Grupa Lazarus: Jak północnokoreańscy cyberprzestępcy kradną kryptowaluty
Jedna ekipa hakerów ukradła więcej kryptowalut niż ktokolwiek w historii. Co więcej, pracuje dla rządu. Grupa Lazarus to państwowa organizacja hakerska Korei Północnej, dla której kradzież kryptowalut nie jest zajęciem dodatkowym. To praca na etacie, źródło dochodu narodowego z listą płac. W dobrym roku, według ich standardów, grupa wysysa ponad dwa miliardy dolarów z giełd, mostów i zwykłych portfeli. Większość z nich znika, zanim ktokolwiek złoży raport.
W tym przewodniku omówiono, kim są, jakie największe napady są z nimi związane, jak przebiega atak, jak prane są pieniądze i ile zniknęło. Główny nacisk kładziemy na kryptowaluty. To właśnie tam teraz toczy się ta historia.
Kim naprawdę jest Grupa Lazarus
Zapomnij o obrazie samotnego hakera w bluzie z kapturem. Grupa Lazarus jest bliższa departamentowi rządowemu z listą płac. Zachodnie agencje łączą ją z północnokoreańskim Biurem Rozpoznania Ogólnego, główną służbą wywiadowczą kraju, oraz z jednostkami czasami określanymi jako Biuro 121. Badacze cyberbezpieczeństwa identyfikują ją jako pojedynczą grupę zagrożeń, choć w praktyce jest to grupa zespołów prowadzących ofensywne operacje cybernetyczne rządu Korei Północnej. Ludzie za klawiaturą są przeszkoleni, otrzymują pensje i zadania, a ich lista celów jest ustalana przez państwo.
Grupa występuje pod różnymi nazwami w zależności od tego, kto pisze raport: APT38, Hidden Cobra, Guardians of Peace, Labyrinth Chollima. Analitycy dzielą ją na podzespoły o różnych zadaniach. BlueNoroff ściga banki i firmy kryptowalutowe, aby zdobyć pieniądze, Andariel koncentruje się na szpiegostwie i destrukcji, a szersza grupa Lazarus zajmuje się atakami na nagłówki. Działa w różnych formach od około 2009 roku, co czyni ją jednym z najdłużej działających i najbardziej zmotywowanych finansowo podmiotów cyberzagrożeń na świecie.
Tym, co wyróżnia Lazarusa od większości państwowych hakerów, jest motyw. Rosja i Chiny głównie szpiegują. Korea Północna kradnie, aby się finansować. We wrześniu 2019 roku Departament Skarbu USA formalnie nałożył sankcje na Lazarusa i dwie powiązane z nim grupy, BlueNoroff i Andariel, nazywając je ramionami państwa północnokoreańskiego. Jedna z firm ochroniarskich trafnie podsumowała tę grupę: syndykat przestępczy z flagą.
Od Sony do WannaCry: wczesne lata
Zanim pojawiły się kryptowaluty, Lazarus zbudował swoją renomę na chaosie. W 2014 roku trafił na Sony Pictures Entertainment, podpisał kontrakt z Guardians of Peace, wyczyścił systemy, ujawnił niepublikowane filmy i ujawnił lata wewnętrznej poczty. Prawdopodobny motyw? Komedia wyśmiewająca przywódcę Korei Północnej. Głośna, polityczna, destrukcyjna. Jeszcze nieopłacalna.
Następnie pojawiły się pieniądze. W 2016 roku grupa niemal dokonała jednego z największych napadów na bank w historii, wysyłając fałszywe wiadomości SWIFT, aby wykraść 951 milionów dolarów z konta Bangladesh Bank w nowojorskim oddziale Fed. Literówka i odrobina szczęścia pokrzyżowały plany większości z nich. Uciekło około 81 milionów dolarów. Ten jeden cyberatak udowodnił, że Lazarus potrafi okraść instytucje finansowe z klawiatury i przekształcił państwową cyberprzestępczość w prawdziwe źródło dochodu.
Potem, w 2017 roku, pojawił się WannaCry, robak ransomware, który zamroził setki tysięcy komputerów w około 150 krajach i przy okazji zniszczył brytyjskie szpitale. Był niechlujny i ledwo zarobił. Ale miał zasięg. Kiedy kryptowaluty zaczęły się rozwijać, Lazarus miał już dekadę doświadczenia w przesyłaniu pieniędzy, których nie miał prawa ruszać.
Dlaczego północnokoreańscy hakerzy atakują kryptowaluty
Dla reżimu odciętego od globalnego systemu bankowego kryptowaluty są wręcz zbyt wygodne. Sankcje mogą zamrozić konto bankowe i zablokować przelew SWIFT, ale nikt nie może uniemożliwić portfelowi otrzymania środków. Kryptowaluty przemieszczają się przez granice w ciągu kilku minut, są nieodwracalnie rozliczane i można je przetasować za pomocą narzędzi zaprojektowanych do zerwania szlaku.
Korea Północna zmieniła więc kierunek. Po co ryzykować napad na bank, który może zostać cofnięty przez jeden telefon, skoro eksploatacja mostu przynosi dziesięciokrotnie większe zyski i nie można go odzyskać? Ekonomia działa na korzyść atakującego. Nieudany przelew SWIFT zostaje zamrożony i zwrócony; udany drenaż mostu jest ostateczny w momencie potwierdzenia blokady. Nie ma drugiej strony, do której można zadzwonić, nie ma obciążenia zwrotnego, nie ma sądu mającego jurysdykcję nad portfelem. Śledczy i ONZ szacują obecnie, że skradzione kryptowaluty stanowią znaczną część zagranicznych dochodów kraju i znaczną część jego programu zbrojeniowego, choć dokładne wartości procentowe pochodzą z ocen wywiadowczych, a nie z jawnych ksiąg.
Największe kradzieże kryptowalut grupy Lazarus
Liczby przestały brzmieć jak przestępstwo już jakiś czas temu. Brzmią jak budżet państwa. Największa kradzież, włamanie na Bybit, jest większa niż kilka kolejnych razem wziętych i większa niż jakikolwiek inny napad na bank w historii.
| Napad | Data | Kwota | Metoda |
|---|---|---|---|
| Bybit | Luty 2025 | ~1,5 mld dolarów | Zmanipulowany interfejs podpisu wielosigowego |
| Most Ronina (Axie) | Marzec 2022 | ~625 mln dolarów | Skradzione klucze prywatne walidatora |
| DMM Bitcoin | Maj 2024 | ~308 mln dolarów | Fałszywy rekruter, skompromitowany pracownik |
| WazirX | Lipiec 2024 | ~235 mln dolarów | Naruszenie infrastruktury portfela |
| Horyzont Harmonii | Czerwiec 2022 | ~100 mln dolarów | Zniszczone klucze mostka |
| Portfel atomowy | Czerwiec 2023 | >100 mln dolarów | Aktualizacja złośliwego oprogramowania |
Przyjrzyj się uważnie, a te same słabe punkty wciąż się pojawiają. Kradzież Ronina zadziałała, ponieważ atakujący przejęli kontrolę nad pięcioma z dziewięciu kluczy walidacyjnych zabezpieczających most, co wystarczyło do zatwierdzenia własnych wypłat, po skompromitowaniu starszego inżyniera. Bybit był subtelniejszy: zamiast włamać się do zimnego portfela , atakujący uszkodzili interfejs widoczny dla sygnatariuszy, dzięki czemu zespół zatwierdził przelew, który wyglądał na rutynowy, ale był czymś zupełnie innym. W obu przypadkach kryptografia zadziałała. Ludzie i oprogramowanie nie.
Kwoty różnią się w zależności od źródła, ponieważ zazwyczaj są powiązane z ceną tokena w danym dniu, a Lazarus ma tendencję do kradzieży aktywów o zmiennej wartości, takich jak ether. Wartość Ronina waha się od około 540 milionów do 625 milionów dolarów, w zależności od tego, kto liczy, a Bybit jest wyceniany na 1,4 do 1,5 miliarda dolarów. Schemat jest spójny: atakuj mosty , giełdy kryptowalut i oprogramowanie portfeli, czyli punkty krytyczne, w których pojedyncza awaria uwalnia fortunę.
Jak przebiega atak hakerski na grupę Lazarus
Oto część, która zaskakuje ludzi. Te rekordowe kradzieże rzadko zaczynają się od jakiegoś egzotycznego, niemożliwego do zatrzymania wyczynu. Zaczynają się od oszukania kogoś. Sprytna, nieodwracalna część pojawia się później, kiedy pieniądze muszą zniknąć.
Droga do wejścia: fałszywe oferty pracy i phishing
Lazarus jest cierpliwy i towarzyski. Jego długofalowy plan działania, często nazywany Operacją Praca Marzeń, polega na podszywaniu się pod rekrutera na LinkedIn lub w społeczności programistów i oferowaniu wymarzonej roli w firmie, która brzmi realistycznie. Gdzieś podczas rozmowy kwalifikacyjnej pojawia się „test kodowania” lub plik PDF, a jego otwarcie powoduje zainstalowanie złośliwego oprogramowania. Uważa się, że kradzież Bitcoinów z DMM rozpoczęła się dokładnie w ten sposób – fałszywy rekruter naraził pracownika w powiązanej firmie. To samo podejście było stosowane wobec programistów w całej branży za pomocą pakietów npm-pułapek i repozytoriów GitHub udających legalne próbki pracy. Żadna zapora sieciowa nie powstrzyma inżyniera, któremu powiedziano, że plik jest przydziałem pracy, i właśnie dlatego socjotechnika, a nie jakiś niezniszczalny exploit, otwiera większość tych drzwi.
Fałszywi pracownicy IT w budynku
Nowszy trik jest jeszcze śmielszy: zamiast włamać się do systemu, Korea Północna aplikuje o pracę. Tysiące jej pracowników IT podszywa się pod zdalnych programistów, wykorzystując skradzione amerykańskie tożsamości i farmy laptopów prowadzone przez lokalnych pośredników, aby wyglądało, że logują się z Teksasu, a nie z Pjongjangu. Po zatrudnieniu w zachodnich firmach technologicznych i kryptowalutowych, przelewają swoje pensje do domu, a czasami ukrywają dostęp do późniejszej kradzieży. Departament Sprawiedliwości USA ścigał obie strony tego procederu, w tym w grudniu 2024 roku w sprawie oskarżeń czternastu Koreańczyków z Północy i w 2025 roku wszczęto postępowanie przeciwko pośrednikom z siedzibą w USA, którzy przechowywali laptopy. To szpiegostwo podszywające się pod wpis na liście płac.
Wypłata: miksery i mosty
Kradzież kryptowaluty to połowa sukcesu; trudniejsza połowa to jej wydanie. Lazarus przepuszcza skradzione środki przez miksery takie jak Tornado Cash, sankcjonowany przez USA w 2022 roku, i Sinbad, sankcjonowany pod koniec 2023 roku, a następnie przerzuca pieniądze przez blockchainy za pomocą mostów i swapów między aktywami, aby zatrzeć ślady, zanim wypłaci je za pośrednictwem giełd z niepewnymi czekami. Proces jest szybki i zautomatyzowany; po Bybit śledczy obserwowali, jak środki rozproszyły się po setkach portfeli w ciągu kilku godzin. To pranie pieniędzy na skalę przemysłową i działa na tyle często, że reżim nadal to robi.
Ile ukradła grupa Lazarus?
Z dystansu trudno przetworzyć te sumy. Według Chainalysis , hakerzy powiązani z Koreą Północną ukradli około 2,02 miliarda dolarów w kryptowalutach w 2025 roku, co stanowi wzrost o 51% w porównaniu z rokiem poprzednim i podniosło rekordową sumę do ponad 6,75 miliarda dolarów. W 2025 roku kraj ten odpowiadał za około 76% wszystkich skradzionych wartości z usług kryptowalutowych na całym świecie. Jeden stan odpowiada za trzy czwarte strat.
| Okres | Skradzione (krypto) | Źródło |
|---|---|---|
| 2024 (potwierdzone przez rządy) | ~659 mln dolarów | Wspólne oświadczenie USA/Japonii/Korei Południowej |
| 2024 (pełne przypisanie) | ~1,19 mld dolarów | Analiza łańcuchowa / Mandiant |
| 2025 | ~2,02 mld dolarów | Analiza łańcuchowa |
| Całkowity czas (dolna granica) | ~6,75 mld dolarów | Analiza łańcuchowa |
Dane z 2024 roku różnią się, ponieważ mierzą różne czynniki: rządy potwierdziły kilka konkretnych napadów, podczas gdy firmy analityczne przypisały ich więcej poprzez śledzenie on-chain. Tak czy inaczej, trend jest wzrostowy. Panel ekspertów ONZ naliczył około 58 podejrzanych ataków kryptowalutowych na Koreę Północną o wartości około 3 miliardów dolarów w latach 2017-2023, zanim jeszcze ustanowiono rekordy z lat 2024 i 2025. Ta sama organizacja poinformowała, że pieniądze te służą finansowaniu północnokoreańskiego programu zbrojeniowego, co jest twierdzeniem opartym na informacjach wywiadowczych państw członkowskich, a nie na audytowanych rachunkach, ale które przedstawia każde naruszenie bezpieczeństwa giełdy jako coś bliższego wydarzeniu geopolitycznemu.
Sankcje, akty oskarżenia i reakcja
Co więc można z tym zrobić? Wytknąć ich, ukarać, oskarżyć. Aresztować, prawie nigdy, bo siedzą w Pjongjangu.
Ślad papierowy jest już długi. Departament Skarbu umieścił Lazarusa na czarnej liście w 2019 roku, a następnie zajął się mikserami, na których się opiera, Tornado Cash i Sinbad. Prokuratorzy również dołożyli starań, oskarżając znanych hakerów już w 2021 roku, a ostatnio osoby zarządzające fałszywym systemem informatycznym. Powodzenia w doręczaniu nakazów.
Odzyskanie pieniędzy jest jeszcze rzadsze. Po kradzieży Ronina, śledczy odzyskali część funduszy z pomocą FBI i Chainalysis. Część. Reszta zniknęła. A sankcje mają to do siebie, że po prostu odwracają sytuację: umieszczenie Tornado Cash na czarnej liście i pieniądze płyną do Sinbada; uderzenie Sinbada i grupa znajduje kolejnego miksera. Każdy ruch sprawia, że wypłata jest droższa i bardziej szkodliwa. Nic z tego nie powstrzyma kradzieży u źródła. Nie można ekstradować rządu.
Czy Grupę Lazarus można powstrzymać?
Szczerze mówiąc, nie chodzi tylko o sankcje. Obrona, która ma znaczenie, ma miejsce przed naruszeniem i spoczywa na giełdach i użytkownikach, a nie na prokuratorach. Oznacza to wymuszanie sprzętowe zatwierdzania dużych transferów, traktowanie niechcianego rekrutera jako zagrożenia, a nie szansy, oraz niedopuszczanie, by jeden zainfekowany laptop podpisał dokumenty skarbowe. Oznacza to również weryfikację tego, co się faktycznie podpisuje, zamiast ufać ekranowi – dokładnie ta luka kosztowała Bybit ponad miliard dolarów. Asymetria jest brutalna: obrońcy muszą mieć rację za każdym razem, podczas gdy Lazarus potrzebuje jednego inżyniera do otwarcia jednego pliku. Realistycznym celem nie jest wyeliminowanie grupy, ale spowolnienie, ograniczenie i utrudnienie prania pieniędzy w każdej kradzieży, tak aby kolejny miliard dolarów po prostu nie istniał.
Dlaczego Grupa Lazarus jest ważna dla kryptowalut
Lazarus wykorzystał cechy, z których kryptowaluty są najbardziej dumne – ich bezgraniczność i nieodwracalność – i przekształcił je w narzędzie finansowania państwa. To jest niewygodna lekcja: ten sam projekt, który uwalnia pieniądze od banków, uwalnia je również przed odzyskiwaniem. Bezpieczeństwo kryptowalut nie jest już tylko kwestią osobistych obaw o własne klucze; stało się kwestią bezpieczeństwa narodowego kilku krajów jednocześnie. Każdy nieaudytowany most i każda giełda z luźnymi kontrolami to potencjalna pozycja w budżecie na rakiety. Warto zastanowić się nad pytaniem, jak otwarty, pozbawiony zezwoleń system finansowy broni się przed cierpliwym, dobrze finansowanym przeciwnikiem, który traktuje kradzieże na dużą skalę jako element polityki zagranicznej.
