Пока мир следит за ядерными испытаниями КНДР, ее настоящая армия ведет изощренную войну в цифровом пространстве. Цель — финансирование режима. Их методы варьируются от банальной социальной инженерии до сложных и очевидных схем отмывания криптовалют. Новые данные показывают: они массово внедряются в западные IT-компании, а их схемы вывода средств иногда до смешного примитивны. Расследование того, как устроена машина киберпреступности Северной Кореи.
Часть 1: «Здравствуйте, я ваш новый разработчик из Chainlink»
Недавно стало известно о взломе... самого хакера. Неизвестный пользователь получил доступ к аккаунту IT-специалиста из Северной Кореи, входящего в группировку, причастную к краже $680 000. Это дало уникальную возможность заглянуть внутрь их кухни.
Как устроиться на работу в Polygon, находясь в КНДР:
- Создание легенды. Шесть граждан КНДР создали более 30 вымышленных личностей. Они покупали поддельные документы, аккаунты на LinkedIn и Upwork, выдавая себя за опытных блокчейн-разработчиков;
- Красивое резюме. Один из них, под именем Генри Чан, прошел собеседование в Polygon Labs на позицию фулл-стек инженера. В резюме он указал опыт работы в OpenSea и Chainlink. Его скрипт был убедительным: «Мой профессиональный стаж в блокчейн-разработке составляет более семь лет... я разрабатывал системы в OpenSea, Chainlink Labs»;
- Техническое оснащение. Работали через AnyDesk и VPN, чтобы скрыть местоположение. Для коммуникации использовали Google-сервисы. Бюджет группы на май составил всего $1489 (аренда ПК, софт, подписки);
- Цель. Получить доступ к внутренним системам компаний и либо украсть деньги напрямую, либо внедрить вредоносный код для последующей атаки.
Выявление паттернов поведения:
Известны ключевые признаки, по которым можно вычислить такого «сотрудника»:
- Активное использование Google Translate с корейского на английский через российские IP-адреса;
- Медленное интернет-соединение на собеседованиях из-за работы переводчиков и симуляторов, что вызывает задержку ответа в несколько секунд;
- Нереальная производительность. По словам главы безопасности Binance Джимми Су, такие «сотрудники» часто работают без сна и перерывов — признак работы в несколько смен;
- Использование дипфейков и голосовых модуляторов на собеседованиях для имитации внешности и акцента европейцев или жителей Ближнего Востока.
Почему это работает? Проблема в халатности рекрутеров и отсутствии кооперации между госслужбами и частным сектором. Перегруженные HR-отделы часто игнорируют тревожные сигналы.
Часть 2: Паттерны отмывания средств группировкой Lazarus
Внедриться в компанию — только полдела. Второй этап — украсть и отмыть деньги. Именно этим занимается Lazarus — главная государственная хакерская группа КНДР, которая, по оценкам, украла более $3 миллиардов с 2018 года. Аналитики КоинКит выявили ключевые паттерны в их работе с украденными криптоактивами, однако не стоит считать их исключительно действиями в рамках хакерской деятельности Lazarus.
Паттерн 1: Быстрое распределение/дробление активов
Анализ транзакционной активности Lazarus показывает систематическое использование нескольких отработанных схем. В сети Bitcoin наблюдается молниеносное перемещение средств между множеством анонимных кошельков без видимой связи с легальными платформами. Эта тактика направлена на запутывание следов и затруднение отслеживания.
Паттерн 2: Использование миксеров
Группировка активно использует криптомиксеры, в частности Tornado Cash. Средства целенаправленно направляются через цепочки адресов хакеров с последующей отправкой в миксеры для разрыва связи между отправителем и получателем. Несмотря на кажущуюся сложность, эта тактика оставляет четкие следы в блокчейне, которые могут быть идентифицированы с помощью современных аналитических инструментов.
Паттерн 3: Вывод через DEX-платформы и стейблкоины
Особое внимание Lazarus уделяет работе со стейблкоинами USDT и USDC. Украденные средства направляются на контролируемые кошельки, а затем отправляются на смарт-контракты децентрализованных бирж, таких как Uniswap. Такая методология позволяет быстро обналичивать или обменять активы, минимизируя риск заморозки средств со стороны эмитентов. Предпочтение отдается прямому выводу на DEX без промежуточных этапов.
Паттерн 4: Связь с азартными платформами
В отдельных случаях наблюдается использование инфраструктуры онлайн-гемблинга для отмывания средств. Типичный пример — вывод $3,9 млн с платформы азартных игр с последующей передачей средств кошелькам, ассоциированным с Lazarus. Сложная и часто анонимная природа транзакций в гемблинг-индустрии предоставляет дополнительные возможности для маскировки происхождения средств.
Несмотря на масштаб, методы Lazarus по сокрытию средств часто упрощены и повторяемы. Они массово используют одни и те же инструменты (миксеры, DEX), что оставляет четкие следы в блокчейне и позволяет выявлять их операции.
Можно ли защититься?
Полностью предотвратить схемы Lazarus невозможно, так как их методы постоянно совершенствуются. Однако их действия можно обнаружить, например, перед транзакцией или сотрудничеством с новым партнером инструменты КоинКит позволяют:
— Отслеживать цепочки транзакций в разных блокчейнах, включая Bitcoin, Ethereum и сети стабильных монет;
— Выявлять адреса, связанные с хакерами, миксерами, азартными платформами или DEX;
— Мониторить поведение адресов в реальном времени для выявления аномалий.
С КоинКит вы сможете снизить риски, избегая подозрительных контрагентов и своевременно реагируя на угрозы.
Заключение
Хакеры КНДР ведут войну на двух фронтах:
- Фронт внедрения: Где они используют социальную инженерию, фейковые профили и дипфейки, чтобы проникнуть в доверенную среду;
- Фронт отмывания: Где они применяют набор довольно предсказуемых блокчейн-паттернов для обналичивания средств.
Режим в КНДР сделал кражу криптовалюты элементом государственной политики. Это значит, что атаки будут только масштабнее и изощреннее.
