Технология армагедона. Как хакеры и воровство криптовалют финансируют ядерную программу Северной Кореи

Сейчас режим Ким Чен Ына держится не в последнюю очередь благодаря целой армии хакеров: согласно последним оценкам в северокорейской киберпрограмме задействованы около 7000 человек. Учитывая, что лишь у 1% жителей КНДР есть доступ в Интернет, а большая часть населения практически не понимает, как работают компьютеры и другие технологии, подобные возможности выглядят парадоксально.

Главная цель хакеров — взлом ресурсов с целью обогащения и кража криптовалюты. К примеру, в конце марта две самые известные хакерские группировки КНДР — Lazarus Group и APT38 — взломали блокчейн Ronin и онлайн-видеоигру Axie Infinity, работающей на нем, украв криптовалюту Ethereum, объемы которой тогда оценивались в $625 млн.

Все произошло до банальности просто, а началось с зараженного PDF-файла, который хакеры отправили одному из старших инженеров Axie Infinity, замаскировав его под предложение о работе. Как только инженер перешел по ссылке, он дал доступ хакерам к системе и четырем из девяти валидаторов, которые контролируют блокчейн. Для полного контроля нужно большинство — то есть как минимум доступ к пяти валидаторам. Хакеры смогли найти ключи к нему по внутренней сети Axie Infinity, после чего начали сливать себе криптовалюту из системы.

Северокорейские хакеры часто пользуются услугами актеров и прокачивают навыки социальной инженерии, выдавая себя за бизнесменов, соискателей работы или потенциальных партнеров, чтобы войти в доверие и получить доступ к системе, пишет CNET.

Как работают хакеры из КНДР?

Рекрутер компании Stella Talent Partners Эллиотт Гарлок, работавший на неназванную криптофирму, рассказал о необычном кандидате. Он присоединился на собеседование в Zoom с выключенной камерой, на фоне постоянно стоял непонятный шум, как будто мужчина находился в переполненной комнате или офисе. Сам он утверждал, что живет в Сан-Франциско, однако назвать свой точный адрес не смог.

Со временем таких интервью становилось все больше. Поначалу Гарлок подозревал, что подобные соискатели рассчитывают получить контракт, деньги и не работать, однако теперь у него новая гипотеза. Именно так все чаще действуют северокорейские хакеры, пытаясь внедриться в систему компаний, работающих в криптоиндустрии.

О похожем опыте рассказывает и Уильям Берлесон, занимающийся подбором персонала в Up Top Search для компаний в криптосфере. Во время одного из своих проектов он создавал канал в Discord, чтобы его клиенты могли набирать сотрудников непосредственно с помощью этой платформы.

Уже в первую неделю Берлесон столкнулся с тремя подозрительными кандидатами, которых он теперь считает северокорейскими оперативниками. Они отказывались включать камеры, а на фоне мужчина часто слышал шепот, будто кто-то за кадром подсказывал, что и как нужно говорить в ответ на вопросы Берлесона. Кроме того, он отмечает, что собеседники вообще не проявляли эмоций, а общение с ними рекрутер называет «жутким».

Однако самым подозрительным было то, что вместо резюме эти кандидаты оставляли ссылки — якобы на свое портфолио. Средства проверки показывали, что эти ссылки являются подозрительными, и переходить по ним не стоит.

Есть несколько причин, по которым криптофирмы особенно уязвимы для хакеров из КНДР. Многие из них работают удаленно, кроме того криптокультура в целом открыта к анонимности. По словам Гарлока, многие компании из сферы криптовалют готовы нанимать людей, о которых они знают немного, если те хороши в своей работе.

Руководитель отдела исследований Convex Labs Ник Бакс говорит, что лучший способ избежать хакерских атак — работать над предотвращением взломов. По его словам, Северная Корея специализируется на фишинговом мошенничестве — так, около половины всех фишинговых атак на криптофирмы исходит от северокорейских хакеров.

Что происходит после кражи?

Постепенно картинка краж собирается воедино. После взлома Северная Корея не продает криптовалюту одной транзакцией, поскольку это облегчило бы отслеживание хакеров. Вместо этого они продают партии биткоинов и эфира на протяжении месяцев и даже лет — например, криптовалюта, украденная из блокчейна Ronin в марте, все еще не продана полностью. Для этого корейские власти активно сотрудничают с различными преступниками и мошенниками, которые помогают им проворачивать различные аферы.

Для Северной Кореи недостаток такого подхода в том, что со временем активы могут дешеветь, как это случилось из-за падения курса криптовалют в 2022 году.

После продажи и отмывания, деньги идут на поддержание системы власти КНДР. По данным Министерства финансов США, часть вырученных средств направляется на ракетную и ядерные программы Северной Кореи. То же самое говорят и в ООН. Так, по информации ООН, в 2019 году КНДР получила примерно $2 миллиарда, которые были направлены на программы для создания оружия массового поражения.

Недавно КНДР запустила ракету, которая пролетела над Японией, а также имитировала ядерные удары по Южной Корее.

Сейчас основные опасения по поводу ядерной войны сосредоточены вокруг Путина и войны в Украине. Однако исследователи отмечают, что свой ядерный потенциал наращивают в Иране и КНДР. Однако если власти Ирана поддерживают запасы нефти, то Северная Корея — уникальная в этом отношении страна, которая избегает санкций с помощью криптовалют.