFTs.

В январе 2022 года исследователи подтвердили, что с 2017 года остается 170 миллионов долларов США в криптоактивах, которые еще не были обналичены.

В 2022 году значительные атаки северокорейской хакерской группы включали несколько кросс-чейн мостов, общие потери составили более 900 миллионов долларов. Эти атаки были нацелены в основном на кросс-чейн мосты, соединяющие две блокчейна, которые позволяют пользователям отправлять один криптоактив с одного блокчейна на другой, содержащий различные криптоактивы.

В октябре 2022 года японская полиция объявила, что северокорейская хакерская группа атаковала компании, работающие в сфере криптоактивов в Японии. Хотя конкретные детали не были предоставлены, в заявлении отмечается, что некоторые компании стали жертвами успешных взломов, и криптоактивы были украдены.

С января по август 2023 года северокорейская хакерская группа, как сообщается, украла 200 миллионов долларов с нескольких платформ. В одной из атак хакеры, возможно, выдали себя за рекрутеров и специально нацелились на сотрудников целевой компании, отправляя им электронные письма с предложениями о работе и сообщения в LinkedIn. Компания заявила, что хакеры потратили 6 месяцев на попытки получить доступ к ее сети.

Чтобы предотвратить атаки хакеров из Северной Кореи на пользователей и компании, работающие с криптоактивами, эксперты предложили следующие рекомендации:

1. Включите многофакторную аутентификацию (MFA): используйте аппаратные устройства, такие как YubiKey, для защиты кошелька и сделок.

2. Включите любые доступные настройки MFA для криптоактивов, чтобы максимально защитить учетную запись от несанкционированного входа или кражи.

3. Подтвердите проверенные аккаунты в социальных сетях, проверьте, содержит ли имя пользователя специальные символы или цифры, заменяющие буквы.

4. Убедитесь, что запрашиваемая транзакция законна, и проверьте любые аирдропы или другие бесплатные акции с Криптоактивами или NFT.

5. При получении аирдропа или другого контента от крупных платформ всегда проверяйте официальные источники.

6. Всегда проверяйте URL и следите за перенаправлением после нажатия на ссылку, чтобы убедиться, что сайт является официальным, а не фишинговым.

Для защиты от мошенничества в социальных сетях есть следующие рекомендации:

1. Будьте особенно осторожны при проведении сделок с криптоактивами. Криптоактивы не имеют никакой институциональной защиты, чтобы уменьшить "традиционное" мошенничество.

2. Используйте аппаратный кошелек. Аппаратные кошельки могут быть безопаснее, чем «горячие кошельки», которые постоянно подключены к Интернету.

3. Используйте только надежные децентрализованные приложения (dApps) и проверяйте адреса смарт-контрактов, чтобы подтвердить их подлинность и целостность.

4. Дважды проверьте адрес официального сайта, чтобы избежать подделки. Некоторые страницы фишинга, связанные с Криптоактивами, могут полагаться на опечатки в доменных именах, чтобы обмануть пользователей.

5. Скептически относитесь к предложениям, которые выглядят слишком хорошо, чтобы быть правдой. Страницы-фишинговые атаки на криптоактивы будут привлекать жертв выгодными курсами криптоактивов или низкими затратами на Гас для взаимодействий по созданию NFT.