По данным Chainalysis, в 2022 году у криптовалютных компаний было украдено $3,8 миллиардов. Около половины этой суммы досталась взломщикам из Северной Кореи. В этой статье мы попытаемся разобраться, кто за этим стоит.
Многие учебные заведения в КНДР оборудованы компьютерными классами, но не имеют выхода в Интернет. Наиболее одаренных школьников, проявляющих способности к программированию и математике, отбирают еще в младших классах и направляют в специализированные школы, где они проходят углубленное обучение. Самые талантливые ребята участвуют в престижных международных олимпиадах по математике и программированию, где северокорейские школьники неизменно показывают высокие результаты и выигрывают престижные награды. Обычно такие делегации сопровождают суровые взрослые мужчины в штатском, а сами студенты не общаются и не контактируют с другими участниками мероприятия — эту их характерную замкнутость отмечали многие конкурсанты из других стран.
В 2004 году южнокорейский генерал-майор сообщил о том, что в Северной Корее ежегодно обучают сотни хакеров для атаки Южной Кореи. В 2014 году бежавший из Северной Кореи профессор подтвердил существование “Бюро-121”. Профессор преподавал в закрытом учебном центре и оценил численность учащихся в 3000 человек.
Организация
Предполагается, что в северокорейских университетах отбирают перспективных студентов, а затем отправляют на особое обучение в китайский город Шэньян.
Внутри Lazarus находятся две отдельные группы. Их численность оценивается в 1700 и 1600 участников.
ФБР считает, что за Lazarus стоит “Bureau 121” — подразделение разведывательного управления генштаба Северной Кореи. Сначала команда занималась шпионажем, но в 2017 году переключилась на финансовые операции. Первые атаки на банки начались в 2017 году в Польше.
Отель “Рюгён”
В 2017 году российская компания Group-IB провела расследование атак на международные банки. По их информации, атаки совершались из пхеньянского района Потхонган, где находится штаб-квартира национального комитета по обороне КНДР и недостроенный отель Рюгён (Ryugyong), к которому подведены коммуникации. Гостиница представляет собой 105-этажный небоскреб пирамидальной формы, высотой 330 метров. Северная Корея вложила 2% ВВП в строительство отеля, который не был введен в эксплуатацию. Гостиница была крупнейшим в мире пустующим зданием. Рядом с ней расположена станция метро.
Начало
Судя по всему, работа группы началась в 2014 году после выхода политической комедии “Интервью” в США. В финале фильма убивают главу КНДР Ким Чен Ына. Хакеры разослали угрозы сотрудникам Sony Pictures, а затем совершили атаку на сервера компании и кинотеатры AMC.
В 2016 году власти Южной Кореи сообщили о взломе 160 сетей и заражении 140 тысяч компьютеров. Расследование привело к центральному району Пхеньяна. Взломщикам удалось похитить более 42 тысяч файлов, в том числе информацию об американском истребителе F-15.
Анализ угрозы, проведенный правительством США, отмечает этих злоумышленников в киберпространстве как субъектов, нацеленных на различные организации в индустрии блокчейнов и криптовалют. В список целей входят криптобиржи, протоколы DeFi, видеоигры с криптовалютой P2E, компании по торговле криптовалютой, венчурные фонды и отдельные держатели больших объемов криптовалюты или ценных NFT.
Имена
В 2021 году власти США официально обвинили 31-летнего Джона Чан Хека, 27-летнего Кима Ира и 36-летнего Пак Чжин Хека в совершении киберпреступлений, которые привели к краже $1,3 миллиарда.
По данным разведки США, трое обвиняемых являются сотрудниками северокорейской военной разведки и действуют из различных локаций, в том числе Китая, России и Сингапура.
Они участвовали в разработке схемы кибер-атак, создавали вредоносные криптовалютные приложения, мошеннические блокчейн-платформы, отмывали средства через криптовалютные микшеры.
США называет их участниками хакерской группы Lazarus Group, которую поддерживают власти Северной Кореи. Эту группу обвиняют в крупнейших кибер-атаках, в том числе атаке на Sony Pictures и создании шифровальщика WannaCry.
Известно, что Пак Чжин Хек был программистом северокорейской компании Chosun Expo Joint Venture и несет ответственность за взлом Sony Pictures, Центрального банка Бангладеша и распространение WannaCry.
Методы работы
Социальная инженерия
Убеждают жертву загрузить троян в операционную систему, получают доступ к компьютеру, распространяют вредоносное ПО по сети.
Киберпреступники начинают свою деятельность с рассылки большого количества фишинговых писем сотрудникам криптобизнеса. В основном они нацелены на людей, занимающихся системным администрированием или разработкой программного обеспечения/ИТ-операциями (DevOps).
Сообщения, которые отправляют эти хакеры, обычно представляют собой оповещения о наборе персонала с предложением высокооплачиваемой работы.
Отмывание средств
Украденные криптовалюты хакеры часто перемешивали через Blender.io, который попал под санкции США. Микшер был перезапущен под названием Sinbad.io и использовался Lazarus для отмывания средств при взломе Atomic Wallet и Horizon.
Хакеры активно используют платформу для конфиденциальности смарт-контрактов Railgun, перед тем как отправить средства на микшер.
В конечном итоге средства проходили через биржи, где хакеры обходили процедуру KYC, используя поддельные фотографии. В качестве фото использовались изображения граждан Южной Кореи и Германии.
Известные атаки
Sony Pictures
В 2014 году группа Lazarus была связана с кибератакой на Sony Pictures, в результате которой была украдена конфиденциальная информация и обнародована общественности. Кампания была проведена с использованием вредоносной программы Destover.
Личные письма сотрудников киностудии, данные их медицинских страховок, документы о зарплатах, сценарии еще не снятых фильмов (включая сценарий следующего фильма о Джеймсе Бонде) и пять предрелизных кинолент попали в открытый доступ. Одна из руководительниц компании, Эми Паскаль, ушла в отставку из-за неудачной и очень неполиткорректной шуточки в адрес Барака Обамы, которую она сделала в переписке, слитой хакерами.
WannaCry
В 2017 году группа Lazarus была связана с кибератакой WannaCry, которая была направлена на компьютеры с программным обеспечением Microsoft Windows. Атака была проведена с использованием вредоносной программы WannaCry ransomware и привела к серьезным финансовым потерям и нарушению работы критической инфраструктуры по всему миру.
Атака длилась 7 часов и заразила 200 тысяч компьютеров в 150 странах. Для атаки использовалась технология, при которой жертве не нужно было кликать на ссылку. Заражённый компьютер мог передать код на принтер, через который заражались новые устройства.
Данные на заражённых компьютерах были зашифрованы. Жертва должна была перевести $300 в BTC на кошелёк для получения ключа к расшифровке. Размер выкупа удваивался через 3 дня. Через неделю данные удалялись.
Атаку остановил Маркус Хатчинс, который изучил код вируса и обнаружил, что он проверяет регистрацию определённого домена. После того как Маркус зарегистрировал домен, атака остановилась.
Атака принесла взломщикам около $160,000.
Криптовалюты
ICO Marine Chain
Предполагается, что Ким Чен Ын провёл фейковое ICO в 2018 году. Проект представлял собой токенизированную долю в логистическом бизнесе в Сингапуре. Владельцы транспортных судов могли токенизировать владение на блокчейне Ethereum. Мошенники даже отправили запрос в SEC Гонконга с целью получения разрешения на торговлю ценными бумагами.
Ronin Bridge
Axie Infinity, игра с невзаимозаменяемыми токенами (NFT), в которой можно заработать, использовала Ronin в качестве сайдчейна Ethereum.
Злоумышленникам удалось обмануть одного из старших инженеров Sky Mavis (компании-разработчика Axie Infinity) и заразить его компьютер вредоносным ПО, которое было вшито в PDF-файл с предложением от фиктивной компании.
Фальшивые приглашения рассылались через LinkedIn сотрудникам Sky Mavis, пока один из них не клюнул на наживку хакеров. Пройдя несколько раундов собеседований и увидев “чрезвычайно щедрый компенсационный пакет”, инженер скачал PDF-файл, отправленный злоумышленниками, и открыл его, после чего Lazarus сначала скомпрометировали компьютер инженера, а затем четыре из девяти валидаторов, используемых для подтверждения финансовых транзакций на блокчейне Ronin.
Однако, для вывода средств из Ronin нужно разрешение пяти валидаторов. Но хакеры были к этому готовы, заранее получив доступ к пятому валидатору через Axie DAO – децентрализованную автономную организацию, созданную для поддержки игровой экосистемы.
Взлом ронинского моста произошёл в марте 2022 года. Это был крупнейший эксплойт виртуальных активов, произошедший в 2022 году. Сумма взломанных средств составила $612 миллионов. В него вошли 173,600 ETH и монеты на 25,5 миллионов долларов.
Horizon Bridge
В конце января 2022 года ФБР подтвердило, что именно эта группа организовала взлом Harmony Bridge на сумму $100 миллионов в июне 2022 года.
Злоумышленники воспользовались дырами в безопасности, существующими в мосте Harmony Horizon Ethereum, и похитили несколько активов, хранящихся на мосту, посредством 11 транзакций.
Atomic Wallet
Хакеры украли $35 миллионов в криптовалютах в результате взлома некастодиального децентрализованного криптокошелька Atomic Wallet. Об уязвимости кошелька было известно за год до взлома. Кроме того, в 2022 году копию официального сайта кошелька использовали для фишинга.
Euler Finance
DeFi-платформа была взломана 13 марта 2023 года. Сумма украденных активов составила $197 миллионов. Взломщик проекта получил от Lazarus зашифрованное послание, в котором был фишинговый запрос. Взломщик Euler отправил предупреждающее сообщение. В конечном итоге, он перевёл 100 ETH северокорейцам. Далее взломщик связался с представителями Euler и вернул 90% украденных средств.
Группа Lazarus использовала RAILGUN, протокол конфиденциальности, для перенаправления Ethereum на сумму более $60 миллионов, украденную во время взлома.
Stake.com
Хакеры увели $41 миллион из криптовалютного казино.
Как идентифицируют Lazarus?
Изначально исследователи анализировали вредоносный код, методы работы и цели группировок. Но учитывая то, что группы используют схожий код, возникла необходимость разобраться в инфраструктуре Lazarus.
Group-IB отследили IP-адреса, которые используются Lazarus: 210.52.109.22 и 175.45.178.222.