Доклад ООН: кибератаки обогащают режим КНДР на миллиарды долларов

Группа экспертов ООН представила новый доклад , в котором расследуются 58 кибератак, совершенных хакерскими группировками из Северной Кореи за последние 6 лет. По оценкам специалистов, эти атаки принесли преступникам около $3 млрд незаконного дохода.

Эксперты детально отследили деятельность нескольких известных группировок, подчиняющихся Главному разведывательному управлению КНДР (RGB). Среди них Kimsuky, Lazarus Group, Andariel и BlueNoroff — хакеры, которые регулярно фигурируют в отчетах исследователей кибербезопасности.

Как отмечают авторы доклада, основными задачами северокорейских преступников являются кража конфиденциальных данных, представляющих ценность для разведки, а также незаконное получение финансовых средств для обогащения страны. Похищенная интеллектуальная собственность помогает Пхеньяну совершенствовать собственные технологии, а также может быть продана на черном рынке.

Атаки отличаются разнообразием методов — от классического фишинга и эксплуатации уязвимостей до сложных схем социальной инженерии и атак через сторонние ресурсы.

В одном только 2023 году эксперты зафиксировали 17 успешных взломов криптовалютных бирж и проектов, в результате которых было похищено цифровых активов на сумму около $750 млн. Среди пострадавших — Terraport Finance, Merlin DEX, Atomic Wallet, Alphapo, CoinsPaid, Steadefi, Stake.com, CoinEx, Fantom Foundation, Poloniex, HTX, HECO Chain и Orbit Chain.

Этим деятельность северокорейских преступников не ограничивается. Они продолжают атаковать оборонные компании, производителей программного обеспечения и цепочки поставок по всему миру. Жертвами становились организации из Испании, Нидерландов, Польши, России и других стран. Многочисленные санкции в отношении КНДР не приносят результатов.

В докладе цитируются сотни отчетов от десятков исследовательских компаний и фирм, пристально отслеживающих активность северокорейских правительственных и военных группировок. Подтверждены атаки на разработчиков радарных систем, беспилотников, военной техники, кораблей и вооружений.

Эксперты особо выделили рост числа атак методами социальной инженерии. Злоумышленники выдавали себя за рекрутеров на LinkedIn, Telegram и WhatsApp, вербуя новых жертв среди соискателей работы.

Среди атакованных поставщиков ПО — компании JumpCloud, JetBrains и CyberLink. Один только взлом JumpCloud позволил вывести около $147,5 млн в криптовалюте.

Авторы доклада обращают внимание на растущую координацию и обмен инфраструктурой между различными группировками вроде Andariel, Kimsuky, BlueNoroff, ScarCruft и Lazarus. Формально они относятся к разным ведомствам КНДР, но на практике все чаще задействованы в совместных операциях.

Не обошлось и без вымогательских кампаний. Согласно исследованию, группа Andariel украла $360 000 в биткоинах, заразив троянами-вымогателями три компании. А Lazarus Group сотрудничала с южнокорейской фирмой по распространению вымогательского ПО и выручила около $2,6 млн от более чем 700 жертв.

В заключение эксперты ООН рекомендуют странам усилить кибербезопасность финансовых организаций, ввести новые санкции против конкретных хакерских группировок из КНДР и ограничить способы отмывания нелегальных средств. Также приводятся данные компании Elliptic о том, что самым популярным среди злоумышленников миксером является Tornado Cash, через который уже прошло более $100 млн похищенных криптоактивов.