В современном мире криптовалюты становятся всё более популярным инструментом для инвестиций, расчетов и создания новых форм финансовых отношений. Вместе с этим растет и интерес злоумышленников к цифровым активам. Одной из наиболее известных и опасных группировок, специализирующихся на хищениях криптовалюты, является северокорейская хакерская группировка TraderTraitor. Они считаются одними из самых изощренных и эффективных киберпреступников, действующих под управлением Северокорейского разведывательного управления – Reconnaissance General Bureau. Эта группа входит в широкий состав хакерской сети, известной как Lazarus Group, которая связана с рядом громких и масштабных операций на международной арене.
История TraderTraitor начинается в начале 2022 года, когда группа впервые проявила себя как самостоятельный актер на киберпространстве. Однако корни насчитывают много лет назад и восходят к деятельности другой известной северокорейской группы – APT38, которая в 2016 году предприняла попытку украсть миллиард долларов из Центрального банка Бангладеш, используя систему SWIFT. Несмотря на провал операции и относительно небольшой результат, стратегическая цель была ясна: добывать средства для поддержки режима северокорейского лидера Ким Чен Ына, особенно для финансирования ядерных и военных программ.TraderTraitor сменила тактику классического финансового мошенничества и взлома банковских систем на более инновационный и перспективный способ – кражу криптовалюты. Это позволило обойти традиционные системы контроля и регулирования, загруженные бюрократией, и направить усилия группы именно на инфраструктуру цифровых активов.
Они ориентируются на крупнейшие мировые криптобиржи, блокчейн-платформы, а также Web3-компании, фокусируясь на наиболее активных и объемных рынках. Хакеры из TraderTraitor хорошо подготовлены и используют ряд уникальных стратегий для реализации своих атак. В частности, они применяют целенаправленные фишинговые атаки на сотрудников, работающих в криптовалютной отрасли, особенно на разработчиков программного обеспечения. С помощью тщательно созданных фальшивых аккаунтов, охватывающих такие платформы, как GitHub, LinkedIn, Telegram и Slack, преступники создают иллюзию взаимного сотрудничества для завоевания доверия своих жертв. Заражая компьютеры специалистов-malware через заказные репозитории или через внедрение вредоносного кода, они получают доступ к внутренним системам компаний и криптокошелькам.
Кроме традиционных методов взлома, TraderTraitor также использует сложное программное обеспечение собственной разработки. Названия таких троянов, как PLOTTWIST и TIEDYE, уже стали известны благодаря исследованиям ведущих аналитических центров по кибербезопасности. Эти трояны особенно опасны, поскольку ориентированы на macOS – операционную систему, которая до недавнего времени считалась относительно безопасной и нечасто становилась целью хакеров. Такие программы тщательно маскируются, чтобы избежать обнаружения и затруднить работу специалистов по борьбе с киберпреступностью.После успешного взлома и кражи криптовалюты особое внимание уделяется отмыванию украденных средств.
Для минимизации риска блокировки кошельков и отслеживания транзакций преступники быстро меняют формы активов – переводи токены из менее ликвидных и контролируемых цифровых валют в самые распространенные и анонимные: биткоин, эфир и другие подобные. Таким образом мошенники разделяют украденные суммы на множество мелких транзакций и распределяют по десяткам кошельков, после чего перераспределяют средства через различные криптобиржи и миксер-сервисы, значительно усложняя аналитикам задачу отслеживания и возврата украденных активов.Наиболее резонансным примером деятельности TraderTraitor стала атака на криптобиржу Bybit в феврале 2025 года, в ходе которой было похищено почти полтора миллиарда долларов. Этот случай показал степень подготовки и планирования операций – украденные средства быстро перемещались между десятками различных кошельков и сервисов, чтобы скрыть следы. Несмотря на это, специалисты по кибербезопасности и правоохранительные органы смогли с высокой вероятностью подтвердить участие TraderTraitor в этой преступной деятельности.
Нельзя не отметить и активность группы в области атак на компании, предоставляющие сервисы для организаций, в том числе в сфере программного обеспечения. Примером такой операции стала атака на компанию JumpCloud в 2023 году, предоставляющую облачные решения безопасности и управления. Взлом поставщика программного обеспечения позволяет хакерам получить доступ к большому числу конечных целей, действуя более скрытно и эффективно.Ведущие компании индустрии кибербезопасности, такие как Microsoft, Google и Palo Alto Networks, не только ведут исследование и мониторинг деятельности TraderTraitor, но и активно сотрудничают с правоохранительными органами разных стран. Однако успехи группы свидетельствуют о том, что Северная Корея выделяет на кибероперации значительные ресурсы, вкладываясь в подготовку специалистов и разработку новых технологий.
Это делает TraderTraitor одной из наиболее опасных угроз в современной цифровой экономике.Угроза, исходящая от подобного рода киберпреступников, выходит далеко за рамки личных или корпоративных убытков. Страны с развитой цифровой инфраструктурой и криптоэкономикой сталкиваются с рисками финансирования международной преступности и угрозами национальной безопасности. Кроме того, масштабные кражи и утечки доверительных данных подрывают общий уровень доверия к криптовалютам и блокчейн-технологиям, создавая сложности для легализации и внедрения новых финансовых инструментов.Эксперты подчеркивают, что ключевой мерой противодействия является повышение общей кибергигиены организаций, своевременное информирование сотрудников о методах социальной инженерии, создание многоуровневых систем защиты и активное международное сотрудничество в сфере кибербезопасности.
Важную роль играют также инвестиции в аналитические инструменты для отслеживания криптотранзакций и внедрение правовых норм, затрудняющих деятельность подобных группировок и их легализацию украденных средств.TraderTraitor — пример того, как политические режимы используют современные технологии для продвижения своих стратегических интересов и обходят международные санкции. Их деятельность служит тревожным сигналом для всего мира и напоминает о необходимости совместных усилий государств, корпораций и специалистов для борьбы с растущей угрозой киберпреступности в цифровом пространстве. В условиях стремительного развития криптотехнологий угроза, исходящая от таких групп, сохраняет свою остроту и требует постоянного внимания и адаптации мер безопасности во всех сферах цифровой экономики.
