Створена в’єтнамською ігровою студією, криптогра Axie Infinity дозволяє розводити, торгувати та боротися з мультяшними монстрами, схожими на покемонів, заробляючи на цьому криптовалюту. На якомусь етапі у грі нараховувалось більше мільйона активних гравців. Але на початку цього року мережу блокчейнів, що лежить в основі гри, зламали північнокорейські хакери. Вони вкрали близько $620 млн у криптовалюті ефір.
Одна з найбільших в історії крадіжка криптовалюти, підтверджена ФБР, ілюструє відточення навиків північнокорейських хакерів. Західні служби та компанії з кібербезпеки розглядають Північну Корею як одну з чотирьох ключових у світі кіберзагроз, поряд із Китаєм, Росією та Іраном.
Згідно з даними групи експертів ООН, які контролюють виконання міжнародних санкцій, гроші, зібрані в ході злочинних кібероперацій Північної Кореї, допомагають їй фінансувати незаконні програми балістичних ракет і ядерну програму – приблизно на третину.
За оцінками криптоаналітичної компанії Chainalysis, Північна Корея вкрала приблизно $1 млрд за перші дев’ять місяців 2022 року лише з децентралізованих криптобірж. Швидкий крах FTX, однієї з найбільших криптобірж, підкреслив непрозорість та спекулятивний характер ринку цифрових активів. А зростаюче використання Північною Кореєю криптозломів також продемонструвало відсутність суттєвого міжнародного регулювання цих ринків.
За словами аналітиків, масштаб і складність злому Axie Infinity показали, наскільки безсилі США та країни-союзники у запобіганні криптоатакам північнокорейських хакерів. З моменту злому вдалося відновити лише близько $30 млн у криптовалюті. Це стало можливим після того, як альянс правоохоронних органів і компаній з криптоаналітики відстежив частину вкрадених коштів за допомогою серії децентралізованих бірж і так званих криптоміксерів. Зокрема, в серпні США наклали санкції на такий криптоміксер Tornado Cash, який, за даними Міністерства фінансів США, використовувався хакерами для відмивання понад $450 млн, отриманих ними в Ethereum.
Хакери як основа режиму Північної Кореї
Диктаторський режим Північної Кореї має яскраву історію участі у злочинній діяльності як засобу накопичення іноземної валюти. У 1970-х роках тодішній правитель країни Кім Ір Сен доручив своєму синові та наступнику Кім Чен Іру створити осередок у правлячій Робітничій партії Кореї. “Офіс 39” став однією з кількох організацій, створених режимом для отримання мільярдів доларів на рік від реалізації злочинних схем, починаючи від виробництва та розповсюдження підроблених сигарет і доларових банкнот США до продажу наркотиків, мінералів, зброї та навіть рідкісних видів тварин.
Північнокорейські чиновники, дипломати, шпигуни були мобілізовані для підтримки цієї незаконної тіньової економіки, яка продовжує діяти досі через складну мережу підставних компаній, фінансових установ, іноземних брокерів та організованих злочинних груп, які сприяють глобальному розповсюдженню та уникненню санкцій.
Останні десятиліття Пхеньян також провів, посилюючи свій кіберпотенціал. Кім Чен Ір бачив цінність об’єднаних в мережу комп’ютерів як засобу для керування посадовими особами режиму, а також як платформу для підтримки розвитку ядерної та іншої зброї. “Якщо інтернет схожий на пістолет, то кібератаки схожі на атомні бомби”, – заявляв Кім Чен Ір. Коли до влади прийшов його син Кім Чен Ин у 2011 році, кіберпотенціал Північної Кореї почав привертати увагу міжнародної спільноти.
Незважаючи на те, що менше 1% населення країни має обмежений доступ до інтернету, армія хакерів Північної Кореї нараховує близько 7000 осіб. Їх набирають ще зі школи, навчають в елітних державних установах, а деяких відправляють на навчання та отримання додаткового досвіду в Китай та інші країни.
У 2014 році північнокорейські хакери атакували Sony Pictures перед виходом голлівудської комедії “Інтерв’ю” про вигадану спробу вбивства Кім Чен Ина. Хакери вимкнули комп’ютерну мережу продакшн-студії, а потім погрожували керівникам оприлюднити конфіденційні внутрішні документи.
У 2016 році відбулася атака на центральний банк Бангладеш. Члени Lazarus Group, того самого синдикату, який стоїть за зломом Axie Infinity, зламали комп’ютерну мережу банку та ховалися в ній протягом року, перш ніж відправити запити Федеральному резервному банку в Нью-Йорку на переведення $951 млн із резервів Центробанку Бангладеш.
У 2017 році Lazarus Group випустила руйнівний вірус WannaCry, який заразив щонайменше 200 000 комп’ютерів у лікарнях, нафтових компаніях, банках та інших організаціях по всьому світу.
Та злом Axie Infinity продемонстрував нові можливості північнокорейських хакерів, їхню здатність використовувати вразливості в новітніх технологіях блокчейну майже так само швидко, як вони виникають. Транзакції в грі Axie Infinity підтримувалися мережею Ronin Network, так званим “перехресним ланцюжковим мостом”, який з’єднує різні блокчейни і повинен мати високий рівень безпеки. Хакери отримали доступ до п’яти з дев’яти закритих ключів, цифрових відсіків, які зберігають ключову інформацію. Це дозволило хакерам схвалювати зняття коштів на свою користь.
“Якщо DDOS-атака є кібер-еквівалентом побиття когось бейсбольною битою, то успішні рейди на міжланцюгові мости, такі як Ronin і Horizon, еквівалентні крадіжці чийогось гаманця через дірку в кишені, про яку вони навіть не знали”, – прокоментував Нільс Вайссензе, експерт з кібербезпеки в сеульському інформаційному сервісі NK Pro.
Криптовалюта також відкриває нові можливості для відмивачів грошей. Щоб уникнути спрацювання сповіщень на криптобіржах про внесення великих депозитів за один раз, хакери використовують так званий “ланцюжок очищення” — встановлюють довгий ланцюжок адрес і ініціюють невеликі суми цифрової валюти з кожним переказом. Згідно з обвинувальним актом Міністерства фінансів США від 2020 року, двоє громадян Китаю успішно перевели $67 млн у біткоїнах від імені північнокорейських хакерів, використовуючи цей метод, здійснивши 146 окремих транзакцій.
За словами дослідників з Белферського центру науки та міжнародних відносин Гарвардського університету, Північна Корея також накопичує цифрові валюти за допомогою криптомайнінгу, який країна організувала завдяки значним запасам вугілля. Експортувати його Пхеньян не може через санкції ООН.
Північна Корея також збагачується на NFT – або шляхом штучного завищення їх вартості за допомогою техніки “wash trade”, або шляхом використання NFT для відмивання вкрадених коштів, або шляхом прямої крадіжки з використанням фішингових атак.
У 2021 році північнокорейські хакери також здійснили незаконну первинну пропозицію монет (ICO) для шахрайського блокчейну.
Спіймай мене, якщо зможеш
Виявити та відстежити методи, що застосовують північнокорейські хакери, складно. Зупинити їх ще важче.
У 2018 році прокуратура США звинуватила північнокорейського хакера Пак Джин Хьока у здійсненні атак на Sony, Центробанк Бангладеш, атаки з використанням WannaCry та інших операціях від імені режиму Кім Чен Ина. Проте аналітики відзначають, що ані Пак, ані ще два північнокорейські хакери, яких США ідентифікували у 2021 році як співробітників військової розвідки Північної Кореї, ані будь-які інші громадяни Північної Кореї ніколи не були притягнуті до відповідальності за участь у хакерських операціях чи кіберкрадіжках.
США намагаються вживати заходів проти банків, бірж та криптоміксерів, а також виявляти та карати громадян інших країн за взаємодію з Північної Кореєю. Проте і це не перешкоджає останній використовувати глобальне поширення криптовалют на свою користь.
Частково це пов’язано з природою самої Північної Кореї. Вона є єдиною країною, яка здатна мобілізувати весь свій державний апарат на підтримку глобальних злочинних операцій. Адже на відміну від Китаю, Росії та Ірану, Північна Корея не приймає участі у світовій фінансовій системі, і з погляду економіки їм майже нічого втрачати. Відсутність чіткого регулювання криптогалузі у більшості країн також використовує Північна Корея.
“Північна Корея становить потенційну небезпеку для нашої критично важливої інфраструктури, але важко зрозуміти, як ми можемо відповісти, окрім як розпочати тотальну кібервійну”, — каже Десмонд Денніс, кіберексперт і колишній спеціальний агент ФБР і Розвідувального управління оборони США. “Але це, ймовірно, було б інтерпретовано Пхеньяном як акт війни проти держави, яка володіє ядерною зброєю”.
За матеріалами Financial Times