Хакерская группа Lazarus Group, предположительно, работающая на северокорейский режим, успешно обналичила не менее 300 млн долларов из рекордных 1,5 млрд долларов криптовалюты, похищенных ею в результате взлома криптовалютной биржи ByBit, пишет Русская служба Би-би-си.
Хакерская атака была осуществлена две недели назад, и с тех пор идет игра в кошки-мышки в попытке выследить хакеров и помешать им успешно конвертировать криптовалюту в наличные деньги.
Этим занимаются эксперты ByBit, а также ряда компаний, специализирующихся на расследованиях преступлений с криптовалютой.
По их словам, Lazarus Group работает практически 24 часа в сутки. Украденные ими деньги, которые хакеры обналичивают, предположительно, направляются на военные разработки северокорейского режима.
«Для хакеров важна каждая минута. Они пытаются запутать денежный след, и они чрезвычайно искусны в этом», — говорит доктор Том Робинсон, соучредитель компании крипто-расследований Elliptic.
По его словам, из всех преступных субъектов, орудующих на крипторынке, Северная Корея наиболее эффективно обналичивает криптовалюты, говорит он.
«Я полагаю, что у них целый отдел занимается этим, используя автоматизированные инструменты и многолетний опыт. Исходя из их активности, которую мы отслеживаем, они уходят на перерыв всего на насколько часов в сутки, работая, судя по всему, посменно», — рассказывает Робинсон.
Анализ Elliptic совпадает с выводами ByBit о том, что 20% похищенных средств ушли в даркнет, а это значит, что их вряд ли когда-либо удастся вернуть.
США и их союзники обвиняют северокорейцев в десятках взломов, осуществленных за последние годы, для финансирования военных и ядерных разработок режима КНДР.
21 февраля преступники взломали одного из поставщиков ByBit с целью изменить адрес цифрового кошелька, на который были отправлены 401 тыс. криптовалютных монет Ethereum.
ByBit думала, что переводит средства на свой собственный цифровой кошелек, но вместо этого отправила их хакерам.
Бен Чжоу, генеральный директор ByBit, заверил клиентов, что их вклады не пострадали. После хакерской атаки биржа восполнила украденные средства за счет займов от инвесторов.
Вместе с тем Чжоу заявил, что объявляет войну Lazarus Group.
Команда ByBit запустила программу Lazarus Bounty, в рамках которой она призывает общественность за вознаграждение подключиться к отслеживанию украденных средств и сообщать об этом криптосервисам, на которых будет замечена хакерская активность.
Все криптовалютные транзакции отображаются в публичном блокчейне, поэтому деньги, перемещаемые Lazarus Group, можно отслеживать.
На данный момент 20 человек получили более 4 млн долларов в качестве вознаграждения за успешное обнаружение 40 млн украденных денег и предупреждение криптовалютных компаний о необходимости блокировки переводов.
Однако эксперты мало верят в возможность возврата оставшейся части средств, учитывая опыт КНДР в области взломов и отмывания денег.
«Северная Корея — очень закрытая система и закрытая экономика, поэтому они создали успешную индустрию взломов и отмывания денег, и их не волнует негативный имидж оплота киберпреступности», — заявила Дорит Дор, эксперт компании по кибербезопасности Check Point.
Другая проблема заключается в том, что не все криптофирмы одинаково готовы помогать в поисках преступников.
Например, криптобиржа eXch обвиняется ByBit и другими в том, что она не остановила преступную транзакцию и провела через свой сервис более 90 млн долларов.
Однако владелец eXch Йоханн Робертс отвергает эти обвинения.
Он признает, что изначально его компания не остановила поступление средств, поскольку находится в состоянии давнего спора с ByBit, и, по его словам, его команда не была уверена, что криптовалюта определенно была получена в результате взлома. Но сейчас, говорит Робертс, eXch готова к сотрудничеству.
Пхеньян никогда не признавал, что стоит за Lazarus Group, однако КНДР считается единственной страной в мире, использующей свои хакерские возможности для извлечения финансовой выгоды.
Ранее хакеры Lazarus Group атаковали банки, но в последние пять лет специализируются на взломах криптовалютных компаний.
Эта индустрия менее защищена, и существует меньше механизмов, которые могут помешать киберпреступникам отмывать деньги.
Недавние взломы, связанные с Северной Кореей, включают:
- взлом UpBit в 2019 году на 41 млн долларов;
- кража криптовалюты на 275 млн долларов с биржи KuCoin (большая часть средств была возвращена);
- атака на Ronin Bridge в 2022 году, в ходе которой хакеры украли 600 млн долларов в криптовалюте;
- около 100 млн долларов в криптовалюте было украдено в ходе атаки на Atomic Wallet в 2023 году.
В 2020 году США добавили северокорейцев, обвиняемых в причастности к Lazarus Group, в свой список самых разыскиваемых киберпреступников. Но шансы на арест этих людей крайне малы, если они не окажутся за пределами КНДР.