Північнокорейська хакерська група за шість років вкрала 3 мільярди доларів США в криптоактивах

Нещодавній звіт з кібербезпеки показав, що за останні 6 років, пов'язана з Північною Кореєю група хакерів вкрала криптоактиви на суму 3 мільярди доларів.

Цей звіт зазначає, що лише за 2022 рік ця хакерська організація пограбувала 1,7 мільярда доларів США в криптоактивах, ймовірно, для фінансування різних програм Північної Кореї. Інша компанія з аналізу даних блокчейну повідомила, що з цієї суми 1,1 мільярда доларів було вкрадено з децентралізованих фінансових (DeFi) платформ. Міністерство внутрішньої безпеки США також підкреслило проникнення цієї хакерської організації в протоколи DeFi у звіті, опублікованому в вересні минулого року.

Ця хакерська організація відзначається крадіжками коштів. У 2016 році вони зламали Центральний банк Бангладеш і вкрали 81 мільйон доларів. У 2018 році вони спочатку атакували японську криптоактиву біржу та Центральний банк Малайзії, викравши 530 мільйонів доларів і 390 мільйонів доларів відповідно.

З 2017 року Північна Корея визначила криптоіндустрію як головну ціль для кібератак. До цього Північна Корея захопила міжнародну банківську фінансову телекомунікаційну асоціацію (SWIFT) для крадіжки коштів, що викликало значну увагу міжнародної спільноти. Фінансові установи після цього посилили свою кібербезпеку.

2017 року, після зростання криптоактивів, північнокорейські хакери змістили свої цілі з традиційних фінансів на цю нову галузь, спочатку намагаючись націлитися на ринок Південної Кореї, а потім розширивши свої дії на глобальному рівні.

У 2022 році північнокорейському хакеру пред'явили звинувачення в крадіжці 1,7 мільярда доларів США в криптоактивах, що становить близько 5% від валового внутрішнього продукту Північної Кореї або 45% її військових витрат. Ця цифра майже в 10 разів перевищує обсяги експорту Північної Кореї у 2021 році.

Методи злочинної діяльності північнокорейських хакерів у сфері криптоактивів зазвичай схожі на традиційну кіберзлочинність, яка використовує міксери, крос-лінійні транзакції та позабіржову торгівлю. Але через державну підтримку їхні масштаби значно перевищують звичайні злочинні угруповання. Дані показують, що у 2022 році близько 44% вкрадених криптоактивів пов'язані з північнокорейськими хакерами.

Атаки північнокорейських хакерів орієнтовані не тільки на біржі, але й на особистих користувачів, венчурні компанії та інші технології і протоколи. Усі установи та особи в галузі можуть стати потенційними цілями.

Традиційні фінансові установи також повинні уважно стежити за діяльністю північнокорейських хакерів. Викрадені криптоактиви після конвертації в фіатні гроші переміщуються між різними рахунками, щоб приховати джерело. Зазвичай використовуються викрадені особисті дані та змінені фотографії для обходу заходів протидії відмиванню грошей та ідентифікації. Будь-яка особиста інформація, викрадена у постраждалих, може бути використана для реєстрації рахунків і завершення процесу відмивання грошей.

Оскільки вторгнення північнокорейських хакерів часто починаються з соціальної інженерії та фішингу, організації повинні навчати співробітників розпізнавати такі дії та впроваджувати надійну багатофакторну аутентифікацію, таку як безпарольна аутентифікація, що відповідає стандарту FIDO2.

Північна Корея продовжуватиме красти криптоактиви як основне джерело доходу для фінансування військових та озброєнь. Хоча наразі неясно, яка сума вкрадених коштів безпосередньо використовується для запусків балістичних ракет, проте в останні роки кількість вкрадених криптоактивів і запусків ракет суттєво зросла. Якщо не буде запроваджено більш суворих нормативних актів, вимог до кібербезпеки та інвестицій, Північна Корея, ймовірно, продовжить використовувати криптоіндустрію як додаткове джерело національного доходу.

У липні 2023 року американська компанія з розробки програмного забезпечення оголосила про те, що зазнала нападу з боку північнокорейського Хакера. Пізніше дослідники зазначили, що за цим напаством, ймовірно, стоїть північнокорейська хакерська група, яка спеціалізується на шифруванні монет. Станом на серпень 2023 року Федеральне бюро розслідувань США повідомило, що північнокорейська хакерська група була причетна до кількох атак, в результаті яких було вкрадено 197 мільйонів доларів США Криптоактивів. Ці кошти дозволили уряду Північної Кореї продовжувати свою діяльність під жорсткими санкціями та фінансувати до 50% вартості програми балістичних ракет.

У 2017 році північнокорейські хакери зламали кілька бірж у Південній Кореї, викравши близько 82,7 мільйона доларів США у криптоактивах. Того ж року повідомлялося, що після витоку особистої інформації користувачів біржі в Південній Кореї, користувачі криптоактивів також стали мішенню для атак.

Окрім крадіжки, північнокорейські Хакер також почали займатися шифруванням монет. У квітні 2017 року дослідники виявили, що програмне забезпечення для видобутку монеро було встановлено під час вторгнення північнокорейських Хакерів. У січні 2018 року були дослідження, які стверджували, що один організація з Північної Кореї зламала сервер компанії для видобутку, здобувши приблизно 70 монет монеро, які на той час коштували 25000 доларів.

У 2020 році дослідники безпеки продовжували повідомляти про нові атаки північнокорейських хакерів на глобальну індустрію криптоактивів, використовуючи LinkedIn як спосіб первинного контакту з цілями.

2021 рік був найактивнішим для Північної Кореї у сфері криптоактивів, коли було здійснено вторгнення принаймні в 7 установ і вкрадено 400 мільйонів доларів. Крім того, північнокорейські хакери почали націлюватися на різні монети та NFT.

У січні 2022 року дослідники підтвердили, що з 2017 року ще 170 мільйонів доларів США вкрадених криптоактивів чекають на реалізацію. Значні атаки північнокорейських хакерів у 2022 році включали кілька кросчейн-мостів, що призвело до величезних втрат.

У жовтні 2022 року японська поліція оголосила, що північнокорейські хакери здійснили атаки на японські криптоактиви компанії, деякі компанії зазнали успішного зламу і були викрадені кошти.

У період з січня по серпень 2023 року північнокорейські хакери, як стверджують, вкрали 200 мільйонів доларів з кількох платформ. Під час атаки в липні 2023 року хакери, імовірно, видавали себе за рекрутерів і надсилали електронні листи та повідомлення співробітникам цільової компанії, витративши 6 місяців на спроби отримати доступ до мережі.

Для запобігання атакам північнокорейських хакерів рекомендується вжити такі заходи:

• Увімкніть багатофакторну автентифікацію, використовуючи апаратні пристрої для підвищення безпеки
• Увімкніть усі доступні налаштування багаторазової автентифікації для облікового запису біржі
• Перевірка достовірності облікових записів у соціальних мережах
• Обережно ставтеся до будь-яких аеродропів або безкоштовних акцій
• Перевірте офіційні джерела, щоб підтвердити достовірність таких заходів, як аерозолі.
• Перевірте URL та спостерігайте за перенаправленнями, щоб забезпечити доступ до офіційного веб-сайту
• Будьте уважні під час торгівлі, використовуйте апаратний гаманець
• Використовуйте лише надійні децентралізовані додатки, перевіряйте адреси смарт-контрактів
• Уважно перевірте веб-сайт офіційного сайту, щоб уникнути підробки
• Зберігайте скептицизм щодо умов, які здаються надто вигідними