Северокорейская хакерская группа Lazarus Group украла 3 миллиарда долларов Криптоактивов за шесть лет

Недавно отчет по кибербезопасности раскрыл потрясающий факт: хакерская группа Lazarus Group, связанная с Северной Кореей, украла до 3 миллиардов долларов Криптоактивов за последние 6 лет.

Этот отчет указывает на то, что только за 2022 год группа Lazarus похитила криптоактивы на сумму 1,7 миллиарда долларов, которые, вероятно, были использованы для поддержки различных программ Северной Кореи. Данные другой компании по анализу блокчейна показывают, что из этой суммы 1,1 миллиарда долларов было украдено с децентрализованных финансовых (DeFi) платформ. В отчете Министерства внутренней безопасности США, опубликованном в сентябре прошлого года, также подчеркивается использование группой Lazarus протоколов DeFi.

Группа Лазаря известна кражей средств. В 2016 году они взломали Центральный банк Бангладеш и украли 81 миллион долларов. В 2018 году они атаковали одну из японских криптоактивов бирж и похитили 530 миллионов долларов, а также украли 390 миллионов долларов из Центрального банка Малайзии.

С 2017 года Северная Корея нацелилась на криптоактивы как на ключевую цель сетевых атак. До этого Северная Корея захватывала сеть SWIFT для кражи средств из финансовых учреждений, что вызвало высокий интерес международных организаций. Финансовые учреждения в ответ усилили защиту кибербезопасности.

Когда в 2017 году Криптоактивы стали мейнстримом, северокорейские Хакеры перенаправили свои атаки с традиционных финансов на этот новый цифровой финансовый сектор, сначала нацелившись на рынок криптовалют Южной Кореи, а затем расширив свои действия на глобальном уровне.

В 2022 году северокорейский хакер был обвинен в краже около 1,7 миллиарда долларов в криптоактивах, что составляет примерно 5% от размера экономики Северной Кореи или 45% от ее военного бюджета. Эта цифра почти в 10 раз превышает объем экспорта Северной Кореи в 2021 году.

Методы преступной деятельности северокорейских хакеров в криптоиндустрии обычно схожи с традиционной сетевой преступностью, использующей шифровальные миксеры, кросс-чейн-транзакции и сделки с фиатной валютой на внебиржевом рынке. Однако, благодаря государственной поддержке, масштаб их действий значительно превышает обычные преступные группировки.

Данные показывают, что в 2022 году около 44% украденных криптоактивов были связаны с хакерами из Северной Кореи. Их цели не ограничиваются только биржами, но также включают частных пользователей, венчурные компании и другие технологии и протоколы.

Работники криптоиндустрии, операторы бирж и предприниматели должны осознавать возможность стать целью хакерских атак. Традиционным финансовым учреждениям также следует внимательно следить за деятельностью северокорейских хакерских групп.

После вторжения северокорейского хакера обычно перемещают средства между различными аккаунтами, чтобы скрыть источник, и используют украденные личности и изменённые фотографии, чтобы обойти меры против отмывания денег и проверки личности. Компании в нешифрованной и финансовой отраслях также должны быть настороже, чтобы их данные или инфраструктура не использовались в качестве трамплина для дальнейших вторжений.

Чтобы предотвратить атаки социальной инженерии и фишинга, организации должны обучать сотрудников распознавать такие действия и внедрять надежную многофакторную аутентификацию, такую как безпарольная аутентификация, соответствующая стандарту FIDO2.

Северная Корея будет продолжать красть криптоактивы как основной источник дохода для финансирования военных и оружейных программ. В последние годы количество украденных криптоактивов и количество запусков ракет значительно увеличилось. Если не будет введено более жесткое регулирование, требования к кибербезопасности и инвестиции, Северная Корея почти наверняка продолжит использовать индустрию криптоактивов в качестве дополнительного источника дохода.

В июле 2023 года одна компания-разработчик программного обеспечения подверглась атаке со стороны северокорейского хакера. Исследователи указали, что за этой атакой стоит группа UNC4899, скорее всего, связанная с северокорейской хакерской организацией "TraderTraitor", которая сосредоточена на криптоактивах. В августе того же года Федеральное бюро расследований США сообщило, что северокорейская хакерская организация была вовлечена в несколько атак, в результате которых было похищено криптоактивов на сумму 197 миллионов долларов. Эти средства позволили правительству Северной Кореи продолжать свою деятельность в условиях строгих санкций и финансировать до 50% стоимости программы баллистических ракет.

В 2017 году северокорейские хакеры взломали несколько южнокорейских бирж, похитив около 82,7 миллиона долларов в Криптоактивы. В том же году они также начали заниматься добычей Криптоактивов.

В 2018 году исследователи обнаружили, что северокорейская хакерская организация использует скомпрометированные серверы для добычи монеро.

В 2020 году исследователи безопасности сообщили о новой волне кибератак северокорейских хакеров на глобальную криптоактивы-индустрию, используя социальные платформы в качестве первоначальной цели для контакта.

2021 год был самым активным годом для Северной Кореи в сфере криптоактивов, когда они атаковали как минимум 7 учреждений и похитили 400 миллионов долларов в криптоактивах. Они также начали нацеливаться на токены и NFT.

В 2022 году северокорейская хакерская группа провела несколько масштабных атак, в основном на кросс-чейн мосты, что привело к огромным потерям.

С января по август 2023 года северокорейская хакерская группа, как сообщается, похитила около 200 миллионов долларов с нескольких платформ. Они использовали такие методы, как социальная инженерия, и долгое время скрывались, чтобы получить доступ к сети.

Для предотвращения кибератак со стороны Северной Кореи рекомендуется принять следующие меры:

1. Включите многофакторную аутентификацию и используйте аппаратные устройства для повышения безопасности.
2. Включите все доступные настройки многофакторной аутентификации для учетной записи биржи.
3. Подтверждение подлинности аккаунтов в социальных сетях.
4. Проверка законности транзакций и рекламных мероприятий.
5. Проверьте официальные источники, чтобы подтвердить подлинность таких мероприятий, как аирдропы.
6. Тщательно проверяйте URL, остерегайтесь фишинговых сайтов.
7. Используйте аппаратные кошельки для хранения криптоактивов.
8. Используйте только доверенные децентрализованные приложения и проверяйте адреса смарт-контрактов.
9. Будьте осторожны с фишинговыми сайтами с ошибками в написании доменов.
10. Сохраняйте сомнение в сделках, которые выглядят слишком выгодными.