Технологія армагеддону. Як хакери та крадіжка криптовалют фінансують ядерну програму Північної Кореї
IT-індустрія12 жовтня 2022, 20:03
З початку пандемії коронавірусу Північна Корея все більше залежить від криптовалют. Історично країна була активним учасником чорного ринку та контрабанди, а її торговими партнерами були і залишаються Китай, Росія та інші країни Південно-Східної Азії. Головним товаром було вугілля, наркотики, сигарети та робоча сила.
Проте коронавірус змінив долю країни. Кім Чен Ин розпорядився повністю закрити кордони (що насправді означало перекрити навіть контрабандні шляхи), через що і так невеликі доходи від експорту практично впали до нуля. Зрештою, це лише відтягнуло неминуче — ковід дістався КНДР і влаштував там хаос.
Хакери — ключ до багатства
Північна Корея має альтернативне джерело збагачення, яке вже претендує на звання одного з головних.
Передплатіть NV Преміум та читайте без обмежень
Нам необхідна ваша підтримка, щоб займатися якісною журналістикою
Зараз режим Кім Чен Іна тримається не в останню чергу завдяки цілій армії хакерів: за останніми оцінками в північнокорейській кіберпрограмі залучено близько 7000 осіб. Враховуючи, що лише 1% жителів КНДР мають доступ до Інтернету, а більшість населення практично не розуміє, як працюють комп’ютери та інші технології, подібні можливості виглядають парадоксально.
Головна мета хакерів — зламування ресурсів з метою збагачення і крадіжка криптовалюти. Наприклад, наприкінці березня два найвідоміші хакерські угруповання КНДР — Lazarus Group і APT38 — зламали блокчейн Ronin та онлайн-відеогру Axie Infinity, яка працює на ньому, вкравши криптовалюту Ethereum, обсяги якої тоді оцінювалися в $625 млн.
Все сталося до банальності просто, а почалося із зараженого PDF-файлу, який хакери відправили одному із старших інженерів Axie Infinity, замаскувавши його під пропозицію про роботу. Як тільки інженер перейшов за посиланням, він дав доступ хакерам до системи та чотирьом із дев’яти валідаторів, які контролюють блокчейн. Для повного контролю потрібна більшість — тобто, як мінімум, доступ до п’яти валідаторів. Хакери змогли знайти ключі до нього з внутрішньої мережі Axie Infinity, після чого почали зливати собі криптовалюту із системи.
Північнокорейські хакери часто користуються послугами акторів і прокачують навички соціальної інженерії, видаючи себе за бізнесменів, претендентів на роботу або потенційних партнерів, щоб увійти в довіру і отримати доступ до системи, пише CNET.
Як працюють хакери із КНДР?
Рекрутер компанії Stella Talent Partners Елліотт Гарлок, який працював на неназвану криптофірму, розповів про незвичайного кандидата. Він приєднався на співбесіду в Zoom з вимкненою камерою, на тлі постійно стояв незрозумілий шум, начебто чоловік перебував у переповненій кімнаті чи офісі. Сам він стверджував, що живе у Сан-Франциско, проте назвати свою точну адресу не зміг.
Згодом таких інтерв'ю ставало дедалі більше. Спочатку Гарлок підозрював, що такі претенденти розраховують отримати контракт, гроші й не працювати, проте тепер він має нову гіпотезу. Саме так все частіше діють північнокорейські хакери, намагаючись впровадитись у систему компаній, що працюють у криптоіндустрії.
Про схожий досвід розповідає і Вільям Берлесон, який займається добором персоналу Up Top Search для компаній у криптосфері. Під час одного із своїх проектів він створював канал у Discord, щоб його клієнти могли набирати співробітників безпосередньо за допомогою цієї платформи.
Вже першого тижня Берлесон зіткнувся з трьома підозрілими кандидатами, яких він тепер вважає північнокорейськими оперативниками. Вони відмовлялися вмикати камери, а на тлі чоловік часто чув шепіт, ніби хтось за кадром підказував, що і як треба говорити у відповідь на запитання Берлесона. Крім того, він зазначає, що співрозмовники взагалі не виявляли емоцій, а спілкування з ними рекрутер називат «моторошним».
Проте найпідозрілішим було те, що замість резюме ці кандидати залишали посилання — нібито своє портфоліо. Засоби перевірки показували, що ці посилання є підозрілими і переходити на них не варто.
Є кілька причин, через які криптофірми особливо вразливі для хакерів із КНДР. Багато хто з них працює віддалено, крім того криптокультура загалом відкрита до анонімності. За словами Гарлока, багато компаній зі сфери криптовалют готові наймати людей, про яких вони знають небагато, якщо ті хороші у своїй роботі.
Керівник відділу досліджень Convex Labs Нік Бакс каже, що найкращий спосіб уникнути атак хакерів — працювати над запобіганням зламуванням. За його словами, Північна Корея спеціалізується на фішинговому шахрайстві — так, близько половини всіх фішингових атак на криптофірми походить від північнокорейських хакерів.
Що відбувається після крадіжки?
Поступово картинка крадіжок збирається докупи. Після зламування Північна Корея не продає криптовалюту однією транзакцією, оскільки це полегшило б відстеження хакерів. Натомість вони продають партії біткоїнів та ефіру протягом місяців і навіть років — наприклад, криптовалюта, вкрадена з блокчейну Ronin у березні, ще досі не продана повністю. Для цього корейська влада активно співпрацює з різними злочинцями та шахраями, які допомагають їм провертати різні афери.
Для Північної Кореї недолік такого підходу в тому, що згодом активи можуть дешевшати, як це сталося через падіння курсу криптовалют у 2022 році.
Після продажу та відмивання гроші йдуть на підтримку системи влади КНДР. За даними Міністерства фінансів США, частина одержаних коштів спрямовується на ракетну та ядерну програми Північної Кореї. Те саме говорять і в ООН. Так, за інформацією ООН, у 2019 році КНДР отримала приблизно 2 мільярди доларів, які були спрямовані на програми для створення зброї масового ураження.
Нещодавно КНДР запустила ракету, яка пролетіла над Японією, а також імітувала ядерні удари по Південній Кореї.
Наразі основні побоювання щодо ядерної війни зосереджені навколо Путіна та війни в Україні. Проте дослідники зазначають, що свій ядерний потенціал нарощують в Ірані та КНДР. Однак якщо влада Ірану підтримує запаси нафти, то Північна Корея — унікальна щодо цього країна, яка уникає санкцій за допомогою криптовалют.