Группа «Лазарус»: как северокорейские киберпреступники крадут криптовалюту
Одна хакерская группировка украла больше криптовалюты, чем кто-либо в истории. И, что немаловажно, она работает на правительство. Группа «Лазарус» — это государственная хакерская организация Северной Кореи, и для неё кража криптовалюты — не подработка. Это основная работа, источник дохода страны с постоянной зарплатой. В удачный год, по их меркам, группа выкачивает более двух миллиардов долларов с бирж, мостов и обычных кошельков. Большая часть этих денег исчезает ещё до того, как кто-либо подаёт заявление в полицию.
В этом руководстве рассказывается о том, кто они, о крупнейших связанных с ними ограблениях, о том, как на самом деле происходит атака, как отмываются деньги и сколько их исчезло. Основное внимание уделяется криптовалюте. Именно в этой сфере сейчас и сосредоточена эта история.
Кто на самом деле представляет собой группа «Лазарус»?
Забудьте об образе одинокого хакера в толстовке. Группа «Лазарус» больше похожа на правительственное ведомство с зарплатным фондом. Западные агентства связывают её с Главным разведывательным управлением Северной Кореи, главной внешней разведывательной службой страны, и с подразделениями, иногда называемыми Бюро 121. Исследователи в области кибербезопасности отслеживают её как единую группу угроз, хотя на практике это группа команд, управляющих наступательными кибер-операциями северокорейского правительства. Люди, работающие за компьютерами, обучены, получают зарплату и выполняют задачи, а список их целей устанавливается государством.
Группа известна под разными названиями в зависимости от того, кто пишет отчет: APT38, Hidden Cobra, Guardians of Peace, Labyrinth Chollima. Аналитики делят ее на подгруппы с разными задачами. BlueNoroff преследует банки и криптофирмы, выманивая у них деньги, Andariel тяготеет к шпионажу и дестабилизации, а более широкая группа Lazarus занимается главными атаками. Она существует в той или иной форме примерно с 2009 года, что делает ее одним из самых долго существующих и наиболее финансово мотивированных субъектов угроз в мире.
Что отличает Lazarus от большинства государственных хакеров, так это мотив. Россия и Китай в основном занимаются шпионажем. Северная Корея ворует, чтобы финансировать себя. В сентябре 2019 года Министерство финансов США официально ввело санкции против Lazarus и двух связанных с ним групп, BlueNoroff и Andariel, назвав их подразделениями северокорейского государства. Одна охранная фирма метко охарактеризовала эту группу: преступный синдикат под своим флагом.
От Sony до WannaCry: ранние годы
До появления криптовалют компания Lazarus заработала себе имя на хаосе. В 2014 году она атаковала Sony Pictures Entertainment, подписала контракт с Guardians of Peace, стерла все данные с систем, слила в сеть невышедшие фильмы и обнародовала многолетнюю внутреннюю переписку. Очевидный мотив? Комедия, высмеивающая лидера Северной Кореи. Громкая, политическая, разрушительная. Пока не приносящая прибыли.
Затем появились деньги. В 2016 году группа едва не совершила одно из крупнейших ограблений банков в истории, отправив мошеннические SWIFT-сообщения, чтобы снять 951 миллион долларов со счета Банка Бангладеш в Федеральном резервном банке Нью-Йорка. Опечатка и немного удачи помешали осуществить большую часть плана. Около 81 миллиона долларов все же удалось украсть. Эта кибератака доказала, что Lazarus может грабить финансовые учреждения с помощью клавиатуры, и превратила государственную киберпреступность в реальный источник прибыли.
Затем в 2017 году появился WannaCry, вирус-вымогатель, который заблокировал сотни тысяч компьютеров примерно в 150 странах и вывел из строя больницы Великобритании. Это было сделано небрежно и практически ничего не принесло. Но это показало масштаб проблемы. Таким образом, к тому времени, когда криптовалюта повзрослела, у Lazarus уже был десятилетний опыт перемещения денег, к которым она не имела права прикасаться.
Почему северокорейские хакеры нацелены на криптовалюты
Для режима, оторванного от глобальной банковской системы, криптовалюта кажется почти слишком удобной. Санкции могут заморозить банковский счет и заблокировать SWIFT-перевод, но никто не может помешать кошельку получать средства. Криптовалюта перемещается через границы за считанные минуты, расчеты необратимы, и ее можно перетасовывать с помощью инструментов, предназначенных для того, чтобы скрыть след.
Поэтому Северная Корея изменила курс. Зачем рисковать ограблением банка, которое можно отменить одним телефонным звонком, если использование уязвимости в системе обмена криптовалютой приносит в десять раз больше прибыли и её невозможно вернуть? Экономическая ситуация складывается в пользу злоумышленника. Неудачный SWIFT-перевод блокируется и возвращается; успешный вывод средств через систему обмена криптовалютой считается окончательным в момент подтверждения блока. Нет контрагента, которому можно позвонить, нет возможности отменить платеж, нет суда, имеющего юрисдикцию над кошельком. Следователи и ООН теперь подсчитали, что украденная криптовалюта финансирует значительную часть валютных поступлений страны и существенную часть её программы вооружений, хотя эти точные проценты получены из разведывательных оценок, а не из открытых источников.
Крупнейшие криптокражи, совершенные группой Лазаря.
Эти цифры уже давно перестали звучать как криминальные сводки. Теперь они больше похожи на государственный бюджет. Крупнейшая кража, взлом Bybit, по масштабу превосходит несколько последующих вместе взятых и любое ограбление банка, не связанное с криптовалютой, за всю историю.
| Ограбление | Дата | Количество | Метод |
|---|---|---|---|
| Байбит | Февраль 2025 г. | ~1,5 млрд долларов США | Манипулируемый интерфейс мультиподписной подписи |
| Мост Ронин (Акси) | Март 2022 г. | ~625 млн долларов США | Украденные закрытые ключи валидатора |
| DMM Bitcoin | Май 2024 г. | ~308 млн долларов США | Фальшивый рекрутер, скомпрометированный сотрудник |
| ВазирХ | Июль 2024 г. | ~235 млн долларов | Взлом инфраструктуры кошелька |
| Гармония Горизонт | Июнь 2022 г. | ~100 млн долларов | Компрометированные ключи моста |
| Атомный кошелек | Июнь 2023 г. | >100 млн долларов | Вредоносное обновление программного обеспечения |
Присмотритесь внимательнее, и вы увидите, что одни и те же слабые места постоянно повторяются. Кража в Ronin сработала, потому что злоумышленники получили контроль над пятью из девяти ключей валидатора, обеспечивающих безопасность моста, — этого было достаточно, чтобы одобрить собственные выводы средств, — после того, как они взломали систему старшего инженера. В Bybit всё было сложнее: вместо того, чтобы взломать холодный кошелек , злоумышленники исказили интерфейс, который видели подписанты, поэтому команда одобрила перевод, который выглядел обычным, но на самом деле таковым не являлся. В обоих случаях криптография выдержала. Люди и программное обеспечение, работающее с ней, — нет.
Суммы варьируются в зависимости от источника, поскольку обычно они привязаны к цене токена на день совершения сделки, а Lazarus, как правило, крадет волатильные активы, такие как эфир. По данным Ronin, сумма составляет от 540 до 625 миллионов долларов в зависимости от того, кто ведет подсчет, а по данным Bybit — от 1,4 до 1,5 миллиарда долларов. Основная схема остается неизменной: атаковать мосты , криптовалютные биржи и программное обеспечение кошельков — узкие места, где одна ошибка может высвободить целое состояние.
Как разворачивается взлом группы Lazarus
Вот что удивляет людей. Эти рекордные кражи редко начинаются с какой-то экзотической, неудержимой уловки. Они начинаются с того, что человека обманывают. Хитрость и необратимость начинаются потом, когда деньги должны исчезнуть.
Путь проникновения: фальшивые вакансии и фишинг.
Lazarus — терпеливый и общительный. Его давняя стратегия, часто называемая «Операция «Работа мечты»», заключается в том, чтобы, выдавая себя за рекрутера в LinkedIn или в сообществе разработчиков, предложить работу мечты в компании, которая выглядит вполне реальной. В какой-то момент собеседования приходит «тест по программированию» или PDF-файл, открытие которого приводит к установке вредоносного ПО. Считается, что кража биткоинов DMM началась именно таким образом: фальшивый рекрутер взломал данные сотрудника связанной с ним компании. Аналогичный подход был направлен на разработчиков по всей отрасли с помощью заминированных пакетов npm и репозиториев GitHub, замаскированных под легитимные примеры работ. Никакой брандмауэр не остановит инженера, которому сказали, что файл — это задание на работу, и именно поэтому социальная инженерия, а не какая-либо неуязвимая уязвимость, открывает большинство таких дверей.
Внутри здания находятся фальшивые IT-специалисты.
Новый трюк ещё более дерзкий: вместо взлома Северная Корея сама устраивается на работу. Тысячи её IT-специалистов выдают себя за удалённых разработчиков, используя украденные американские удостоверения личности и «фермы ноутбуков», управляемые местными посредниками, так что создаётся впечатление, будто работник подключается из Техаса, а не из Пхеньяна. После трудоустройства в западные технологические и криптокомпании они переводят свою зарплату домой, а иногда и создают резервные копии данных для последующего хищения. Министерство юстиции США преследует обе стороны этой схемы, включая дело, возбужденное в декабре 2024 года против четырнадцати северокорейцев , и действия в 2025 году против американских посредников, которые предоставляли ноутбуки. Это шпионаж, замаскированный под запись в платежной ведомости.
Вывод средств: микшеры и бриджи
Кража криптовалюты — это половина дела; более сложная половина — это её трата. Лазарус проводит украденные средства через миксеры , такие как Tornado Cash, попавший под санкции США в 2022 году, и Sinbad, попавший под санкции в конце 2023 года, затем переводит деньги между блокчейнами через мосты и обмены между активами, чтобы запутать след, прежде чем обналичить их на биржах с ненадежными чеками. Процесс быстрый и автоматизированный; после Bybit следователи наблюдали, как средства рассеялись по сотням кошельков в течение нескольких часов. Это отмывание денег в промышленных масштабах, и оно работает достаточно часто, чтобы режим продолжал этим заниматься.
Сколько денег украла компания Lazarus Group?
Оглянуться назад и оценить масштабы проблемы будет сложно. По данным Chainalysis , хакеры, связанные с Северной Кореей, украли криптовалюту на сумму около 2,02 миллиарда долларов в 2025 году, что на 51 процент больше, чем годом ранее, и довело общую сумму украденного до более чем 6,75 миллиарда долларов. В 2025 году на долю страны приходилось примерно 76 процентов всей суммы, украденной из криптосервисов по всему миру. На одно государство приходится три четверти ущерба.
| Период | Украденный (криптографический) | Источник |
|---|---|---|
| 2024 год (подтверждено правительствами) | ~659 млн долларов США | Совместное заявление США, Японии и Южной Кореи |
| 2024 (полное указание авторства) | ~1,19 млрд долларов США | Chainalysis / Mandiant |
| 2025 | ~2,02 млрд долларов США | Цепной анализ |
| Общий рекорд (нижняя граница) | ~6,75 млрд долларов США | Цепной анализ |
Данные за 2024 год расходятся, поскольку они измеряют разные вещи: правительства подтвердили лишь несколько конкретных краж, в то время как аналитические фирмы, основываясь на данных блокчейна, выявили больше случаев. В любом случае, тенденция указывает на рост. В обзоре Группы экспертов ООН было зафиксировано около 58 предполагаемых криптоатак со стороны Северной Кореи на сумму около 3 миллиардов долларов в период с 2017 по 2023 год, еще до того, как были установлены рекорды за 2024 и 2025 годы. Эта же организация сообщила, что эти деньги помогают финансировать программу вооружений Северной Кореи — утверждение, основанное на данных разведки государств-членов, а не на проверенных отчетах, — но оно переосмысливает каждое нарушение безопасности биржи как нечто, больше похожее на геополитическое событие.
Санкции, обвинительные заключения и ответные меры
Так что же на самом деле можно с этим сделать? Назвать их имена, наложить на них санкции, предъявить им обвинения. Арестовать их почти никогда, потому что они сидят в Пхеньяне.
Документальное подтверждение уже довольно длинное. Министерство финансов внесло Лазаруса в черный список еще в 2019 году, затем взялось за миксерные компании, на которые он опирается, — Tornado Cash и Sinbad. Прокуратура тоже подключилась, предъявив обвинения хакерам, чьи имена были названы, еще в 2021 году, а в последнее время — и тем, кто управляет фиктивной системой найма IT-специалистов. Удачи с исполнением ордеров на арест.
Возвращение денег — ещё более редкий случай. После кражи у «Ронин» следователи с помощью ФБР и Chainalysis смогли вернуть часть средств . Часть. Остальное исчезло. А санкции имеют обыкновение просто перекладывать проблему с места на место: если внести Tornado Cash в чёрный список, деньги перейдут к Синбаду; если же поместить Синбада под санкции, группа найдёт следующего организатора. Каждый шаг делает обналичивание всё дороже и некрасивее. Ничто не останавливает кражу в источнике. Нельзя экстрадировать правительство.
Можно ли остановить группу «Лазарус»?
Честно говоря, одних только санкций недостаточно. Защита, имеющая решающее значение, происходит до взлома, и она ложится на плечи бирж и пользователей, а не прокуроров. Это означает аппаратное обеспечение для подтверждения крупных переводов, отношение к несанкционированному вербовщику как к угрозе, а не как к возможности, и отказ позволить одному скомпрометированному ноутбуку подписать документы, повлекшие за собой утечку средств. Это также означает проверку того, что именно вы подписываете, а не доверие к экрану — именно та уязвимость, которая обошлась Bybit более чем в миллиард долларов. Асимметрия жестока: защитники должны быть правы каждый раз, в то время как Lazarus нужен всего один инженер, чтобы открыть один файл. Реалистичная цель состоит не в том, чтобы ликвидировать группу, а в том, чтобы сделать каждую кражу более медленной, мелкой и сложной для отмывания, чтобы следующая миллиардная уязвимость просто не существовала.
Почему Lazarus Group важна для криптовалют
Лазарус взял самые сильные стороны криптовалюты — её безграничность и необратимость — и превратил их в инструмент государственного финансирования. В этом и заключается неприятный урок: та же самая конструкция, которая освобождает деньги от банков, также освобождает их от возможности восстановления. Безопасность криптовалюты перестала быть просто личной заботой о ваших собственных ключах; она стала вопросом национальной безопасности сразу для нескольких стран. Каждый непроверенный мост и каждая биржа с ослабленным контролем — это потенциальная статья расходов в ракетном бюджете. Вопрос, над которым стоит задуматься, заключается в том, как открытая, не требующая разрешений финансовая система защищает себя от терпеливого, хорошо финансируемого противника, который рассматривает крупномасштабные кражи как вопрос внешней политики.
