В нескольких словах
Северокорейская хакерская группа Lazarus совершила крупнейшую в истории кражу криптовалюты, похитив 1.5 миллиарда долларов в Ethereum у биржи Bybit. Атака была тщательно спланирована и технически сложна, включая компрометацию стороннего поставщика ПО для доступа к "холодному кошельку" биржи. Похищенные средства, вероятно, используются для финансирования режима Ким Чен Ына, подтверждая репутацию КНДР как государства, активно использующего киберпреступность для получения дохода.
Все произошло ночью и за считанные минуты. Бен Чжоу, генеральный директор криптовалютной биржи Bybit, со своего домашнего компьютера провел серию рутинных переводов. Спустя некоторое время ему позвонили из компании и сообщили, что их резервы Ethereum, второй по популярности криптовалюты после Bitcoin, на сумму 1.5 миллиарда долларов (около 1.4 миллиарда евро по текущему курсу) испарились. К тому моменту средства уже были переведены на тысячи чужих цифровых кошельков. Только что произошла крупнейшая кража в истории.
Пять дней спустя ФБР подтвердило то, что некоторые аналитики подозревали с самого начала: за атакой стояла Lazarus, группа хакеров, поддерживаемая правительством Северной Кореи, ставшая настоящим бичом криптоиндустрии.
Сразу после кибератаки Чжоу старался сохранять спокойствие в социальных сетях, даже делясь показаниями пульса со своих умных часов, чтобы показать, что все под контролем. Предприниматель заверил пострадавших клиентов, что им вернут 100% депозитов. Опасаясь паники в секторе, некоторые конкуренты Bybit, такие как Byget, предоставили бирже беспроцентный кредит в Ethereum на сумму 100 миллионов долларов для возврата депозитов, как сообщило New York Times.
Однако ущерб уже был нанесен. Менее чем за 24 часа клиенты Bybit вывели криптовалюты на сумму около 10 миллиардов долларов, что составляет почти половину общего объема, управляемого платформой. Стоимость биткоина, эталонной криптовалюты, упала на 20% на следующий день после кибератаки, что стало худшим показателем со времен банкротства биржи FTX Сэма Бэнкмана-Фрида в 2022 году.
Украсть 1.5 миллиарда долларов за один раз непросто. Lazarus, собирательный термин для различных хакерских команд, финансируемых Северной Кореей, подтверждает свой статус мирового лидера в киберпреступности. До атаки на Bybit крупнейшая известная киберкража, совершенная в 2022 году, также была их делом: 625 миллионов долларов в Ethereum, похищенных с веб-сайта, связанного с игрой Axie Infinity. Криптовалюты — золотая жила для Lazarus: по данным отчета Chainalysis, в 2024 году они украли криптовалюты на сумму 1.34 миллиарда долларов в результате 47 инцидентов. В 2023 году было похищено 660 миллионов долларов в ходе 20 различных атак.
Прошел месяц после «ограбления века», и отчеты экспертов раскрыли многие детали операции Lazarus. Все опрошенные аналитики описывают ее как работу, доступную очень немногим, как по тщательности планирования, так и по точности исполнения. «Атака на Bybit продемонстрировала чрезвычайно высокий уровень сложности со стороны Lazarus. Они сочетали социальную инженерию, глубокое знание инфраструктур DeFi [децентрализованных финансов] и передовые методы обеспечения постоянного доступа для совершения одного из самых дерзких киберограблений на сегодняшний день», — описывает Эрве Ламберт, директор по глобальным операциям Panda Security.
Ключ к успеху северокорейских хакеров заключался в том, что им удалось перехватить средства с «холодного кошелька» — кошелька без подключения к интернету, который до сих пор считался самым безопасным для хранения криптовалют. Именно поэтому Bybit хранила там свои крупные резервы Ethereum. Как им удалось получить доступ к этим средствам? Bybit периодически переводила криптовалюты с холодного кошелька на «горячий» (подключенный к интернету) для управления ежедневными операциями. Именно это и сделал Бен Чжоу из дома 21 февраля.
Вернее, он думал, что делает именно это. Хакеры Lazarus сумели перехватить переводы и перенаправить их на несколько подконтрольных им счетов. Для этого они атаковали третью сторону: поставщика кошелька, используемого биржей, — платформу Safe{Wallet}. Lazarus удалось получить контроль над компьютером одного из разработчиков программного обеспечения Safe{Wallet} и, проникнув в инфраструктуру этой платформы, внедрить вредоносный код, скрытый в их приложении. На профессиональном жаргоне это называется «атака на цепочку поставок» (supply chain attack).
«Это вредоносное ПО хирургической точности было разработано так, чтобы активироваться только при определенных условиях, оставаясь незамеченным для обычных систем защиты», — объясняет Ламберт. Когда Чжоу инициировал рутинные переводы с холодного кошелька, вредоносный код сработал, манипулируя транзакциями и отправляя их на кошельки атакующих вместо легитимных. «Сразу после совершения транзакции хакеры замели следы: за две минуты они загрузили новые, чистые версии кода JavaScript в репозиторий Safe{Wallet} в [облаке] AWS, удалив использованный ими бэкдор. Вся атака произошла так быстро и незаметно, что к тому времени, как Bybit обнаружила аномальное списание средств, было уже слишком поздно: Ethereum контролировались Lazarus».
Bybit объявила вознаграждение тем, кто сможет заблокировать украденные криптовалюты, предотвратив их обмен. «Такие программы вознаграждений обычны, например, при поиске уязвимостей в ПО или оборудовании (bug bounty), но их применение в качестве реакции на инцидент безопасности, мягко говоря, любопытно», — считает Хосе Роселл, генеральный директор S2Grupo. Этим путем многого добиться не удалось: через пять дней после атаки «уже было отмыто 400 миллионов долларов посредством переводов через множество промежуточных кошельков, конвертации в различные криптовалюты и использования децентрализованных бирж и межсетевых мостов для запутывания следов», — говорится в отчете консалтинговой компании TRM Labs. Именно анонимность и быстрая ликвидность, предлагаемые криптовалютами по сравнению с традиционными банковскими деньгами, делают их такими привлекательными для незаконной деятельности.
Хотя официально этого никто не признает, многие страны финансируют и поддерживают элитные хакерские группы, известные как APT (Advanced Persistent Threats — продвинутые постоянные угрозы). Это хорошо структурированные организации с первоклассными специалистами, чьи возможности часто сравнимы с возможностями спецслужб крупных держав. С одним отличием: они действуют якобы без флага. Обычно они занимаются промышленным шпионажем, саботажем или получением военных или стратегически важных документов.
Подход Северной Кореи иной. Ее хакерские команды в основном сосредоточены на получении средств для режима. И они нашли в криптовалютах важный источник дохода. Недавняя атака на Bybit (1.5 миллиарда долларов) и атака на Axie Infinity (660 миллионов долларов) — яркое тому подтверждение. Специализированный портал TRM Labs подсчитал, что северокорейские хакеры завладели криптовалютами на сумму не менее 5 миллиардов долларов только с 2021 года. А отчет Совета Безопасности ООН оценивает, что средства, полученные этими группами, составляют половину валютных поступлений в Северную Корею.
Именно Ким Чен Ын, внук основателя династии диктаторов, понял, что режим может извлечь большую выгоду из киберпространства. Как пишет журналистка Анна Файфилд в своей книге «Великий преемник» (издательство Captain Swing, 2021), он сделал ставку на это сразу после прихода к власти в 2009 году. «Студенты, проявляющие потенциальные способности [к информатике], некоторые в возрасте всего 11 лет, направляются в специальные школы, а затем в Пхеньянский университет автоматизации», где «в течение пяти лет их учат взламывать системы и создавать компьютерные вирусы», — пишет Файфилд.
Спецслужбы США и Великобритании, а также Microsoft приписывают Lazarus запуск в 2017 году WannaCry 2.0, крупнейшей атаки с использованием программы-вымогателя (ransomware) в истории. Этот вирус заблокировал около 300 000 компьютеров в 150 странах, включая системы здравоохранения Великобритании, и требовал выкуп за их разблокировку. Широко известен также кибератака на Sony Pictures в 2014 году, компанию атаковали за создание фильма, высмеивающего «Любимого и Уважаемого Руководителя» — одна из официальных форм обращения к Ким Чен Ыну. Совсем недавно стало известно, что им удалось внедрить своих хакеров в качестве сотрудников в сотню технологических компаний для кражи конфиденциальной информации и денег.
«Наша исследовательская группа выявила новые кампании, демонстрирующие высокий уровень изощренности этой группы», — говорит Марк Риверо, руководитель отдела исследований безопасности Kaspersky. «Примером является операция DreamJob, также известная как DeathNote, в ходе которой они использовали передовое вредоносное ПО для компрометации сотрудников ядерной компании в Бразилии».
