Северокорейские хакеры украли $1,6 млрд в криптовалюте за 2025 год

Дата: 2025-08-06 Автор: Oliver Abernathy Категории: В МИРЕ

По информации отчета Google Cloud, в 2025 году хакеры, связанные с Северной Кореей, похитили более $1,6 млрд в цифровых активах. Атаки проводились через тщательно продуманные схемы социальной инженерии, в том числе с использованием фальшивых предложений о работе, вредоносного ПО и искусственного интеллекта для имитации общения.

Группировка UNC4899, также известная под другими именами, включая TraderTraitor, Jade Sleet и Slow Pisces, активно действовала на протяжении года, атакуя криптокомпании и получая доступ к их облачной инфраструктуре. Согласно отчету, опубликованному Google Cloud совместно с Wiz, хакеры под видом рекрутеров связывались с сотрудниками компаний через соцсети и предлагали выполнить «тестовые задания». Эти задания представляли собой вредоносные скрипты, которые предоставляли удаленный доступ к системам компаний.

В результате двух таких атак, направленных на различные компании, были взломаны как Google Cloud, так и AWS. Итогом стало похищение миллионов долларов в криптовалютах. Эксперты подчеркивают, что хакеры активно используют ИИ, чтобы вести реалистичную переписку и вызывать доверие у жертв.

TraderTraitor — это собирательное название для серии атак, за которыми, как полагается, стоят подразделения Lazarus Group, APT38, BlueNoroff и Stardust Chollima. По данным Wiz, методы группировки эволюционировали с 2020 года: сначала использовались вредоносные приложения на базе JavaScript, затем — вредоносный open-source-код, а в последние два года основным инструментом стали поддельные IT-вакансии, особенно направленные на сотрудников криптобирж.

К числу наиболее громких случаев относятся атаки на японскую биржу DMM Bitcoin (ущерб — $303 млн) и Bybit, у которой в феврале было похищено $1,5 млрд — крупнейшая атака в истории криптобирж.

По словам Джейми Коллиера из Google Threat Intelligence Group, киберпреступники из КНДР целенаправленно выстраивают доверительные отношения с жертвами, маскируясь под специалистов, журналистов или преподавателей. А Бенджамин Рид из Wiz отмечает, что фокус на облачную инфраструктуру объясняется тем, что именно там хранятся как данные, так и активы.

Google и Wiz предупреждают: масштабы атак не только не снижаются, но и продолжают расти. Численность вовлечённых хакеров может достигать нескольких тысяч. Ранее TRM Labs сообщала, что за первые шесть месяцев 2025 года криптоиндустрия уже потеряла свыше $2,1 млрд в результате атак.

Google ожидает дальнейшее увеличение активности группировок из КНДР.