По данным свежего ежегодного отчёта блокчейн-аналитической компании Chainalysis, объём похищенной за прошлый год криптовалюты достиг 3,41 млрд долларов США. Более половины этих средств, как установили аналитики, связано с деятельностью северокорейских хакерских группировок, которые продолжают наращивать масштаб и сложность своих операций против криптобирж и Web3-компаний по всему миру.
Масштабы киберпреступности: роль КНДР в краже криптовалюты
Согласно отчёту, на структуры, связанные с Северной Кореей, приходится не менее 2,02 млрд долларов от общего объёма украденных цифровых активов. Эксперты подчёркивают, что это консервативная оценка: реальная сумма может быть выше, однако даже «нижняя граница» демонстрирует рост более чем на 50% по сравнению с предыдущим годом, когда атаки из КНДР принесли преступникам около 1,3 млрд долларов.
В совокупности за последние пять лет северокорейские хакерские группы, по подсчётам Chainalysis, похитили минимум 6,75 млрд долларов в криптовалюте. Эти средства, как отмечают исследователи, используются не только для личного обогащения участников преступных схем, но и для обхода международных санкций и финансирования государственных программ.
Взлом криптобиржи Bybit: крупнейшее криптовалютное ограбление в истории
Ключевым эпизодом отчётного периода стал взлом криптобиржи Bybit, произошедший в феврале. На этот инцидент приходится почти 1,5 млрд долларов украденных средств, что делает атаку крупнейшим криптовалютным ограблением за всё время наблюдений.
К атаке привязывают группировку TraderTraitor (также фигурирующую под названиями Jade Sleet и Slow Pisces), которая рассматривается как часть более широкой инфраструктуры Lazarus Group, давно ассоциируемой с КНДР. По сути, один успешный взлом обеспечил северокорейским операторам более 70% всего объёма похищенных ими криптоактивов в прошлом году.
Ключевые тактики северокорейских APT-группировок
Операция Dream Job: социальная инженерия и вредоносное ПО
Одна из наиболее заметных схем, описанных Chainalysis и ранее фиксировавшихся рядом киберразведывательных компаний, получила условное название Dream Job. В рамках этой кампании злоумышленники выходят на контакт с целями через LinkedIn, WhatsApp и другие каналы, представляясь рекрутерами крупных международных организаций из сфер обороны, высоких технологий, аэрокосмической и химической промышленности.
После установления доверия «кандидату» высылают тестовые задания или техническую документацию, содержащие вредоносный код. В отчёте упоминаются такие семейства малвари, как BURNBOOK, MISTPEN и BADCALL. Их установка открывает злоумышленникам доступ к рабочим станциям и внутренним сетям компаний, что позволяет как красть конфиденциальные данные, так и осуществлять подготовку к хищению криптоактивов.
Wagemole: скрытое трудоустройство IT-специалистов
Второй ключевой вектор, который Chainalysis обозначает кодовым именем Wagemole, связан с целенаправленным трудоустройством северокорейских IT-специалистов в зарубежные компании, включая криптобиржи и Web3-проекты. Для этого используются поддельные документы, фальшивые резюме и подставные фирмы, такие как DredSoftLabs и Metamint Studio.
Оказавшись внутри организации в роли легитимного сотрудника или подрядчика, такие разработчики могут получить привилегированный доступ к критически важным системам: кошелькам, системам управления ключами, внутренним инструментам администрирования. В отчёте подчёркивается, что рост успешных краж в 2025 году, вероятно, будет напрямую связан с расширением именно этой практики скрытого внедрения IT-персонала.
Отмывание криптовалюты: китайские сервисы, мосты и миксеры
После компрометации бирж и вывода средств основной задачей становится их отмывание и сокрытие происхождения. Аналитики Chainalysis отмечают, что северокорейские группы активно используют целый комплекс инструментов: кроссчейн-мосты, криптовалютные миксеры, а также специализированные площадки и OTC-сервисы (over-the-counter) в азиатском регионе.
Особая роль, по данным исследования, принадлежит китайским сервисам по переводу денег и площадкам наподобие Huione. Как правило, отмывание проходит в несколько этапов — от первоначального «расслоения» транзакций до вывода средств в более ликвидные активы и фиатные валюты. В среднем полный цикл занимает порядка 45 дней, в течение которых криптоактивы многократно перемещаются между адресами и сервисами, затрудняя отслеживание.
Использование региональных OTC-трейдеров и сервисов по отмыванию денег указывает на глубокую интеграцию северокорейских группировок в криминальные сети Азиатско-Тихоокеанского региона. Это создаёт дополнительную сложность для международных правоохранительных органов и регуляторов.
Что это значит для криптобирж и Web3-компаний
Отчёт Chainalysis демонстрирует, что киберугрозы для криптовалютной индустрии эволюционируют от разовых технических эксплойтов к долгосрочным многоходовым операциям, сочетающим социальную инженерию, инсайдерский доступ и сложные схемы отмывания средств. Для участников рынка это означает необходимость пересмотра подходов к кибербезопасности.
Критически важными становятся: жёсткая проверка персонала и подрядчиков (особенно удалённых разработчиков), сегментация инфраструктуры и принцип минимальных привилегий, постоянный мониторинг аномальной активности в системах доступа к кошелькам и ключам, а также взаимодействие с блокчейн-аналитическими компаниями для отслеживания подозрительных транзакций в реальном времени.
Совокупность изложенных фактов подтверждает: кибератаки на криптобиржи и Web3-сервисы будут оставаться одним из ключевых инструментов финансирования для государственно подконтрольных группировок. Игрокам индустрии имеет смысл не только усиливать технические меры защиты, но и инвестировать в обучение сотрудников методам противодействия социальной инженерии, а также выстраивать процессы быстрого реагирования на инциденты и сотрудничества с международными следственными и аналитическими структурами.
