С 2017 года Lazarus Group украла более 6 миллиардов долларов в криптовалюте, что делает ее самой известной хакерской сетью в отрасли.
Lazarus Group не является случайным игроком в мире хакерства; Он часто является главным подозреваемым в крупных ограблениях криптовалют. Поддерживаемая государством северокорейская группа выкачала миллиарды с бирж, обманула разработчиков и обошла даже самые изощренные меры безопасности в отрасли.
21 февраля она добилась самого большого успеха: украла рекордные 1,4 миллиарда долларов у криптовалютной биржи Bybit. Криптодетектив ZachXBT идентифицировал Лазаруса как главного подозреваемого, связав атаку Bybit со взломом Phemex на 85 миллионов долларов. Он также связал хакеров со взломами в BingX и Poloniex, добавив к растущему объему доказательств, указывающих на киберармию Северной Кореи.
По данным охранной фирмы Elliptic, с 2017 года Lazarus Group украла из криптоиндустрии около 6 миллиардов долларов. В исследовании Совета Безопасности ООН сообщается, что эти украденные средства, как полагают, финансируют программу вооружений Северной Кореи.
Одна из самых плодовитых киберпреступных организаций в истории, предполагаемые оперативники и методы группировки раскрывают очень сложную трансграничную операцию, работающую на благо режима. Кто стоит за Lazarus и как ему удалось взломать Bybit? И какие другие методы она использовала, чтобы создать постоянную угрозу?
Bybit — крупнейшее ограбление криптовалюты за всю историю. Источник: Elliptic
В сентябре 2018 года ФБР обвинило Пак Чжин Хёка, гражданина Северной Кореи и подозреваемого члена Lazarus, в некоторых из самых печально известных кибератак в истории. Пак, который предположительно работал на совместное предприятие Chosun Expo, северокорейскую подставную компанию, связан со взломом Sony Pictures в 2014 году и ограблением банка Бангладеш в 2016 году (украдено 81 миллион долларов).
Парк также был связан с атакой программы-вымогателя WannaCry 2.0 в 2017 году, которая нанесла ущерб больницам, в том числе Национальной службе здравоохранения Великобритании. Следователи отследили Пака и его сообщников с помощью общего вредоносного кода, украденных учетных записей для хранения учетных данных и прокси-сервисов, маскирующих северокорейские и китайские IP-адреса.
Трое подозреваемых членов Lazarus названы властями США. Источник: Окружной суд Центрального округа Калифорнии
В феврале 2021 года Министерство юстиции объявило, что добавило Чон Чан Хёка и Ким Ира в список киберпреступников, которым предъявлены обвинения за их роль в некоторых из самых разрушительных кибервторжений в мире. Оба обвиняются в работе на Lazarus, организации финансовых преступлений с использованием кибертехнологий, краже криптовалют и отмывании денег в пользу режима.
Джон специализировался на разработке и распространении вредоносных криптовалютных приложений для проникновения на биржи и в финансовые учреждения, что позволяет осуществлять масштабные кражи. Ким был причастен к распространению вредоносного ПО, координации ограблений, связанных с криптовалютой, и организации мошеннического ICO Marine Chain.
15 февраля США, Южная Корея и Япония выступили с совместным заявлением, в котором подтвердили свою приверженность денуклеаризации Северной Кореи. 18 февраля Пхеньян быстро отверг этот шаг как «абсурдный», в очередной раз пообещав укрепить свои ядерные силы.
Три дня спустя Lazarus нанес новый удар.
В кругах безопасности отпечатки пальцев Лазаруса часто узнают почти сразу, даже до того, как официальное расследование подтвердит их причастность.
«Я смог с уверенностью сказать, в частном порядке, в течение нескольких минут после того, как ETH ушел из кошелька Bybit, что это было связано с КНДР [Корейской Народно-Демократической Республикой] только потому, что у них есть такой уникальный отпечаток пальца и тактика, методы и процедуры TTP в блокчейне», — рассказал руководитель расследования в криптостраховой компании Fairside Network.
В ходе атаки на Bybit хакеры организовали сложную фишинговую атаку, чтобы нарушить безопасность Bybit, обманув биржу и заставив ее разрешить перевод 401 000 эфиров (В ходе атаки на Bybit хакеры организовали сложную фишинговую атаку, чтобы нарушить безопасность Bybit, обманув биржу и заставив ее разрешить перевод 401 000 эфиров (1,4 миллиарда долларов) на кошельки, находящиеся под их контролем. Замаскировав свою деятельность за фиктивной версией системы управления кошельком Bybit, злоумышленники получили прямой доступ к активам биржи, согласно данным компании Chainalysis, занимающейся экспертизой блокчейна.
Похожее: В фотографиях: рекордный взлом Bybit на $1,4 млрд
Как только средства были украдены, сработала машина для отмывания, и хакеры разбросали активы по промежуточным кошелькам. Следователи Chainalysis сообщают, что часть украденных средств была конвертирована в Биткоин и Dai (DAI) с использованием децентрализованных бирж, кроссчейн-мостов и сервисов обмена без принципа «Знай своего клиента», таких как eXch, платформа, которая отказалась замораживать незаконные средства, связанные с эксплойтом Bybit, несмотря на вмешательство всей отрасли. EXch отрицает отмывание средств для Северной Кореи.
EXch имел репутацию обслуживающего хакеров и дренажников еще до кражи Bybit. Источник: Fantasy
Значительная часть украденных активов остается припаркованной по нескольким адресам, что является преднамеренной стратегией, часто используемой хакерами, связанными с Северной Кореей, чтобы пережить повышенное внимание.
Кроме того, по данным TRM Labs, северокорейские хакеры часто обменивают свои украденные средства на биткоины. Модель неизрасходованного вывода транзакций (UTXO) Биткойна еще больше усложняет отслеживание, что делает криминалистический анализ гораздо более сложным, чем в системе, основанной на учетных записях Ethereum. Сеть также является домом для сервисов микширования, которые часто посещает Lazarus.
Один только недавний взлом Bybit превосходит весь показатель краж криптовалюты в Северной Корее в 2024 году. Источник: Chainalysis
Нью-йоркская охранная фирма добавляет, что кража через компрометацию закрытых ключей остается одной из самых больших угроз для криптоэкосистемы, на долю которой приходится 43,8% всех криптовзломов в 2024 году. Этот метод использовался в некоторых из крупнейших взломов, связанных с северокорейской Lazarus Group, таких как атака на биткоин на 305 миллионов долларов и взлом Ronin на 600 миллионов долларов.
В то время как эти громкие грабежи попадают в заголовки газет, северокорейские хакеры также освоили долгосрочную аферу — стратегию, которая обеспечивает стабильный денежный поток, а не полагается на разовые непредвиденные доходы.
«Они нацелены на всех, на что угодно, за любые деньги. Lazarus, в частности, сосредоточен на таких крупных и сложных хакерских атаках, как Bybit, Phemex и Alphapo, но у них есть небольшие команды, которые выполняют малоценную и более трудоемкую работу, такую как вредоносные [или] поддельные собеседования при приеме на работу», — сказал Fantasy.
Компания Microsoft Threat Intelligence определила северокорейскую группу угроз под названием «Sapphire Sleet» в качестве ключевого игрока в краже криптовалюты и корпоративном проникновении. Название «Sapphire Sleet» следует таксономии технологической компании, посвященной погоде, где «мокрый снег» обозначает связь с Северной Кореей. За пределами Microsoft эта группа более известна как Bluenoroff, подгруппа Lazarus.
Маскируясь под венчурных капиталистов и рекрутеров, они заманивают жертв на поддельные собеседования при приеме на работу и инвестиционные мошенничества, развертывая вредоносное ПО для кражи криптокошельков и финансовых данных, заработав более 10 миллионов долларов за шесть месяцев.
Северная Корея также направила тысячи IT-специалистов в Россию, Китай и другие страны, используя профили, сгенерированные искусственным интеллектом, и украденные личные данные для получения высокооплачиваемых рабочих мест в сфере технологий. Оказавшись внутри, они крадут интеллектуальную собственность, вымогают деньги у работодателей и направляют заработанные деньги режиму. Утечка северокорейской базы данных, обнаруженная Microsoft, раскрыла поддельные резюме, мошеннические счета и платежные записи, раскрывая сложную операцию с использованием изображений с искусственным интеллектом, программного обеспечения для изменения голоса и кражи личных данных для проникновения в глобальный бизнес.
В августе 2024 года ZachXBT разоблачил сеть из 21 северокорейского разработчика, зарабатывающего 500 000 долларов в месяц, встраиваясь в криптостартапы.
В декабре 2024 года федеральный суд в Сент-Луисе обнародовал обвинительные заключения против 14 граждан Северной Кореи, обвинив их в нарушении санкций, мошенничестве с использованием электронных средств, отмывании денег и краже личных данных.
Госдепартамент США назначил награду в размере 5 миллионов долларов за информацию о компаниях и названных лицах. Источник: Госдепартамент США
Эти люди работали на Yanbian Silverstar и Volasys Silverstar, контролируемые Северной Кореей компании, работающие в Китае и России, чтобы обмануть компании и заставить их нанимать их на удаленную работу.
За шесть лет эти оперативники заработали не менее 88 миллионов долларов, причем некоторые из них должны были зарабатывать 10 000 долларов в месяц для режима.
На сегодняшний день стратегия кибервойны Северной Кореи остается одной из самых сложных и прибыльных операций в мире, предположительно направляя миллиарды долларов в программу вооружений режима. Несмотря на растущее внимание со стороны правоохранительных органов, спецслужб и следователей блокчейна, Lazarus Group и ее подразделения продолжают адаптироваться, совершенствуя свою тактику, чтобы избежать обнаружения и сохранить свои незаконные потоки доходов.
С рекордными кражами криптовалюты, глубоким проникновением в глобальные технологические компании и растущей сетью IT-специалистов, кибероперации Северной Кореи стали постоянной угрозой национальной безопасности. Межведомственные репрессии со стороны правительства США, включая федеральные обвинения и миллионные награды, сигнализируют об эскалации усилий по подрыву финансового трубопровода Пхеньяна.
Но, как показала история, Lazarus неумолим; угрозы со стороны кибер-армии Северной Кореи далеки от завершения.
Lazarus Group не является случайным игроком в мире хакерства; Он часто является главным подозреваемым в крупных ограблениях криптовалют. Поддерживаемая государством северокорейская группа выкачала миллиарды с бирж, обманула разработчиков и обошла даже самые изощренные меры безопасности в отрасли.
21 февраля она добилась самого большого успеха: украла рекордные 1,4 миллиарда долларов у криптовалютной биржи Bybit. Криптодетектив ZachXBT идентифицировал Лазаруса как главного подозреваемого, связав атаку Bybit со взломом Phemex на 85 миллионов долларов. Он также связал хакеров со взломами в BingX и Poloniex, добавив к растущему объему доказательств, указывающих на киберармию Северной Кореи.
По данным охранной фирмы Elliptic, с 2017 года Lazarus Group украла из криптоиндустрии около 6 миллиардов долларов. В исследовании Совета Безопасности ООН сообщается, что эти украденные средства, как полагают, финансируют программу вооружений Северной Кореи.
Одна из самых плодовитых киберпреступных организаций в истории, предполагаемые оперативники и методы группировки раскрывают очень сложную трансграничную операцию, работающую на благо режима. Кто стоит за Lazarus и как ему удалось взломать Bybit? И какие другие методы она использовала, чтобы создать постоянную угрозу?
Bybit — крупнейшее ограбление криптовалюты за всю историю. Источник: Elliptic
Кто есть кто в Lazarus Group
Министерство финансов США утверждает, что Lazarus контролируется Генеральным разведывательным бюро Северной Кореи (RGB), основным разведывательным агентством режима. Федеральное бюро расследований (ФБР) публично назвало трех подозреваемых северокорейских хакеров членами Lazarus (также известной как APT38).В сентябре 2018 года ФБР обвинило Пак Чжин Хёка, гражданина Северной Кореи и подозреваемого члена Lazarus, в некоторых из самых печально известных кибератак в истории. Пак, который предположительно работал на совместное предприятие Chosun Expo, северокорейскую подставную компанию, связан со взломом Sony Pictures в 2014 году и ограблением банка Бангладеш в 2016 году (украдено 81 миллион долларов).
Парк также был связан с атакой программы-вымогателя WannaCry 2.0 в 2017 году, которая нанесла ущерб больницам, в том числе Национальной службе здравоохранения Великобритании. Следователи отследили Пака и его сообщников с помощью общего вредоносного кода, украденных учетных записей для хранения учетных данных и прокси-сервисов, маскирующих северокорейские и китайские IP-адреса.
Трое подозреваемых членов Lazarus названы властями США. Источник: Окружной суд Центрального округа Калифорнии
В феврале 2021 года Министерство юстиции объявило, что добавило Чон Чан Хёка и Ким Ира в список киберпреступников, которым предъявлены обвинения за их роль в некоторых из самых разрушительных кибервторжений в мире. Оба обвиняются в работе на Lazarus, организации финансовых преступлений с использованием кибертехнологий, краже криптовалют и отмывании денег в пользу режима.
Джон специализировался на разработке и распространении вредоносных криптовалютных приложений для проникновения на биржи и в финансовые учреждения, что позволяет осуществлять масштабные кражи. Ким был причастен к распространению вредоносного ПО, координации ограблений, связанных с криптовалютой, и организации мошеннического ICO Marine Chain.
Как происходил самый большой хит Lazarus Group
По сообщениям государственных СМИ, всего за несколько недель до взлома Bybit лидер Северной Кореи Ким Чен Ын проинспектировал объект по производству ядерных материалов, призвав к расширению ядерного арсенала страны сверх текущих производственных планов.15 февраля США, Южная Корея и Япония выступили с совместным заявлением, в котором подтвердили свою приверженность денуклеаризации Северной Кореи. 18 февраля Пхеньян быстро отверг этот шаг как «абсурдный», в очередной раз пообещав укрепить свои ядерные силы.
Три дня спустя Lazarus нанес новый удар.
В кругах безопасности отпечатки пальцев Лазаруса часто узнают почти сразу, даже до того, как официальное расследование подтвердит их причастность.
«Я смог с уверенностью сказать, в частном порядке, в течение нескольких минут после того, как ETH ушел из кошелька Bybit, что это было связано с КНДР [Корейской Народно-Демократической Республикой] только потому, что у них есть такой уникальный отпечаток пальца и тактика, методы и процедуры TTP в блокчейне», — рассказал руководитель расследования в криптостраховой компании Fairside Network.
В ходе атаки на Bybit хакеры организовали сложную фишинговую атаку, чтобы нарушить безопасность Bybit, обманув биржу и заставив ее разрешить перевод 401 000 эфиров (В ходе атаки на Bybit хакеры организовали сложную фишинговую атаку, чтобы нарушить безопасность Bybit, обманув биржу и заставив ее разрешить перевод 401 000 эфиров (1,4 миллиарда долларов) на кошельки, находящиеся под их контролем. Замаскировав свою деятельность за фиктивной версией системы управления кошельком Bybit, злоумышленники получили прямой доступ к активам биржи, согласно данным компании Chainalysis, занимающейся экспертизой блокчейна.
Похожее: В фотографиях: рекордный взлом Bybit на $1,4 млрдКак только средства были украдены, сработала машина для отмывания, и хакеры разбросали активы по промежуточным кошелькам. Следователи Chainalysis сообщают, что часть украденных средств была конвертирована в Биткоин и Dai (DAI) с использованием децентрализованных бирж, кроссчейн-мостов и сервисов обмена без принципа «Знай своего клиента», таких как eXch, платформа, которая отказалась замораживать незаконные средства, связанные с эксплойтом Bybit, несмотря на вмешательство всей отрасли. EXch отрицает отмывание средств для Северной Кореи.
EXch имел репутацию обслуживающего хакеров и дренажников еще до кражи Bybit. Источник: Fantasy
Значительная часть украденных активов остается припаркованной по нескольким адресам, что является преднамеренной стратегией, часто используемой хакерами, связанными с Северной Кореей, чтобы пережить повышенное внимание.
Кроме того, по данным TRM Labs, северокорейские хакеры часто обменивают свои украденные средства на биткоины. Модель неизрасходованного вывода транзакций (UTXO) Биткойна еще больше усложняет отслеживание, что делает криминалистический анализ гораздо более сложным, чем в системе, основанной на учетных записях Ethereum. Сеть также является домом для сервисов микширования, которые часто посещает Lazarus.
Побочный проект социальной инженерии Lazarus Group
По данным Chainalysis, северокорейские хакеры усилили атаку на криптоиндустрию, похитив 1,34 миллиарда долларов в ходе 47 атак в 2024 году, что более чем в два раза превышает 660,5 миллиона долларов, украденных в 2023 году.
Один только недавний взлом Bybit превосходит весь показатель краж криптовалюты в Северной Корее в 2024 году. Источник: Chainalysis
Нью-йоркская охранная фирма добавляет, что кража через компрометацию закрытых ключей остается одной из самых больших угроз для криптоэкосистемы, на долю которой приходится 43,8% всех криптовзломов в 2024 году. Этот метод использовался в некоторых из крупнейших взломов, связанных с северокорейской Lazarus Group, таких как атака на биткоин на 305 миллионов долларов и взлом Ronin на 600 миллионов долларов.
В то время как эти громкие грабежи попадают в заголовки газет, северокорейские хакеры также освоили долгосрочную аферу — стратегию, которая обеспечивает стабильный денежный поток, а не полагается на разовые непредвиденные доходы.
«Они нацелены на всех, на что угодно, за любые деньги. Lazarus, в частности, сосредоточен на таких крупных и сложных хакерских атаках, как Bybit, Phemex и Alphapo, но у них есть небольшие команды, которые выполняют малоценную и более трудоемкую работу, такую как вредоносные [или] поддельные собеседования при приеме на работу», — сказал Fantasy.
Компания Microsoft Threat Intelligence определила северокорейскую группу угроз под названием «Sapphire Sleet» в качестве ключевого игрока в краже криптовалюты и корпоративном проникновении. Название «Sapphire Sleet» следует таксономии технологической компании, посвященной погоде, где «мокрый снег» обозначает связь с Северной Кореей. За пределами Microsoft эта группа более известна как Bluenoroff, подгруппа Lazarus.
Маскируясь под венчурных капиталистов и рекрутеров, они заманивают жертв на поддельные собеседования при приеме на работу и инвестиционные мошенничества, развертывая вредоносное ПО для кражи криптокошельков и финансовых данных, заработав более 10 миллионов долларов за шесть месяцев.
Северная Корея также направила тысячи IT-специалистов в Россию, Китай и другие страны, используя профили, сгенерированные искусственным интеллектом, и украденные личные данные для получения высокооплачиваемых рабочих мест в сфере технологий. Оказавшись внутри, они крадут интеллектуальную собственность, вымогают деньги у работодателей и направляют заработанные деньги режиму. Утечка северокорейской базы данных, обнаруженная Microsoft, раскрыла поддельные резюме, мошеннические счета и платежные записи, раскрывая сложную операцию с использованием изображений с искусственным интеллектом, программного обеспечения для изменения голоса и кражи личных данных для проникновения в глобальный бизнес.
В августе 2024 года ZachXBT разоблачил сеть из 21 северокорейского разработчика, зарабатывающего 500 000 долларов в месяц, встраиваясь в криптостартапы.
В декабре 2024 года федеральный суд в Сент-Луисе обнародовал обвинительные заключения против 14 граждан Северной Кореи, обвинив их в нарушении санкций, мошенничестве с использованием электронных средств, отмывании денег и краже личных данных.
Госдепартамент США назначил награду в размере 5 миллионов долларов за информацию о компаниях и названных лицах. Источник: Госдепартамент США
Эти люди работали на Yanbian Silverstar и Volasys Silverstar, контролируемые Северной Кореей компании, работающие в Китае и России, чтобы обмануть компании и заставить их нанимать их на удаленную работу.
За шесть лет эти оперативники заработали не менее 88 миллионов долларов, причем некоторые из них должны были зарабатывать 10 000 долларов в месяц для режима.
На сегодняшний день стратегия кибервойны Северной Кореи остается одной из самых сложных и прибыльных операций в мире, предположительно направляя миллиарды долларов в программу вооружений режима. Несмотря на растущее внимание со стороны правоохранительных органов, спецслужб и следователей блокчейна, Lazarus Group и ее подразделения продолжают адаптироваться, совершенствуя свою тактику, чтобы избежать обнаружения и сохранить свои незаконные потоки доходов.
С рекордными кражами криптовалюты, глубоким проникновением в глобальные технологические компании и растущей сетью IT-специалистов, кибероперации Северной Кореи стали постоянной угрозой национальной безопасности. Межведомственные репрессии со стороны правительства США, включая федеральные обвинения и миллионные награды, сигнализируют об эскалации усилий по подрыву финансового трубопровода Пхеньяна.
Но, как показала история, Lazarus неумолим; угрозы со стороны кибер-армии Северной Кореи далеки от завершения.
