Все сталося вночі та за лічені хвилини. Генеральний директор криптовалютної біржі Bybit, Бен Чжоу, здійснив серію рутинних переказів з домашнього комп'ютера. Через деякий час йому зателефонували з компанії та повідомили, що їхні резерви Ethereum, другої за популярністю криптовалюти після Bitcoin, на суму 1.5 мільярда доларів (близько 1.4 мільярда € за курсом) зникли. На той момент ефіри вже були переведені на тисячі чужих цифрових гаманців. Вони щойно зазнали найбільшої крадіжки в історії.

Через п'ять днів ФБР підтвердило те, що деякі аналітики підозрювали з самого початку: за атакою стоїть Lazarus, група хакерів, підтримувана урядом Північної Кореї, яка стала справжнім лихом для криптосектору.

Чжоу намагався зберігати спокій у соціальних мережах одразу після кібератаки, навіть показуючи показники свого смарт-годинника, щоб передати, що все під контролем. Підприємець гарантував постраждалим клієнтам, що їм повернуть 100% їхніх депозитів. Побоюючись паніки в секторі, деякі конкуренти платформи Bybit, наприклад Byget, позичили їй без відсотків ефіри на суму 100 мільйонів доларів для повернення депозитів.

Але шкоди вже було завдано. Менш ніж за 24 години клієнти Bybit вивели криптовалюти на суму близько 10 мільярдів доларів, що становить майже половину загального обсягу, яким керує платформа. Вартість біткоїна, еталонної криптовалюти, впала на 20% наступного дня після кібератаки, що стало найгіршим днем з моменту банкрутства біржі FTX у 2022 році.

Витончена атака

Викрасти 1.5 мільярда доларів за один раз непросто. Lazarus, загальний термін для різних команд хакерів, фінансованих Північною Кореєю, підтверджує свій статус світового лідера у кіберзлочинності. До атаки на Bybit найбільша відома кіберкрадіжка, що сталася у 2022 році, також була їхньою роботою: 625 мільйонів доларів в ефірах, вкрадених з веб-сайту, пов'язаного з відеогрою Axie Infinity. Криптовалюти стали золотою жилою для Lazarus: за оцінками, у 2024 році вони вкрали криптовалюти на суму 1.34 мільярда доларів у 47 інцидентах. У 2023 році ця сума становила 660 мільйонів доларів, отриманих через 20 різних атак.

Пограбування століття

Минув місяць після великої крадіжки, і звіти експертів розкрили багато деталей операції Lazarus. Всі опитані аналітики описують її як роботу, доступну дуже небагатьом, як за ретельністю планування, так і за точністю виконання. «Атака на Bybit продемонструвала надзвичайно високий рівень підготовки Lazarus. Вони поєднали соціальну інженерію, глибоке знання інфраструктур DeFi [децентралізованих фінансів] та передові методи для здійснення одного з найзухваліших кіберпограбувань на сьогодні», — описує один із експертів з кібербезпеки.

Ключем до успіху північнокорейських хакерів стало те, що їм вдалося перехопити кошти з холодного гаманця — такого, що не має підключення до Інтернету і вважався досі найбезпечнішим для зберігання криптовалют. Саме тому Bybit зберігала там свої великі резерви Ethereum. Як їм вдалося отримати доступ до цих коштів? Bybit періодично переказувала криптовалюти з холодного гаманця на гарячий (підключений до Інтернету) для управління щоденними операціями. Саме це й робив Бен Чжоу зі свого будинку 21 лютого.

Або, точніше, так він думав. Хакери Lazarus змогли перехопити перекази та перенаправити їх на кілька контрольованих ними рахунків. Для цього вони атакували третю сторону: постачальника гаманця, який використовує біржа, платформу Safe{Wallet}. Lazarus вдалося отримати контроль над комп'ютером одного з розробників програмного забезпечення Safe{Wallet} і, потрапивши в інфраструктуру цієї платформи, впровадити шкідливий код, прихований у її додатку. Це те, що на жаргоні називається «атакою на ланцюжок постачання» (supply chain attack).

«Це шкідливе ПЗ хірургічної точності було розроблено для активації лише за певних умов, залишаючись непоміченим для звичайних засобів захисту», — пояснює експерт. Коли Чжоу ініціював рутинні перекази з холодного гаманця, шкідливий код спрацював, маніпулюючи транзакціями та надсилаючи їх на гаманці зловмисників замість легітимних. «Одразу після здійснення транзакції хакери замітали сліди: за дві хвилини вони завантажили нові чисті версії коду JavaScript у репозиторій Safe{Wallet} [в хмарі] AWS, видаливши використаний ними бекдор. Вся атака відбулася настільки швидко і непомітно, що до того моменту, як Bybit виявила аномальне виведення коштів, було вже занадто пізно: ефіри контролювалися Lazarus».

Крадіжка заради слави режиму

Хоча жодна країна офіційно цього не визнає, багато хто фінансує та підтримує елітні групи хакерів, відомі як APT (Advanced Persistent Threats — просунуті постійні загрози). Це добре структуровані організації з першокласними фахівцями, чиї можливості часто не поступаються спецслужбам великих держав. Різниця в тому, що вони діють, нібито, без прапора. Зазвичай вони займаються промисловим шпигунством, саботажем або отриманням військових документів чи стратегічно важливої інформації.

Підхід Північної Кореї інший. Її хакерські команди в основному зосереджені на отриманні коштів для режиму. І вони знайшли у криптовалютах важливе джерело доходу. Нещодавня атака на Bybit (1.5 мільярда доларів) та на Axie Infinity (625 мільйонів) є яскравим доказом цього. За оцінками експертів, північнокорейські хакери заволоділи щонайменше 5 мільярдами доларів у криптовалютах лише з 2021 року. А звіт Ради Безпеки ООН оцінює, що кошти, отримані цими групами, становлять половину валютних надходжень до Північної Кореї.

Саме Кім Чен Ин, онук засновника династії диктаторів, зрозумів, що режим може отримати велику вигоду від кіберпростору. Він зробив ставку на це одразу після успадкування влади в країні у 2009 році. «Студентів, які виявляють потенційні здібності [до інформатики], деяких у віці лише 11 років, відправляють до спеціальних шкіл, а потім до Університету автоматизації в Пхеньяні», де «протягом п'яти років їх навчають зламувати системи та створювати комп'ютерні віруси».

Спецслужби США та Великої Британії, а також Microsoft приписують Lazarus запуск у 2017 році WannaCry 2.0, найбільшої атаки з використанням програм-вимагачів в історії. Цей комп'ютерний вірус заблокував близько 300 000 комп'ютерів у 150 країнах, включаючи систему охорони здоров'я Великої Британії, і вимагав викуп за їх розблокування. Також гучною була кібератака на Sony Pictures у 2014 році, яку атакували за створення фільму, що висміював «Улюбленого та Шанованого Лідера» — одна з офіційних форм звернення до Кім Чен Ина. Нещодавно стало відомо, що їм вдалося влаштувати своїх хакерів співробітниками в сотню технологічних компаній для крадіжки конфіденційної інформації та грошей.

«Наші дослідницькі групи виявили нові кампанії, що демонструють рівень витонченості цієї групи», — зазначає один з дослідників безпеки. «Прикладом є операція DreamJob, також відома як DeathNote, в якій вони використовували передове шкідливе ПЗ для компрометації співробітників ядерної компанії в Бразилії».