В последние годы криптовалютный сектор стал одной из ключевых целей для киберпреступников во всем мире. Особую опасность представляют хакеры из Северной Кореи, деятельность которых регулярно привлекает внимание международных правоохранительных органов и СМИ. По последним данным, поступившим от Федерального бюро расследований США (ФБР), группы северокорейских хакеров целенаправленно используют вредоносное программное обеспечение для проникновения в криптобиржи и связанные с ними компании. Этот тренд вызывает серьезные опасения в мире кибербезопасности и индустрии цифровых финансов. Северокорейские злоумышленники известны своей высокой организованностью, терпением и технологической продвинутостью.
Их основная цель — похищение криптовалютных активов, так как такие операции сложнее отследить и предотвратить благодаря специфике технологий блокчейн и децентрализованных финансов (DeFi). Хакеры тщательно изучают цели своих атак на протяжении нескольких месяцев, собирая информацию об организациях и сотрудниках через социальные сети и публичные базы данных. Используя методы социальной инженерии, злоумышленники подделывают личные профили и делают вид, что представляют реальные компании или известных специалистов, чтобы завоевать доверие жертв. Одним из распространённых приёмов является предложение выгодных вакансий, инвестиционных возможностей или партнерств, которые на первый взгляд выглядят очень заманчиво. Однако именно за этой внешней привлекательностью скрывается попытка заставить сотрудника криптобиржи скачать вредоносное приложение или выполнить скрипт, который затем позволяет получить доступ к корпоративной сети.
Северокорейские хакеры также создают поддельные веб-сайты с официальным стилем известных организаций, что усложняет распознавание обмана. Они могут предлагать прохождение якобы «предварительных тестов» для трудоустройства, которые на самом деле служат для инсталляции вредоносного программного обеспечения на устройства жертв. Обычно такие приложения или файлы маскируются под безобидные документы, презентации или обновления программного обеспечения. Именно из-за такого рода обманов даже опытные специалисты в области кибербезопасности оказываются под угрозой — уровень настойчивости и изобретательности хакеров чрезвычайно высок. Криптовалюты привлекательны для злоумышленников по ряду причин.
Во-первых, операции с цифровыми активами необратимы. Если средства украдены, вернуть их практически невозможно — отсутствует механизм чарджбеков, который присутствует в традиционных банковских системах. Во-вторых, владельцы криптовалют могут хранить их анонимно, используя разные цифровые кошельки и технологии микширования, такие как Tornado Cash, которые усложняют трассировку перевода украденных средств. Исторически Северная Корея ассоциируется с одним из самых опасных и широко известных хакерских коллективов — Lazarus Group. Они стояли за крупными кибератаками, включая взлом Sony Pictures в 2014 году, многомиллионные атаки на блокчейн-проекты Harmony и Ronin, где сумма украденных средств достигала сотен миллионов долларов.
Группа Lazarus также связывается с эксплуатацией уязвимостей нулевого дня в системах Microsoft Windows, что даёт преступникам дополнительные возможности для проникновения и длительного пребывания в сетях жертв. В последнее время злоумышленники из Северной Кореи меняют тактику, всё чаще маскируясь под американских IT-специалистов, которые ищут удалённую работу. Многие компании сообщили о подозрениях в том, что до 80% кандидатов на позициях в сфере информационных технологий с некоторых сайтов на самом деле являются хакерами из этой страны. Такие «удалённые сотрудники» могут встраивать вредоносное ПО сразу после подключения корпоративных устройств к сетям компании, что приводит к скрытому краже данных и средств. Федеральное бюро расследований настоятельно рекомендует организациям и специалистам в криптоиндустрии строго проверять личность каждого претендента, не использовать корпоративную инфраструктуру для прохождения сомнительных тестов и избегать скачивания непроверенных приложений и файлов.
Защита аккаунтов с использованием двухфакторной аутентификации и современного антивирусного программного обеспечения существенно снижает риск компрометации. Помимо технических мер, важно развивать культуру безопасности и осведомленность сотрудников о методах социальной инженерии. Обучение персонала различать фишинговые атаки и тщательно проверять каждые подозрительные запросы на взаимодействие с IT-системами способствует защите корпоративных активов. Рост числа атак на криптовалютные компании свидетельствует о том, что цифровые финансы всё больше становятся мишенью для государственно-спонсируемых и организованных преступных групп. Понимание подходов, используемых северокорейскими хакерами, и соблюдение комплексных мер безопасности позволяет снизить вероятность успешных взломов и защитить ценные ресурсы.
