Північнокорейська хакерська організація вкрала 3 мільярди доларів США у криптоактивів за 6 років

Нещодавно звіт, опублікований агентством з кібербезпеки, розкрив шокуючий факт: хакерська група, пов'язана з Північною Кореєю, успішно вкрала до 3 мільярдів доларів США криптоактивів протягом останніх 6 років.

Згідно з доповіддю, лише за 2022 рік ця організація пограбувала 1,7 мільярда доларів Криптоактивів, які, ймовірно, були використані для підтримки різних програм Північної Кореї. Одна компанія з аналізу даних блокчейну зазначила, що близько 1,1 мільярда доларів було вкрадено з платформ децентралізованих фінансів (DeFi). Міністерство внутрішньої безпеки США також підкреслило часті атаки цієї організації на DeFi-протоколи у звіті, опублікованому в вересні минулого року.

Ця хакерська організація відома своїми крадіжками коштів. У 2016 році вони зламали Центральний банк Бангладеш і вкрали 81 мільйон доларів США. У 2018 році вони знову атакували японську криптоактивів біржу, викравши 530 мільйонів доларів США, а також вкрали 390 мільйонів доларів США з Центрального банку Малайзії.

З 2017 року Північна Корея вважає криптоіндустрію основною метою кібернападів. Раніше вони крали кошти з фінансових установ шляхом захоплення мережі SWIFT. Ця діяльність привернула значну увагу міжнародних організацій, що спонукало фінансові установи збільшити витрати на кібербезпеку.

У 2017 році, з появою криптоактивів, північнокорейські хакери змістили свою увагу з традиційних фінансів на ці нові цифрові активи. Спочатку вони націлилися на криптовалютний ринок Південної Кореї, а згодом розширили свій вплив на глобальний рівень.

У 2022 році північнокорейські хакери були звинувачені у крадіжці близько 1,7 мільярда доларів Криптоактивів, що становить приблизно 5% економіки Північної Кореї або 45% її військового бюджету. Ця цифра майже в 10 разів перевищує загальний обсяг експорту Північної Кореї у 2021 році.

Методи злочинної діяльності північнокорейських хакерів у сфері криптоактивів зазвичай схожі на традиційні мережеві злочинні засоби, такі як використання крипто-міксерів, крос-лінкові транзакції та угоди з фіатними валютами на вторинному ринку. Проте, завдяки підтримці держави, вони можуть розширити крадіжки до масштабів, недоступних для традиційних злочинних угруповань.

Згідно з даними, приблизно 44% вкрадених криптоактивів у 2022 році були пов'язані з хакерською діяльністю Північної Кореї.

Атаки північнокорейських хакерів не обмежуються лише біржами, але також включають особистих користувачів, венчурні компанії та інші технології та протоколи. Усі організації та особи, які працюють у сфері криптоактивів, можуть стати потенційними цілями, ці дії надають уряду Північної Кореї постійний канал для функціонування та збору коштів.

Працівники криптоіндустрії, оператори бірж та підприємці повинні усвідомлювати, що вони можуть стати цілями атак хакерів. Традиційні фінансові установи також повинні уважно стежити за діяльністю північнокорейських хакерських угруповань. Як тільки криптоактиви будуть вкрадені та конвертовані в фіат, кошти будуть переміщуватися між різними рахунками, щоб приховати їхнє походження. Зазвичай, вкрадені особистості та змінені фотографії використовуються для обходу протидії відмиванню грошей та перевірки особистості клієнтів.

Оскільки вторгнення північнокорейських Хакерських організацій часто починаються з соціальної інженерії та фішингових атак, організаціям слід навчати своїх співробітників моніторингу таких активностей та впроваджувати потужну багатофакторну автентифікацію, таку як безпарольна автентифікація, що відповідає стандартам FIDO2.

Північна Корея продовжить красти криптоактиви як основне джерело доходу для фінансування своїх військових і озброєних проектів. Хоча наразі невідомо, скільки з викрадених криптоактивів безпосередньо використовується для фінансування запусків ракет, у останні роки кількість викрадених криптоактивів та кількість запусків ракет значно зросла. Якщо не буде введено більш суворих норм, вимог до кібербезпеки та інвестицій у кібербезпеку компаній криптоактивів, Північна Корея майже напевно продовжить використовувати індустрію криптоактивів як джерело додаткового доходу для держави.

У липні 2023 року одна американська компанія з розробки програмного забезпечення оголосила, що хакер, підтримуваний Північною Кореєю, отримав доступ до її мережі. Дослідники згодом опублікували звіт, в якому вказали, що група, відповідальна за цю атаку, ймовірно, є північнокорейською хакерською організацією, що спеціалізується на криптоактивах. Станом на серпень 2023 року Федеральне бюро розслідувань США опублікувало повідомлення, в якому говориться, що північнокорейські хакерські організації були причетні до кількох хакерських атак, в результаті яких було вкрадено 197 мільйонів доларів США в криптоактивах. Ці кошти дозволили уряду Північної Кореї продовжувати свою діяльність під суворими міжнародними санкціями та фінансувати до 50% витрат на свою програму балістичних ракет.

У 2017 році північнокорейські хакери зламали кілька південнокорейських бірж, викравши криптоактиви на суму близько 82,7 мільйона доларів США. Того ж року в липні, після витоку особистої інформації користувачів біржі, криптоактиви стали мішенню для атак.

Окрім крадіжки Криптоактиви, північнокорейські Хакери також навчилися шифрування Криптоактиви. У квітні 2017 року дослідники виявили програмне забезпечення для видобутку монета Monero, яке було встановлено під час вторгнення Хакерської організації. У січні 2018 року південнокорейські дослідники оголосили, що північнокорейська організація влітку 2017 року вторглася в сервер компанії і видобула близько 70 монета Monero, які на той час коштували приблизно 25000 доларів.

У 2020 році дослідники безпеки продовжували повідомляти про нові кібератаки північнокорейських хакерів на Криптоактиви. Північнокорейські хакерські угруповання атакували криптовалютні біржі в кількох країнах та використовували LinkedIn як спосіб початкового контакту з цілями.

2021 рік був найбільш активним для Північної Кореї у сфері шифрування монет, вони зламали як мінімум 7 установ криптоактивів та вкрали криптоактиви на суму 400 мільйонів доларів. Крім того, північнокорейські хакери почали націлюватися на альткоїни, включаючи токени ERC-20, а також NFTs.

У січні 2022 року дослідники підтвердили, що з 2017 року залишилося криптоактивів на суму 170 мільйонів доларів, які ще не було реалізовано.

У 2022 році помітні атаки північнокорейських хакерських організацій включали кілька кросчейн-мостів, загальні втрати перевищили 900 мільйонів доларів. Ці атаки особливо націлені на кросчейн-мости, які з'єднують два блокчейни, дозволяючи користувачам надсилати одну криптовалюту з одного блокчейну на інший, що містить різні криптоактиви.

У жовтні 2022 року японська поліція оголосила, що північнокорейська хакерська організація атакувала компанії, що працюють у сфері криптоактивів в Японії. Хоча конкретні деталі не були надані, у заяві зазначалося, що деякі компанії стали жертвами успішних вторгнень, і криптоактиви були вкрадені.

З січня по серпень 2023 року північнокорейська хакерська організація, як стверджується, вкрала 200 мільйонів доларів з кількох платформ. Під час однієї з атак хакери, можливо, видавали себе за рекрутерів, спеціально націлюючись на співробітників цільової компанії, відправляючи їм електронні листи з пропозиціями роботи та повідомлення в LinkedIn. Компанія повідомила, що хакери витратили 6 місяців на спроби отримати доступ до її мережі.

Щоб запобігти атакам північнокорейських хакерів на користувачів та компанії, що працюють з криптоактивами, експерти запропонували такі рекомендації:

1. Увімкніть багатофакторну аутентифікацію (MFA): використовуйте апаратні пристрої, такі як YubiKey, для посилення безпеки гаманця та торгівлі.

2. Увімкніть будь-які доступні налаштування MFA для криптоактивів, щоб максимально захистити обліковий запис від несанкціонованого входу або крадіжки.

3. Підтвердження верифікованих облікових записів у соціальних мережах, перевірка, чи містить ім'я користувача спеціальні символи або цифри, що замінюють літери.

4. Переконайтеся, що запитувана транзакція є законною, підтверджуючи будь-які аеродроми або інші безкоштовні рекламні акції з криптоактивами чи NFT.

5. При отриманні аерозольних чи інших матеріалів від великих платформ завжди перевіряйте офіційні джерела.

6. Завжди перевіряйте URL-адресу і спостерігайте за перенаправленнями після натискання на посилання, щоб переконатися, що сайт є офіційним, а не фішинговим.

Щодо шахрайства в соціальних мережах, є такі поради щодо захисту:

1. Будьте особливо обережні під час торгівлі криптоактивами. Криптоактиви не мають жодних інституційних гарантій для зменшення "традиційного" шахрайства.

2. Використовуйте апаратний гаманець. Апаратний гаманець може бути безпечнішим, ніж "гарячий гаманець", який завжди підключений до Інтернету.

3. Використовуйте лише надійні децентралізовані програми (dApps) та перевіряйте адреси смарт-контрактів для підтвердження їх автентичності та цілісності.

4. Подвійна перевірка адреси офіційного сайту, щоб уникнути імітацій. Деякі сторінки фішингу, що крадуть криптоактиви, можуть покладатися на помилки в написанні домену, щоб обманути користувачів.

5. Ставтеся до пропозицій, які виглядають занадто добре, щоб бути правдою, з недовірою. Шахрайські фішингові сторінки з криптоактивами залучають жертв вигідними обмінними курсами криптоактивів або низькими витратами на газ для взаємодії з NFT.