Останній щорічний звіт блокчейн-аналітичної компанії Chainalysis фіксує рекордний обсяг кібершахрайства у сфері цифрових активів. За рік було викрадено щонайменше 3,41 млрд доларів США у криптовалюті, і понад половина цієї суми, за оцінкою аналітиків, пов’язана з діяльністю північнокорейських хакерських угруповань.
Масштаби атак КНДР: понад $2 млрд викраденої криптовалюти
За даними Chainalysis, на угруповання та структури, пов’язані з КНДР, припадає не менше 2,02 млрд доларів з загальної суми вкрадених криптоактивів. Дослідники наголошують, що це консервативна оцінка, а реальні втрати можуть бути ще вищими.
Навіть за мінімальними підрахунками, обсяг «північнокорейських» крадіжок зріс більш ніж на 50% порівняно з попереднім роком, коли атаки з території КНДР принесли зловмисникам близько 1,3 млрд доларів. У середньостроковій перспективі картина ще тривожніша: за останні п’ять років хакерські групи, пов’язані з Пхеньяном, викрали щонайменше 6,75 млрд доларів у криптовалюті.
Згідно з аналізом Chainalysis, ці кошти відіграють важливу роль не лише як джерело збагачення окремих учасників угруповань, але й як інструмент обходу міжнародних санкцій і фінансування державних програм КНДР, включно з оборонними та ракетними ініціативами.
Злом криптобіржі Bybit: найбільше криптовалютне пограбування в історії
Ключовий інцидент звітного періоду — масштабний злом криптобіржі Bybit, що стався у лютому. На цю атаку припадає майже 1,5 млрд доларів викрадених активів, що робить інцидент найбільшим криптовалютним пограбуванням за весь час спостережень.
До злому аналітики прив’язують угруповання TraderTraitor (також відоме як Jade Sleet та Slow Pisces), яке розглядається як частина ширшої інфраструктури Lazarus Group, давно асоційованої з урядом КНДР. Фактично один успішний злам забезпечив північнокорейським операторам понад 70% усього обсягу криптоактивів, викрадених ними за рік.
Ключові тактики північнокорейських APT-груп: від соціальної інженерії до інсайдерів
Операція Dream Job: цільові фішингові кампанії проти фахівців
Однією з найпомітніших кампаній, детально описаних у звіті Chainalysis, є операція Dream Job. Хакери виходять на контакт із фахівцями через LinkedIn, WhatsApp та інші платформи, видаючи себе за рекрутерів відомих міжнародних компаній оборонної, високотехнологічної, аерокосмічної та хімічної галузей.
Після встановлення довіри «кандидатам» надсилають нібито тестові завдання чи технічну документацію, яка містить шкідливий код. У звіті згадуються сімейства малварі BURNBOOK, MISTPEN і BADCALL. Після зараження робочих станцій зловмисники отримують доступ до внутрішніх мереж компаній, що відкриває можливості як для крадіжки чутливих даних, так і для підготовки до викрадення криптоактивів, якщо ціль пов’язана з Web3 або фінансовими сервісами.
Wagemole: приховане працевлаштування IT-фахівців КНДР
Другий стратегічний напрямок, який Chainalysis позначає кодовою назвою Wagemole, — це систематичне працевлаштування північнокорейських IT-спеціалістів у закордонні компанії, включно з криптобіржами та Web3-проєктами. Для цього використовують підроблені документи, фейкові резюме й підставні компанії, такі як DredSoftLabs і Metamint Studio.
Отримавши статус легітимного співробітника або підрядника, такі розробники здатні отримати привілейований доступ до критичних систем: гарячих та холодних гаманців, систем управління ключами (KMS), внутрішніх панелей адміністрування. Аналітики очікують, що у найближчому періоді зростання успішних крадіжок криптовалюти буде напряму пов’язане саме з розширенням цієї практики прихованого впровадження інсайдерів.
Відмивання криптовалюти: мости, міксери та китайські фінансові сервіси
Після вдалого злому головним завданням стає легалізація викрадених коштів та ускладнення їхнього відстеження. За спостереженнями Chainalysis, північнокорейські угруповання активно комбінують кілька інструментів: кросчейн-мости, криптовалютні міксери, а також спеціалізовані платформи й OTC-сервіси (over-the-counter) в Азійсько-Тихоокеанському регіоні.
Особливу роль відіграють китайські сервіси з переведення грошей та майданчики на кшталт Huione. Типова схема включає багатоступеневе «розшарування» транзакцій, конвертацію в інші токени й подальший вивід у більш ліквідні активи та фіатні валюти. Середня тривалість повного циклу відмивання становить близько 45 днів, протягом яких активи десятки разів змінюють адреси та сервіси, що суттєво ускладнює роботу правоохоронців.
Залучення регіональних OTC-трейдерів та сервісів з відмивання грошей демонструє глибоку інтеграцію північнокорейських хакерів у кримінальну екосистему АТР і створює додаткові бар’єри для міжнародних розслідувань та санкційного контролю.
Що означає звіт Chainalysis для безпеки криптобірж і Web3
Дані Chainalysis показують, що загрози для криптоіндустрії еволюціонують від поодиноких технічних експлойтів до довготривалих багатоетапних операцій. Ці операції поєднують соціальну інженерію, інсайдерський доступ, цільове зараження інфраструктури та професійні схеми відмивання коштів.
Для криптобірж, DeFi- та Web3-компаній це означає необхідність переосмислити підхід до кібербезпеки. Критичними стають: ретельна перевірка персоналу та підрядників (особливо віддалених розробників), жорстка сегментація інфраструктури й дотримання принципу мінімальних привілеїв, безперервний моніторинг аномальної активності в системах доступу до гаманців і ключів, а також партнерство з блокчейн-аналітичними компаніями для відстеження підозрілих транзакцій у режимі, максимально наближеному до реального часу.
На тлі зростання роль північнокорейських APT-груп у крадіжці криптовалют бізнесу варто інвестувати не лише в технічні засоби захисту, але й у навчання співробітників методам протидії соціальній інженерії, відпрацювання процедур швидкого реагування на інциденти та налагодження співпраці з міжнародними слідчими й аналітичними структурами. Ті компанії, які вже зараз інтегрують ці підходи у свою стратегію безпеки, матимуть суттєву перевагу в протидії як північнокорейським хакерам, так і іншим державним та кримінальним акторам у сфері кіберзлочинності.
