Стратегия Lazarus Group: Внутри операции Северной Кореи по краже криптовалют на сумму 6,75 миллиарда долларов

Когда разработчик Safe{Wallet} под псевдонимом «Developer1» получил, казалось бы, обычный запрос 4 февраля 2025 года, он и не подозревал, что его Apple MacBook станет точкой входа для крупнейшей кражи криптовалюты в истории. В течение семнадцати дней северокорейская группировка Lazarus Group использовала этот единственный скомпрометированный ноутбук, чтобы украсть у Bybit $1,5 млрд — сумму, превышающую весь ВВП некоторых стран.

Это не было случайностью. Это стало кульминацией десятилетней эволюции, которая превратила группу хакеров, спонсируемых государством, в самых искушенных воров криптовалюты в мире, ответственных за кражи на общую сумму не менее $6,75 млрд.

Цифры, которые должны лишать сна каждую биржу

Масштабы северокорейских краж криптовалюты достигли беспрецедентного уровня. Согласно отчету Chainalysis о криптопреступности, субъекты, связанные с КНДР, украли криптовалюту на сумму $2,02 млрд только в 2025 году — это на 51% больше, чем в предыдущем году, и составляет почти 60% всех мировых краж криптоактивов.

Но самая тревожная статистика — это не общая сумма, а эффективность. Хотя общее количество северокорейских хакерских инцидентов упало на 74% по сравнению с 2024 годом, стоимость похищенного в расчете на одну атаку резко возросла. На долю Lazarus Group сейчас приходится 76% всех компрометаций на уровне сервисов в криптовалютной индустрии, что значительно выше показателей прошлых лет.

Этот сдвиг представляет собой то, что TRM Labs называет «индустриализацией краж криптовалюты» — меньше атак, больше прибыли и инфраструктура отмывания денег, способная обработать сотни миллионов долларов в течение 48 часов.

Анатомия взлома Bybit: Мастер-класс по социальной инженерии

Взлом Bybit в феврале 2025 года показал, насколько далеко продвинулись северокорейские хакеры, выйдя за рамки традиционных методов перебора. ФБР приписало атаку «TraderTraitor» — вредоносной киберкампании, которая стала синонимом государственных краж криптовалюты.

Цепочка атаки началась не с эксплуатации кода, а с манипуляции человеком.

Этап 1: Компрометация

Согласно ретроспективному анализу Safe{Wallet}, злоумышленники сначала выявили разработчика с расширенным доступом к системе. С помощью целенаправленной фишинговой кампании (вероятно, включавшей поддельные предложения о работе или инвестиционные возможности) они убедили разработчика загрузить вредоносное ПО. После установки вредоносная программа предоставила Северной Корее полный контроль над MacOS-компьютером администратора.

Этап 2: Тихое проникновение

Вместо того чтобы немедленно украсть средства, злоумышленники потратили недели на изучение структуры транзакций Bybit. Они перехватили сессионные токены AWS, полностью обойдя многофакторную аутентификацию. Они модифицировали код веб-сайта Safe{Wallet} спящей полезной нагрузкой, предназначенной для активации только при запуске определенных транзакций Bybit.

Этап 3: Вывод средств

Когда сотрудник Bybit открыл Safe{Wallet} для авторизации рутинной транзакции в конце февраля, спящий код активировался. Он манипулировал процессом подтверждения транзакции, перенаправив примерно 400 000 ETH (стоимостью $1,5 млрд на тот момент) на кошельки, контролируемые злоумышленниками.

Вся кража произошла в режиме реального времени, прямо под носом у команды безопасности Bybit.

48-часовая машина для отмывания денег

Что отличает северокорейские криптооперации от других киберпреступных предприятий, так это скорость и сложность их инфраструктуры для отмывания денег. TRM Labs сообщила, что в течение 48 часов после взлома Bybit не менее $160 млн уже было проведено через незаконные каналы, а по некоторым оценкам, к концу второго дня эта цифра превысила $200 млн.

Это быстрое отмывание следует процессу, который Chainalysis описывает как «многоволновой», длящийся примерно 45 дней:

Дни 0–5: Немедленное расслоение

Украденные средства немедленно распределяются между сотнями промежуточных кошельков. Злоумышленники используют кроссчейн-мосты, такие как THORChain и LI.FI, для «чейн-хоппинга» между блокчейнами, конвертируя Ethereum в Bitcoin, а затем в стейблкоины вроде DAI. Эта юрисдикционная и техническая фрагментация делает всестороннее отслеживание крайне сложным.

Дни 6–10: Начальная интеграция

Смешанные активы конвертируются в USDT на базе Tron, что обеспечивает более быстрые транзакции и низкие комиссии при больших объемах отмывания. Средства размещаются на тысячах новых адресов, на каждом из которых хранятся суммы, достаточно малые, чтобы не вызывать срабатывания порогов мониторинга бирж.

Дни 20–45: Конечная интеграция

Отмытый USDT поступает в сети внебиржевых (OTC) брокеров, преимущественно базирующихся в Китае и Юго-Восточной Азии. Эти брокеры принимают криптовалюту и вносят эквивалент в фиатной валюте на банковские счета, контролируемые КНДР, через карты Chinese UnionPay.

К 20 марта 2025 года — менее чем через месяц после взлома Bybit — генеральный директор Бен Чжоу подтвердил, что злоумышленники конвертировали 86,29% украденного ETH в Bitcoin, что продемонстрировало эффективность этого индустриализированного процесса отмывания.

Эволюция: от Sony до многомиллиардных краж

Понимание Lazarus Group требует отслеживания их эволюции от политических хактивистов до ведущих мировых похитителей криптовалюты.

2014: Атака на Sony Pictures

Группировка впервые получила международную известность, уничтожив инфраструктуру Sony Pictures в ответ на фильм «Интервью», в котором изображалось покушение на Ким Чен Ына. Они развернули вредоносное ПО типа «wiper», которое стерло данные во всей сети компании, одновременно публично слив компрометирующую внутреннюю переписку.

2016: Ограбление SWIFT

Lazarus продемонстрировала финансовые амбиции, [попытавшись украсть почти $1 млрд](https://www.picussecurity.com/resource/blog/lazarus-group-apt38-explained-timeline-ttps-and-major-attacks) из Банка Бангладеш через международную банковскую систему SWIFT. Опечатка предотвратила полную кражу, но им все же удалось скрыться с$ 81 млн — цифрой, которая позже покажется скромной.

2017–2019: Переход к DeFi

По мере стремительного роста стоимости криптовалют, Lazarus переключилась на криптобиржи. Ранние атаки на Bithumb ($ 7 млн), Youbit и другие платформы создали им репутацию в криптопространстве. В этих атаках обычно использовались электронные письма с целевым фишингом (spear-phishing), содержащие вредоносное ПО, замаскированное под предложения о работе или обновления безопасности.

2022: Атака на Ronin Network стоимостью $ 620 млн

Взлом Ronin Network стал поворотным моментом. Злоумышленники скомпрометировали Sky Mavis (разработчиков Axie Infinity) через фейковое предложение о работе в LinkedIn, отправленное старшему инженеру. Оказавшись внутри, они перемещались по сети, пока не получили контроль над достаточным количеством ключей валидатора, чтобы вывести из сети $ 620 млн в ETH и USDC.

2023: Централизация целей

Lazarus сместила фокус с децентрализованных протоколов на централизованных поставщиков услуг. За трехмесячный период они атаковали Atomic Wallet ($100 млн), CoinsPaid ($ 37,3 млн), Alphapo ($60 млн), Stake.com ($ 41 млн) и CoinEx ($ 54 млн). ФБР подтвердило причастность Северной Кореи к каждой из этих атак.

2024–2025: Индустриализация краж

Взлом WazirX ($234,9 млн) и ограбление Bybit ($ 1,5 млрд) представляют собой текущую стадию эволюции: меньше атак, максимальный эффект и инфраструктура для отмывания денег, способная обрабатывать миллиарды.

Человеческий фактор: ИТ-специалисты как «троянские кони»

Помимо прямого взлома, Северная Корея развернула стратегию, которую исследователи называют «Wagemole» — внедрение скрытых ИТ-сотрудников в легальные компании по всему миру.

Эти оперативники получают удаленные технические должности, используя поддельные личности или через подставные компании. После найма они работают как обычные сотрудники, предоставляя при этом разведданные хакерским командам. В некоторых случаях они напрямую способствуют кражам, предоставляя учетные данные, отключая системы безопасности или одобряя мошеннические транзакции.

По данным Chainalysis, только в 2024 году более десятка криптовалютных компаний были внедрены северокорейскими оперативниками, выдававшими себя за ИТ-специалистов. Сообщается, что взлом DeFiance Capital произошел после того, как оперативники Lazarus проникли в фирму под видом разработчиков смарт-контрактов.

Эта стратегия представляет собой фундаментальный вызов для отрасли: традиционная защита периметра становится неэффективной, когда у злоумышленников уже есть легитимные учетные данные для доступа.

Кампания «ClickFake»: вредоносные предложения о работе

Кампания DEV#POPPER, запущенная в 2023 году и активная до сих пор, демонстрирует растущую сложность социальной инженерии Lazarus.

Атака начинается на профессиональных платформах, таких как GitHub или LinkedIn. Злоумышленники выдают себя за рекрутеров или коллег, вовлекая цели в обсуждение карьерных возможностей. Постепенно разговоры переходят в мессенджеры, такие как WhatsApp, где выстраивание доверительных отношений продолжается неделями.

В конечном итоге целям предлагается клонировать кажущиеся легитимными репозитории GitHub — часто описываемые как технические задания или инструменты, связанные с торговлей криптовалютой. Эти репозитории содержат вредоносные зависимости Node Package Manager (npm), которые устанавливают бэкдор после интеграции.

Вредоносное ПО под названием «BeaverTail» обеспечивает долгосрочное присутствие в системе и возможность эксфильтрации данных. Злоумышленники могут отслеживать нажатия клавиш, делать скриншоты, получать доступ к учетным данным браузера и, в конечном счете, завладевать приватными ключами, необходимыми для опустошения криптовалютных кошельков.

Последние итерации включали файлы, замаскированные под легитимные проекты на Python (например, «MonteCarloStockInvestSimulator-main.zip»), которые обходят большинство антивирусов, используя библиотеку pyyaml для удаленного выполнения кода.

Почему украденные миллиарды имеют значение

Криптовалюта, украденная Lazarus Group, не исчезает на личных счетах. Согласно анализу Центра Вильсона, эти средства служат критически важным источником дохода для оружейных программ Северной Кореи.

В отчете Министерства государственной безопасности (MSMT) делается вывод, что этот поток доходов необходим для «закупки материалов и оборудования для незаконных программ КНДР по созданию оружия массового уничтожения и баллистических ракет».

Эта связь превращает безопасность криптовалют из финансового вопроса в вопрос международной безопасности. Каждый успешный взлом финансирует разработку оружия, которое угрожает региональной и глобальной стабильности.

Защита от государственных хакерских группировок

Взлом Bybit показал, что даже хорошо обеспеченные ресурсами биржи с современными системами безопасности остаются уязвимыми. Анализ методологии Lazarus позволяет извлечь несколько уроков:

Человеческий фактор прежде всего

Большинство крупных взломов начинаются с социальной инженерии, а не с технических эксплойтов. Организации должны внедрять строгие протоколы верификации для внешних коммуникаций, особенно тех, которые касаются предложений о работе, инвестиционных возможностей или запросов на техническое сотрудничество.

Принцип допущения компрометации

Стратегия «Wagemole» означает, что внутренние участники уже могут быть скомпрометированы. Многосторонняя авторизация для значимых транзакций, разделение обязанностей и непрерывный мониторинг поведения становятся критически важными.

Аппаратные модули безопасности

Программное управление ключами — даже с кошельками с мультиподписью — оказалось недостаточным против Lazarus. Аппаратные модули безопасности (HSM), требующие физического взаимодействия для авторизации транзакций, создают дополнительные барьеры.

Лимиты скорости транзакций

Возможность вывести 1,5 миллиарда долларов за одну транзакцию представляет собой фундаментальный просчет в архитектуре. Внедрение лимитов скорости и временных задержек для крупных выводов средств может обеспечить окна для обнаружения атаки, даже если первичные средства контроля не сработают.

Интеграция блокчейн-криминалистики

Интеграция с платформами блокчейн-аналитики в реальном времени позволяет фиксировать подозрительные паттерны транзакций и отслеживать средства по мере их прохождения через сети отмывания. Раннее обнаружение повышает вероятность возврата активов.

Путь вперед

Операция Северной Кореи по хищению криптовалюты эволюционировала из ситуативных взломов в промышленную финансовую преступность, спонсируемую государством. Совокупный объем похищенных средств в размере 6,75 миллиарда долларов доказывает, что традиционные подходы к безопасности недостаточны против решительных государственных противников.

Отрасль стоит перед жестким выбором: либо внедрить меры безопасности, соразмерные угрозе, либо продолжать служить «банкоматом» для враждебных государственных субъектов. Учитывая масштабы поставленных на карту средств и их конечное использование в разработке оружия, это не просто бизнес-решение — это вопрос глобальной безопасности.

Для бирж, кастодианов и DeFi-протоколов тактика Lazarus Group должна стать сигналом к действию. Злоумышленники продемонстрировали терпение (проводя недели внутри скомпрометированных систем), изощренность (обход MFA через кражу сессионных токенов) и эффективность (отмывание сотен миллионов в течение 48 часов).

Вопрос не в том, попытаются ли северокорейские хакеры совершить еще одно ограбление на миллиард долларов. Вопрос в том, будет ли индустрия лучше подготовлена, когда они это сделают.

---

BlockEden.xyz предоставляет блокчейн-инфраструктуру корпоративного уровня со встроенным мониторингом безопасности и обнаружением аномалий. Наши RPC-эндпоинты поддерживают интеграцию данных об угрозах в реальном времени, помогая защитить ваши Web3-приложения. Изучите наш API Marketplace, чтобы строить на надежном фундаменте.