About Teletype
Join
menaskop
@menaskop
OSINT
March 17

Безопасность. Lazarus — северокорейская хакерская группировка. Перевод и вопросы Menaskop. Часть III

Lazarus

Перевод

Это вольный перевод: hacken.io/discover/lazarus-group.

Предыдущие части:

  1. https://teletype.in/@menaskop/lazarus-00
  2. https://teletype.in/@menaskop/lazarus-01
  3. https://teletype.in/@menaskop/lazarus-02

Внутри Lazarus Group: анализ самых печально известных криптовзломов Северной Кореи

В период с 2021 по 2025 год Lazarus Group - поддерживаемая государством хакерская организация Северной Кореи - похитила более $5 млрд в криптовалюте, существенно дестабилизировав экосистему Web3.

Их атаки были направлены на крупные платформы, включая Upbit, KuCoin, Ronin Bridge, Atomic Wallet и, совсем недавно [Прим. Menaskop: на момент написания статьи оригинала], Bybit.

Кто такая Lazarus Group?

Lazarus Group - печально известная хакерская группировка, связанная с военной разведкой Северной Кореи. Они осуществили ряд громких кибератак и в последние годы сместили фокус на пространство Web3.

Эти атаки преследуют двойную цель:

  1. Подрыв иностранных структур;
  2. Получение доходов для поддержки северокорейского режима, включая его ядерную и ракетную программы.

Группа Lazarus известна под разными названиями, включая APT38, Labyrinth Chollima и HIDDEN COBRA.

Ранняя деятельность

Их ранние кибероперации подготовили почву для последующего перехода к криптовалютам. Краткий обзор их ранней истории взломов и эволюции:

  • Operation Flame (2007): одна из первых известных операций, направленная на государственные системы Южной Кореи.
  • Взлом Sony Pictures (2014): громкая атака в ответ на фильм «Интервью», сатирически изображающий лидера Северной Кореи.
  • WannaCry (2017): крупнейшая атака с использованием программы-вымогателя, затронувшая более 230 000 компьютеров в 150 странах.
  • Военный шпионаж: постоянные попытки получить разведданные о военных операциях и технологиях.
  • Атаки на южнокорейский бизнес: серия кибератак на различные сектора экономики Южной Кореи.

Эти операции продемонстрировали высокий уровень навыков группы и широкий спектр целей - от индустрии развлечений до критической инфраструктуры, связанной с предполагаемыми противниками северокорейского государства.

Переход к атакам на криптоиндустрию

Первый крупный криптовзлом Lazarus произошёл в июле 2017 года, когда была атакована биржа Bithumb и похищено более $7 млн за один день. С тех пор группа постоянно использует новые уязвимости в развивающейся криптоэкосистеме, вызывая колоссальные потери. Их переход в Web3 обусловлен высокой потенциальной прибылью: один успешный взлом - через компрометацию приватных ключей или эксплойт смарт-контракта - может мгновенно опустошить кошельки.

Ключевые факторы фокуса Lazarus на Web3:

  • Атаки социальной инженерии: большинство операций начинается с фишинга, поддельных предложений работы или компрометации учётных данных - достаточно одного слабого звена для катастрофических последствий.
  • Мгновенная и полная кража: в отличие от Web2, доступ к приватным ключам или уязвимым контрактам позволяет сразу вывести все средства.
  • Сложное отмывание средств: несмотря на глобальный контроль, они используют автоматизированные инструменты и многолетний опыт, чтобы скрыть происхождение средств и конвертировать криптоактивы в наличные.
  • Регуляторные пробелы: слабое регулирование криптосферы позволяет быстро перемещать крупные суммы с минимальными барьерами.
  • Постоянные и координированные операции: работа в сменах почти круглосуточно, постоянное совершенствование методов и направление похищенных средств в пользу режима КНДР.

Эти факторы демонстрируют уникальные уязвимости Web3, где даже одна точка компрометации может привести к огромным финансовым потерям.

Эскалация атак в Web3

С 2021 года активность Lazarus в Web3 резко возросла: миллиарды долларов были похищены у DeFi-проектов. Среди самых громких случаев:

  • взлом сети Ronin (Axie Infinity) в марте 2022 года - около $625 млн;
  • атака на Poly Network в августе 2021 года;

В 2023 году заметен сдвиг внимания к централизованным сервисам (CeFi), особенно в третьем квартале, когда группа похитила $208,6 млн - около 30% всех потерь крипто-экосистемы за этот период. Дополнительные атаки включали CoinEx, Alphapo, Stake и Coinspaid, где суммарные потери с июня по сентябрь 2023 года составили $308,6 млн.

Атаки 2024–2025 годов

В 2024–2025 годах фокус сместился на централизованные биржи и инфраструктуру:

  • В июне 2023 года был взломан Atomic Wallet - похищено более $100 млн у пользователей.
  • В феврале 2025 года произошёл крупнейший криптоограбление в истории: компрометация мультиподписного решения Safe{Wallet} биржи Bybit, в результате чего было похищено около $1,5 млрд в Ethereum.

Эти инциденты подчёркивают эволюцию тактик группы и её ориентацию на цели с максимально высокой стоимостью, используя уязвимости как CeFi, так и DeFi.

Крупнейшие криптокражи Lazarus Group

Атаки. Часть 01

Продолжение таблицы:

Атаки. Часть 02

Крупнейшие взломы

Топ-8 крупнейших краж Lazarus стоят за основной частью похищенных средств. Рассмотрим их в порядке убывания потерь.

1. Взлом Bybit

Дата: февраль 2025. Потери: $1,5 млрд. Использованные техники: атака на цепочку поставок (supply chain) с эксплуатацией стороннего мультиподписного кошелька и социальной инженерией.

Последствия: Bybit "ведёт войну против Lazarus". Генеральный директор Бен Чжоу инициировал масштабные меры, включая вознаграждение за возврат средств в размере 10%. Для поддержания ликвидности и доверия клиентов биржа привлекла экстренное финансирование инвесторов. [Прим. Menaskop: на самом деле тем доказав, что никаких резервов у неё нет]. Аудит резервов Hacken от 26 февраля подтвердил коэффициент резервов более 100% по всем кошелькам. Несмотря на глобальные усилия по отслеживанию средств, хакеры уже отмыли около $300 млн.

2. Взлом Ronin Bridge

Ronin Bridge был связан с популярной игрой Axie Infinity. Несмотря на то что мост обрабатывал огромные суммы, управление осуществлялось через небольшое число приватных ключей - что привело к крупнейшей атаке социальной инженерии и эксплойту в Web3.

Дата: март 2022. Потери: $625 млн. Техники: компрометация валидаторских узлов и социальная инженерия.

Последствия: Один из крупнейших взломов в истории DeFi. Привёл к усиленному контролю над кроссчейн-мостами и протоколами. ФБР подтвердило причастность Lazarus Group, связав кражу с финансированием северокорейских программ вооружений.

3. Взлом Poly Network

Poly Network - кроссчейн-протокол; были скомпрометированы его мостовые и межсетевые контракты, что выявило уязвимость мостов.

Дата: август 2021. Потери: $600 млн. Техники: эксплуатация уязвимостей смарт-контрактов.

Последствия: После общественного давления хакеры вернули значительную часть средств, однако инцидент показал уязвимости DeFi-протоколов. Из-за масштаба и сложности атака была приписана Lazarus Group.

4. Взлом WazirX

WazirX - ... инцидент с потерями более $200 млн. Индийская биржа потеряла большую часть средств из-за компрометации мультиподписного кошелька.

Дата: июль 2024. Потери: $235 млн. Техники: фишинг и эксплуатация API.

Последствия: Инцидент вызвал серьёзные опасения по поводу безопасности бирж в быстро меняющейся криптоэкосистеме и подчеркнул необходимость строгих протоколов безопасности и обучения пользователей против фишинга.

5. Взлом Nomad

После атаки на Ronin был взломан и мост Nomad - окончательно подтвердив, что мосты являются ключевой точкой уязвимости блокчейн-экосистемы.

Дата: август 2022. Потери: $190 млн. Техники: эксплуатация уязвимостей смарт-контрактов.

Последствия: Запустил широкую дискуссию о безопасности кроссчейн-протоколов. Часть средств удалось вернуть, однако инцидент усилил тревогу относительно необходимости более жёстких мер защиты.

6. Взлом Atomic Wallet

Компрометация кошелька; некоторые предполагали, что причиной могла быть ошибка в программном обеспечении.

Дата: июнь 2023. Потери: $100 млн. Техники: фишинг и социальная инженерия.

Последствия: Аналитические блокчейн-компании приписали атаку Lazarus Group, что подтвердило ФБР. Инцидент подчеркнул риски некастодиальных кошельков и важность осторожности пользователей.

7. Взлом Stake.com

Онлайн-криптоказино Stake.com было атаковано Lazarus - ещё один пример утечки приватных ключей.

Дата: сентябрь 2023. Потери: $41 млн. Техники: похищенные приватные ключи и социальная инженерия.

Последствия: Показал уязвимость онлайн-гемблинг-платформ и постоянную угрозу со стороны северокорейских хакеров. ФБР связало инцидент с Lazarus Group.

8. Взлом CoinEx

Дата: сентябрь 2023. Потери: около $70 млн. Техники: социальная инженерия и несанкционированный доступ.

Последствия: Очередной пример эволюции тактики Lazarus с фокусом на централизованные биржи. После инцидента площадки усилили меры безопасности и мониторинг подозрительных операций.

Техники и тактики, используемые Lazarus Group

Lazarus Group демонстрирует сложный и постоянно эволюционирующий набор методов атак. Эти операции привели к значительным финансовым потерям и вызвали серьёзную тревогу относительно безопасности всей криптовалютной индустрии.

Расследования ФБР и других ведомств продолжают проливать свет на масштаб и последствия киберпреступной деятельности, связанной с Северной Кореей.

Ниже приведён обзор их основных методов с конкретными примерами.

1. Социальная инженерия

Социальная инженерия остаётся одним из самых эффективных инструментов Lazarus:

  • Фальшивые предложения работы: взлом Ronin Network на $625 млн в марте 2022 года начался с поддельного предложения работы через LinkedIn старшему инженеру Axie Infinity.
  • Фишинговые кампании: при взломе Bithumb в 2017 году (ущерб $7 млн) использовались целевые фишинговые письма (spear-phishing) с вредоносным ПО для пользователей биржи.

2. Инфильтрация

В последнее время группа всё чаще внедряется в легальные компании, выдавая себя за разработчиков или IT-специалистов. Получив доступ, они используют внутреннее положение для атак.

Примеры:

  • Инцидент KnowBe4: компания по обучению кибербезопасности наняла IT-сотрудника, который оказался подставным северокорейским разработчиком. Его поймали при попытке внедрения вредоносного ПО во внутренние системы.
  • Harmony Protocol: в июне 2022 года Lazarus предположительно внедрился в команду, что привело к взлому Horizon Bridge на $100 млн. Доступ был получен под видом блокчейн-разработчика.
  • DeFiance Capital: в 2023 году группа якобы проникла в инвестиционную фирму под видом разработчика смарт-контрактов и скомпрометировала внутренние кошельки, похитив миллионы долларов.

3. Эксплуатация инфраструктуры

Группа атакует уязвимости в инфраструктуре крипто-проектов:

  • Компрометация приватных ключей: взлом CoinEx в сентябре 2023 года (около $54 млн) предположительно связан с утечкой ключей.
  • Развёртывание вредоносного ПО: при атаке на CoinsPaid в июле 2023 года ($37,3 млн) злоумышленники использовали malware для удалённого доступа к системам компании.

4. Уязвимости смарт-контрактов

Хотя в последнее время группа чаще атакует централизованные сервисы, она также способна эксплуатировать слабости смарт-контрактов.

  • Взлом Poly Network в августе 2021 года ($600 млн) был осуществлён через уязвимости межсетевых контрактов.

5. Сложное отмывание средств

После успешных атак Lazarus применяет многоуровневые схемы отмывания:

  • Криптомиксеры: после взлома Atomic Wallet в июне 2023 года ($100 млн) использовался сервис Sinbad.io.
  • Кроссчейн-переводы: при взломе CoinEx средства были переброшены с одной сети в Ethereum через мосты, ранее связанные с Lazarus.
  • Многократное смешивание: средства, украденные у Stake.com ($41 млн), проходили несколько раундов микширования и частично смешивались с активами из других атак.

6. Атаки на централизованные биржи

Последние тенденции показывают смещение фокуса на централизованные сервисы:

  • Длительная разведка: перед атакой на CoinsPaid в июле 2023 года группа шесть месяцев изучала инфраструктуру биржи.
  • Использование сложной организационной структуры: взлом Alphapo в июле 2023 года ($60 млн) был направлен на централизованного криптоплатёжного провайдера.

7. Адаптация к усилению безопасности

По мере повышения безопасности DeFi-протоколов Lazarus адаптировался. В 2023 году пять крупных атак, приписанных группе (Atomic Wallet, CoinsPaid, Alphapo, Stake.com и CoinEx), произошли в централизованных сервисах, а не в DeFi.

Успешная атака социальной инженерии на CoinsPaid показывает их фокус на человеческом факторе - самом уязвимом элементе централизованных систем.

Lazarus Group использует комбинацию методов, постоянно меняя тактики, что затрудняет точную идентификацию исполнителей в пространстве Web3. Тем не менее, кибербезопасностное сообщество совместно с ФБР в большинстве случаев связывает эти атаки именно с Lazarus на основании характерных техник.

Их способность эксплуатировать как традиционные, так и специфические для Web3 уязвимости делает группу одной из самых серьёзных угроз для криптовалютной индустрии.

Глобальный ответ на действия северокорейских хакеров

Данные по розыску

Международная реакция на действия северокорейских киберпреступников включает санкции, меры правоохранительных органов и сотрудничество между государствами.

ООН ввела широкие санкции против Северной Кореи, направленные на сдерживание её ядерной программы и источников финансирования. Сейчас известно, что КНДР удалось похитить миллиарды долларов, которые, предположительно, идут на финансирование программ вооружений.

США ввели точечные санкции против физических лиц и организаций, связанных с северокорейскими кибероперациями.

Например, в 2022 году Министерство финансов США внесло в санкционные списки ряд хакеров и связанных с ними структур, чтобы разрушить их финансовые сети и предотвратить будущие атаки.

ФБР выпускает ордера на арест, активно расследует деятельность северокорейских хакеров и публикует предупреждения для частного сектора о потенциальных угрозах. Также предлагаются денежные вознаграждения за информацию, ведущую к задержанию ключевых участников Lazarus Group.

Усиление сотрудничества между государственными структурами и частными компаниями повышает эффективность защиты - в том числе за счёт обмена разведданными об уязвимостях и методах атак.

Меры безопасности и предотвращения

Северокорейская хакерская группа остаётся активной, поэтому понимание превентивных мер для протоколов Web3 и разработчиков критически важно. Команда Hacken выделила ключевые уязвимости, которые необходимо устранить.

1. Управление приватными ключами

  • Холодное хранение: держать крупные суммы в аппаратных кошельках или других офлайн-хранилищах;
  • Мультиподпись: использовать multisig-кошельки, требующие несколько ключей для подтверждения транзакций;
  • Ротация ключей: регулярно обновлять ключи, чтобы снизить последствия возможной компрометации.

2. Аутентификация и контроль доступа

  • KYC сотрудников: тщательная проверка всех сотрудников, особенно - удалённых;
  • Многофакторная аутентификация (MFA): обязательна для всех точек доступа, особенно привилегированных;
  • Архитектура Zero Trust: принцип "никому не доверяй, всё проверяй";
  • Принцип минимальных привилегий: доступ только к необходимым ресурсам.

3. Сетевая безопасность

  • Сегментация сети: ограничивает распространение атаки внутри инфраструктуры;
  • Файрволы и IDS: мониторинг и защита сетевого трафика;
  • VPN: безопасный удалённый доступ к критическим системам.

4. Безопасность конечных устройств

  • EDR-системы: обнаружение и реагирование на угрозы на устройствах;
  • Регулярные обновления: установка последних патчей безопасности;
  • Антивирус и анти-malware: на всех рабочих станциях.

5. Обучение сотрудников

  • Осведомлённость о фишинге: регулярные тренинги;
  • Защита от социальной инженерии: обучение распознаванию манипуляций;
  • Соблюдение политик безопасности: обязательное выполнение внутренних правил.

6. Непрерывный мониторинг и обнаружение угроз

  • SIEM-системы: анализ событий безопасности в реальном времени;
  • Threat Intelligence: использование данных о новых угрозах;
  • Обнаружение аномалий: выявление необычного поведения пользователей или сети.

7. Реагирование на инциденты и восстановление

  • План реагирования: разработка и регулярное тестирование;
  • Резервное копирование: надёжные бэкапы и проверка восстановления;
  • Анализ после инцидента: разбор причин и улучшение защиты.

8. Управление рисками третьих сторон

  • Аудит поставщиков: оценка безопасности партнёров;
  • Безопасность API: сильная аутентификация и мониторинг;
  • Защита цепочки поставок: контроль зависимостей ПО и оборудования.

9. Соответствие стандартам и аудит

  • Регулярные аудиты безопасности - внутренние и внешние;
  • Пентесты: выявление уязвимостей через имитацию атак;
  • Стандарты соответствия: ISO 27001, NIST и др.

10. Специализированные меры для криптоиндустрии

  • Аудит смарт-контрактов: обязательный для DeFi-проектов;
  • Мониторинг транзакций: обнаружение подозрительной активности;
  • Нативные меры блокчейна: time-lock, multi-sig-управление и др.

Внедрение этих мер значительно повышает устойчивость организаций к сложным атакам таких групп, как Lazarus. Однако важно помнить: безопасность - это непрерывный процесс, требующий постоянной бдительности, обновлений и адаптации к новым угрозам.

[Продолжение следует...]

До!

menaskop
March 17, 05:26
0 views
3 reactions
0 replies
0 reposts