З 2016 року хакери Північної Кореї викрали понад $6,7 млрд — звіт

Експерти CertiK Skynet опублікували звіт щодо кіберзагрози КНДР.
У ньому наведено методики та інструменти північнокорейських хакерів.
Зокрема, автори відзначили еволюцію їхнього підходу — від роботи з кодом до соціальної інженерії.

У період із 2016 року до початку 2026 року хакери, пов’язані з Північною Кореєю (КНДР), викрали криптоактивів на загальну суму $6,75 млрд у межах 263 задокументованих інцидентів. Про це йдеться у звіті експертів CertiK Skynet.

Водночас, як зазначається в документі, атаки цих зловмисників мають цілеспрямований характер. З роками кількість інцидентів зменшується, але збитки від них лише зростають.

Так, наприклад, у 2025 році з 656 атак лише 79 були пов’язані з КНДР. Однак збитки від останніх становили $2,06 млрд — 60% від загального показника у $3,4 млрд.

Від початку 2026 року було зафіксовано 185 інцидентів із загальними втратами на $1,1 млрд. На атаки, пов’язані з КНДР, припадає $620,9 млн — близько 55%. Трохи менш як половина цієї суми припадає на один злом — KelpDAO.

Частка збитків від зломів, пов’язаних із КНДР, у загальній сумі втрат. Джерело: звіт CertiK Skynet.

«Траєкторія очевидна: щораз масштабніші операції, промисловий конвеєр відмивання грошей і величезний “довгий хвіст” дрібних крадіжок, які в сукупності зіставні за загальною вартістю з найбільшими зломами. Суб’єкти КНДР незмінно атакували людей і слабкі місця в ланцюгах постачання, а не вразливості в коді смартконтрактів. Протягом майже десяти років операцій їхнім основним вектором атак рідко був код. Майже завжди — люди», — йдеться у звіті.

Експерти ретельно вивчили три великі зломи — мосту Ronin, біржі Bybit і проєкту Drift Protocol, сукупні втрати за якими становлять $2,4 млрд. На підставі цього вони дійшли висновку, що основним вектором атак для хакерів із КНДР залишається соціальна інженерія.

Найвразливіше місце — ланцюг постачання. Водночас інфраструктура з відмивання викрадених коштів країни набула величезних масштабів, йдеться у звіті. Вона охоплює не лише міксери, а й кросчейн-протоколи, децентралізовані біржі та OTC-брокерів. Отримані в результаті кошти країна спрямовує на військові програми.

Потреба КНДР в активах, отриманих унаслідок зломів, зумовлена міжнародними санкціями. Країна ізольована від глобальних фінансових потоків.

«Режиму було потрібне альтернативне джерело доходів, яке дає змогу повністю обійти цю систему. Криптовалюта надала саме це. Цифрові активи можна викрадати дистанційно, переміщувати через кордони без посередників і конвертувати у фіат через мережі співучасників або нічого не підозрюючих брокерів», — зазначили автори.

З цього випливає, що хакери, пов’язані з КНДР, — це не одинаки, які шукають способи власного збагачення, а наймані працівники. Саме тому вони можуть дозволити собі місяці підготовки.

Організаційна структура

Згідно зі звітом, Lazarus Group, відома хакерська група, є парасольковою організацією для низки структур, що діють під керівництвом Головного розвідувального бюро (RGB). До них входить близько 7000 осіб. При цьому їхні робочі зміни тривають по 15 годин шість днів на тиждень.

Приблизна структура кіберпідрозділів КНДР. Джерело: звіт CertiK Skynet.

Увесь цей кластер складається з кількох основних підгруп. SquidSquad, також відома як Sapphire Sleet, DangerousPassword, CryptoCore, APT38, наприклад, спеціалізується на імітації венчурних компаній, інвесторів і ділових партнерів для атак на засновників криптопроєктів, керівників і заможних приватних осіб. Це передбачає, зокрема, особистий контакт через месенджери.

TraderTraitor (Jade Sleet, Slow Pisces, UNC4899) — це підгрупа, яка відповідає за найбільші компрометації бірж та інфраструктури. TraderTraitor націлена на технічних і бекенд-спеціалістів блокчейн-компаній за допомогою витончених фіктивних пропозицій роботи та тестових завдань. ФБР напряму приписує їй зломи Ronin, Bybit, Harmony Horizon і низку інших інцидентів.

Contagious Interview (Famous Chollima) — підгрупа, націлена на розробників через фіктивні співбесіди та шкідливі репозиторії коду. Жертви відгукуються на вакансії або звернення рекрутерів і отримують завдання зі шкідливим кодом.

AppleJeus (Citrine Sleet, Gleaming Pisces, UNC4736) спеціалізується на атаках із використанням вірусу-трояна. Фахівці з цієї підгрупи створюють фіктивні застосунки, за допомогою яких викрадають дані жертв. Працює з 2018 року.

DPRK IT Workers (Jasper Sleet) — це кластер, який включає «тисячі» північнокорейських фахівців. Вони працюють здебільшого легально, але водночас передають дані в інші структури. Їхні зарплати також використовуються для фінансування різних програм.

Розподіл втрат, пов’язаних із КНДР, за кластерами. Джерело: звіт CertiK Skynet.

Методи роботи північнокорейських хакерів

Усю цю структуру, згідно зі звітом, вирізняють від інших загроз у кіберсфері певні інструменти та підходи:

витонченість і дисципліна. Структура працює як «фабрика» шкідливого ПЗ. При цьому рішення для злому на початковому етапі навмисно примітивні, більш витончені підходи використовуються лише проти конкретних цілей;
розвідка. Атаці передують місяці підготовки та збору даних. Щонайменше у п’яти великих зломах криптовалютних бірж первинні розслідування помилково вважали атаки справою рук інсайдерів, йдеться у звіті;
цільовий фішинг. Співробітники цих підгруп витрачають багато часу на вибудовування особистих стосунків із жертвою. Так, наприклад, члени SquidSquad підтримують фіктивних персонажів тижнями, а оператори Contagious Interview проводять багатоступеневі технічні співбесіди з реальними завданнями, перш ніж передати скомпрометований репозиторій;
безперервна еволюція. Види шкідливого ПЗ, використовувані методи та засоби Lazarus Group постійно адаптуються, при цьому вектор їхніх атак неодноразово змінювався.

Загалом таких фаз, згідно зі звітом, було шість — від DDoS-атак до фізичної інфільтрації. Як приклад останнього підходу наводиться злом проєкту Drift Protocol.

«Суб’єкти КНДР залучали посередників для фізичного відвідування криптоконференцій, вибудовування відносин із командою, внесення мільйонів доларів реального капіталу і зрештою компрометації пристроїв. Атака поєднувала фізичну соціальну інженерію, маніпуляції з управлінням та інше», — йдеться у звіті.

З цього випливає ще один висновок — кожна наступна велика атака хакерів із КНДР, від Ronin до Drift Protocol, була складнішою та продуманішою.

Порівняння трьох зломів, за якими стоять хакери з КНДР. Джерело: звіт CertiK Skynet.

Згідно зі звітом, хакери з Північної Кореї мають широкий інструментарій — від підроблених месенджерів до реальних профілів у Telegram, заражених файлів і багатьох різновидів ПЗ.

Чи можна уникнути цієї загрози?

«Хоча існують більш нестандартні методи виявлення ІТ-працівників КНДР — наприклад, прохання висловитися критично про главу держави Кім Чен Ина, — запобігання атакам такого роду потребує комплексного підходу. КНДР, безсумнівно, має одних із найвправніших зломників у світі, і якщо в системі є слабке місце, вони зроблять усе можливе, щоб ним скористатися», — йдеться у звіті.

Серед іншого, автори наводять такі рекомендації:

сувора верифікація особи;
нульова довіра під час найму;
зниження ризиків у комунікаціях;
захист інфраструктури;
затримки виведення та автоматичні запобіжники;
апаратні модулі безпеки (HSM).

Водночас методи північнокорейських хакерів продовжують розвиватися, йдеться у звіті. Зокрема, експерти відзначили зростання використання ШІ та розширення зон проникнення, а також появу нових схем із відмивання грошей.

Усе це вказує на те, що фундаментальна проблема, а саме використання КНДР крадіжок криптоактивів як одного з основних джерел доходу, залишається актуальною.

Сообщение З 2016 року хакери Північної Кореї викрали понад $6,7 млрд — звіт появились сначала на INCRYPTED.