Всем привет. 21 февраля 2025 года случился крупнейший в истории криптоиндустрии взлом, а его мишенью стала известная всем биржа Bybit. Хакеры получили доступ к одному из холодных кошельков площадки и вывели с него около 1,5 млрд в крипте.
Усилиями онлайн-детективов было установлено, что в этой масштабной краже участвовал северокорейский синдикат Lazarus Group.
Итак, повестка сегодняшнего обзора – Lazarus Group: что это за хакерская группировка и ее причастность ко взлому Bybit. Откуда она взялась и какие дела за ней были замечены ранее.
Что такое Lazarus Group
Исходя из информации, которую можно собрать на просторах интернета, Lazarus Group – наиболее распространенное название северокорейского киберпреступного синдиката, который не так давно был заподозрен в 1,5-миллиардной атаке на крупнейшую криптобиржу Байбит.
Название группировки неофициальное и в некоторых источниках можно встретить и другие.
Например, в докладах Агентства по кибербезопасности и защите инфраструктуры США группировка фигурирует как «Hidden Cobra», а в отчетах Microsoft ее называли «ZINC и Diamond Sleet».
Сами же хакеры предпочитают называть себя героическим Guardians of Peace (с англ. «стражи мира»).
Читайте также:
Публичных сведений о группировке крайне мало. Непонятно, кто конкретно и сколько людей стоят за Lazarus Group.
Американские правоохранители полагают, что ее лидером является гражданин КНДР Пак Чин Хек. В ходе расследования сотрудники ФБР установили, что он около 8 лет прожил в Китае, где занимался разработкой программного обеспечения, а в 2011 попросил власти Северной Кореи принять его обратно на родину.
Пак Чин Хека считают человеком, которого спонсировало государство, и чья группировка связана с Разведывательным управлением Генштаба КНДР.
Как заявляют южнокорейские СМИ, Lazarus Group была частью государственной программы, запущенной примерно в июне 2009 года. Именно с этого времени начали фиксироваться первые крупные атаки, источником которых считалась КНДР, а целью – правительственные ресурсы.
Но со временем деятельность группировки стала выходить далеко за пределы регионального конфликта.
Какие крупные атаки числятся за Lazarus Group
Мировую известность группировка Lazarus Group получила благодаря атаке на компьютерные системы кинокомпании Sony Pictures Entertainment в ноябре 2014 года.
Работа студии была парализована, на экранах сотрудников появились «экраны смерти» с изображением скелета и «предупреждением» от Guardians of Peace.
Более того, в открытый доступ были слиты персональные данные 7000 сотрудников компании, включая пароли от соцсетей, сведения о доходах и личные переписки. А также в сети появились копии 5 фильмов, два из которых на тот момент еще не вышли в прокат.
В феврале 2016 года жертвой хакеров стал Центробанк Бангладеш. Группировка обнаружила уязвимость в системе SWIFT и похитила около 81 млн с госсчета республики в Федеральном резервном банке Нью-Йорка.
Если бы не работа сотрудников службы безопасности, ущерб был бы намного больше.
Еще через год, в мае 2017-го северокорейские злоумышленники атаковали сотни тысяч компьютеров по всему миру с помощью вируса-вымогателя WannaCry.
В результате такого воздействия устройства выходили из строя, а вредоносная программа требовала выкуп в биткоинах на 300 долларов. Пострадали не только рядовые граждане: в некоторых европейских странах была остановлена работа медицинских учреждений и заводов.
Ущерб, нанесенный криптоиндустрии
С ростом популярности криптоактивов Lazarus Group переключили свое внимание и на эту сферу. Только за 2017 и 2018 годы они атаковали 14 криптобирж и обменников, похитив суммарно более 880 млн долларов.
В 2022 году северокорейские хакеры взломали блокчейн-игру Axie Infinity, атаковала кроссчейн-мост Horizon протокола Harmony и децентрализованный кошелек Atomic Wallet, присвоив в совокупности около 755 млн долларов.
За 2023 год киберпреступники похитили еще более весомую сумму – 1,7 млрд в цифровых активах.
И, наконец, в феврале 2025 года произошел взлом биржи Bybit, который стал самой крупной атакой в истории криптоиндустрии на текущий момент.
Хакерам удалось вывести Ethereum на сумму около 1,5 млрд. Именно это преступление помогло ончейн-аналитику ZachXBT выявить доказательства причастности Lazarus Group.
Помимо финансовых потерь, подобные хакерские атаки наносят ущерб репутации всей криптоиндустрии и отдельным платформам в частности.
Так, случай с Байбит показал, что взломать могут не только мелкие обменники и платформы, но и топовые централизованные биржи с «зеленым» скорингом безопасности.
Связь Lazarus Group и руководства КНДР
В том, что преступная группировка, сумевшая взломать так много надежных систем, связана с Корейской Республикой, сомнений нет. Учитывая крайне репрессивный характер северокорейского режима, просто невозможно допустить, что столь изощренные и сложные манипуляции могли проводиться без участия государства.
Интернет в КНДР доступен только привилегированным гражданам: например, членам правящей династии Кимов и их окружению, а также руководителям и сотрудникам предприятий стратегического значения.
Простые граждане могут пользоваться лишь сетью «Кванмен», где содержится только одобренная цензурой информация.
По мнению спецслужб, головным центром северокорейской киберпреступности является военный институт, который находится в подчинении у Госсовета во главе с Ким Чен Ыном.
Однако у этой коалиции явно есть поддержка и за пределами государства – в разных странах Азии.
На что идут похищенные средства
Имеется ряд предположений, что украденные группировкой средства направляются на финансирование ядерной программы. Прямых доказательств тому нет, однако присутствуют косвенные моменты, которые наводят на соответствующие размышления и подозрения.
Например, КНДР является единственным государством, которое принципиально не сотрудничает с МАГАТЭ – Международным агентством по атомной энергии, заявляя, что «не нуждается ни в каком наблюдении в этой области».
Зимой прошлого года агентство Reuters опубликовало выдержки из конфиденциального доклада Комитета ООН, где озвучивалось, что северокорейские хакеры были замечены как минимум в 58 кибератаках, в результате которых ими было присвоено около 3 млрд долларов.
Но, как считают эксперты, цель хищения средств – это не единственный повод для беспокойства. Члены группировки прицельно взламывают сотрудников ядерной, авиационной и других стратегических отраслей, охотясь за доступом к секретной информацией.
Причем формальных союзников КНДР тоже не обходит своим вниманием: так в 2021 году Lazarus Group взломала компьютерные сети российской военно-промышленной корпорации «НПО машиностроения».
Говорят, что таким образом злоумышленники хотели собрать информацию для создания межконтинентальной баллистической ракеты.
Какие еще группировки есть помимо Lazarus Group
По большому счету и Lazarus Group нельзя считать какой-то единой системой. Скорее всего ее составляют разные группировки, имеющие разные цели и методы атак.
Помимо них также известны и другие, так же орудующие в КНДР – это Kimsuky и Ricochet Chollima, специализирующиеся на промышленном шпионаже и атаках на энергосети Южной Кореи.
Разумеется, подобные структуры присутствуют и в других странах с недемократическими режимами. Например:
- в Китае есть Numbered Panda, Red Apollo, Double Dragon и многие другие;
- в Саудовской Аравии – OurMine;
- в Иране это Helix Kitten, Charming Kitten, Elfin Team;
- в России известны Fancy Bear, Cozy Bear, Primitive Bear.
Однако именно Lazarus Group на фоне поддерживающей группировку тоталитарной Северной Кореи выглядит как «символ абсолютного зла».
В общепринятой классификации эту киберструктуру относят к типу APT – advanced persistent threat, или «постоянная серьезная угроза».
Данный термин применяется в сфере кибербезопасности и означает противника, который обладает современным уровнем специальных знаний и значительными ресурсами, позволяющими ему создавать угрозу опасных кибератак.
Друзья, на сегодня это все. Желаю вам безопасных инвестиций и прощаюсь до скорого! Не забудьте подписаться на телеграм канал блога — t.me/investbro_ru
