Северокорейские кибероперативники расширили свою деятельность за пределами США и начали атаковать блокчейн-стартапы в ЕС и Великобритании. Они выдавали себя за удаленных разработчиков, оставляя за собой следы компрометации данных и вымогательства.
Во вторник группа Threat Intelligence от Google (GTIG) опубликовала отчет, в котором говорится, что IT-специалисты, связанные с КНДР, увеличили активность в таких странах, как Великобритания, Германия, Португалия и Сербия. Они внедрялись в проекты, связанные с блокчейн-маркетплейсами, веб-приложениями на базе ИИ, а также разработкой смарт-контрактов для Solana и Anchor/Rust.
Как северокорейские хакеры маскируются под разработчиков
Один из случаев, зафиксированных GTIG, касался создания платформы хостинга токенов Nodexa с использованием Next.js и CosmosSDK. Также были обнаружены:
- Блокчейн-маркетплейс вакансий, построенный на MERN-стеке и Solana.
- Разработка инструментов для блокчейна с ИИ, использующих Electron и Tailwind CSS.
«В ответ на усиленное внимание к угрозе в США они создали глобальную сеть фальшивых персон для повышения оперативной гибкости», — заявил советник GTIG Джейми Коллиер.
Некоторые северокорейские IT-специалисты использовали до 12 поддельных личностей одновременно, представляясь выпускниками Белградского университета, предъявляя поддельные резидентские документы из Словакии и используя специализированные инструкции по регистрации на европейских платформах для поиска работы.
Коллиер также отметил, что посредники в Великобритании и США помогали северокорейцам обходить проверки удостоверений личности и получать выплаты через TransferWise, Payoneer и криптовалюту, скрывая происхождение средств, направляемых обратно в КНДР.
Как IT-работники КНДР финансируют режим
По данным GTIG, северокорейские специалисты по IT генерируют доход для режима Ким Чен Ына, который ранее обвиняли в финансировании программ вооружений за счет зарубежных IT-специалистов, включая хакеров.
«Компании, которые нанимают IT-работников из КНДР, рискуют подвергнуться шпионажу, краже данных и кибератакам», — подчеркнул Коллиер.
С октября 2024 года GTIG наблюдает всплеск угроз вымогательства. Уволенные северокорейские разработчики начали шантажировать бывших работодателей, угрожая утечкой исходного кода и конфиденциальных файлов.
Этот рост агрессивных действий совпал с усилением правоохранительных мер США против северокорейских IT-специалистов, включая аресты и обвинительные заключения.
В декабре 2024 года Управление по контролю за иностранными активами (OFAC) Минфина США ввело санкции против двух граждан Китая за отмывание цифровых активов в пользу КНДР. В январе 2025 года Министерство юстиции США предъявило обвинения двум гражданам КНДР, которые с 2018 по 2024 годы проникли в 64 американские компании с помощью фальшивых IT-резюме.
DPRK-хакеры действуют не только через Lazarus Group
В марте исследователь безопасности из Paradigm, известный как Samczsun, заявил, что стратегия кибератак КНДР выходит далеко за рамки Lazarus Group, которая ранее была связана с крупнейшими кражами криптовалют.
«Северокорейские хакеры становятся все большей угрозой для индустрии», — написал он, выделяя субгруппы TraderTraitor и AppleJeus, специализирующиеся на социальной инженерии, фальшивых вакансиях и атаках на цепочки поставок.
В феврале 2025 года хакеры, связанные с Lazarus, украли 1,4 миллиарда долларов с криптобиржи Bybit, после чего деньги были отмыты через децентрализованные биржи (DEX) и криптомиксеры.
Почему блокчейн-стартапы уязвимы для таких атак
Криптовалютная индустрия активно использует удаленных сотрудников и BYOD-метод (bring-your-own-device, работа со своих устройств). Однако, как предупреждает GTIG, многие стартапы не имеют достаточных инструментов мониторинга для выявления подобных угроз.
«Именно этим и пользуется Северная Корея — быстрым созданием глобальной инфраструктуры и сети поддержки, которые позволяют ей продолжать операции», — заключил Коллиер.