Северокорейские хакеры выдают себя за IT-спецов и воруют крипту

Северная Корея давно считается одной из самых агрессивных стран в киберпространстве. Главным игроком на этом поле считается группа Lazarus — прославившаяся взломом Sony Pictures, атаками на SWIFT и многочисленными кражами криптовалюты. Помимо Lazarus, активны также подразделения APT38, BlueNoroff и Andariel, которые все аффилированы с военной разведкой КНДР.

Как работает схема: фейковые IT-эксперты из Пхеньяна

По данным Министерства финансов США, только за 2023 год северокорейские хакеры похитили более $1,7 млрд в криптовалюте. Всего же с 2017 года их “добыча” оценивается более чем в $3,5 млрд.

Вот как строится атака:

1. Формирование резюме и профилей:
   Создаются десятки фейковых личностей на LinkedIn, GitHub, Upwork и других платформах. Один из реальных примеров — профиль “Paul Kim”, заявленный как облачный инженер с опытом в AWS, Google Cloud и Solidity.
2. Получение работы в зарубежных компаниях:
   В 2023 году расследования показали, что хакеры устраивались на позиции разработчиков в такие компании, как Harmony (DeFi-платформа) и Axie Infinity (игровой блокчейн-проект).
3. Доступ к внутренним кошелькам и инфраструктуре:
   После трудоустройства преступники получали права доступа к корпоративным кошелькам и внутренним сервисам. Именно так была реализована атака на Ronin Bridge (Axie Infinity), где украли около $625 млн в криптовалюте — крупнейшая кража в истории DeFi.
4. Вывод и отмывание средств:
   Украденные средства прогоняются через миксеры вроде Tornado Cash, а также через биржи в Китае и России. Это сильно затрудняет отслеживание транзакций и возврат активов.

Громкие кейсы и реальные жертвы

• Harmony Bridge (2022): Потери — $100 млн. Атака связана с группой Lazarus.
• Ronin Bridge (Axie Infinity, 2022): Потери — $625 млн. Самая масштабная атака на DeFi на сегодняшний день.
• Atomic Wallet (2023): Потери — более $35 млн.
• Trade and IT Freelance платформы: По данным Chainalysis, только за 2023 год выявлено более 1 500 фейковых аккаунтов, связанных с КНДР.

Почему их до сих пор сложно остановить

• Работа через фриланс-платформы: Хакеры успешно используют Upwork, Freelancer и другие площадки, где проверка биографии минимальна.
• Глобальная анонимность: Вакансии для удалёнщиков открывают двери для фейковых специалистов со всего мира.
• Взлом корпоративной культуры: В быстрорастущих криптокомпаниях часто не хватает ресурсов на глубокую проверку сотрудников, особенно если речь о срочных проектах.

Как защититься: советы на практике

• Всегда требуйте видеособеседование и проверяйте подлинность документов.
• Настраивайте лимиты доступа и обязательную многофакторную аутентификацию.
• Отслеживайте необычные транзакции и действия новых сотрудников.
• Используйте независимые сервисы по проверке кандидатов и аналитике транзакций (Chainalysis, TRM Labs).