Lazarus Group: Як північнокорейські кіберактори крадуть криптовалюту
Одна хакерська команда вкрала більше криптовалюти, ніж будь-хто в історії. До того ж, вона працює на уряд. Lazarus Group – це державна хакерська операція Північної Кореї, і для неї крадіжка криптовалюти не є підробітком. Це щоденна робота, стаття національного доходу з фондом оплати праці. За хороший рік, за їхніми мірками, група висмоктує понад два мільярди доларів з бірж, мостів та звичайних гаманців. Більшість цієї суми зникає ще до того, як хтось подасть звіт.
У цьому посібнику розповідається, хто вони, які найбільші пограбування з ними пов'язані, як насправді відбувається атака, як відмиваються гроші та скільки зникає. Основна увага зосереджена на криптовалюті. Саме там ця історія зараз і живе.
Хто насправді є групою Лазаря
Забудьте про образ самотнього хакера в худі. Група «Лазарус» ближча до урядового департаменту з платіжною відомостю. Західні агентства пов’язують її з Генеральним бюро розвідки Північної Кореї, головною службою зовнішньої розвідки країни, та з підрозділами, які іноді називають Бюро 121. Дослідники з кібербезпеки відстежують її як єдину групу загроз, хоча на практиці це кластер команд, що керують наступальними кіберопераціями уряду Північної Кореї. Люди, які працюють за клавіатурами, проходять навчання, отримують зарплату та керуються завданнями, а список їхніх цілей встановлює держава.
Група має багато назв залежно від того, хто пише звіт: APT38, Hidden Cobra, Guardians of Peace, Labyrinth Chollima. Аналітики поділяють її на підкоманди з різними завданнями. BlueNoroff переслідує банки та криптовалютні фірми за гроші, Andariel схиляється до шпигунства та деструктивної діяльності, а ширша група Lazarus займається головними атаками. Вона активна в тій чи іншій формі приблизно з 2009 року, що робить її одним з найдовше існуючих та найбільш фінансово мотивованих гравців-злочинців у світі.
Що відрізняє Lazarus від більшості державних хакерів, так це мотив. Росія та Китай здебільшого шпигують. Північна Корея краде, щоб фінансувати власне фінансування. У вересні 2019 року Міністерство фінансів США офіційно запровадило санкції проти Lazarus та двох пов'язаних груп, BlueNoroff та Andariel, назвавши їх філією північнокорейської держави. Одна охоронна фірма чітко охарактеризувала групу: злочинний синдикат з прапором.
Від Sony до WannaCry: Ранні роки
До появи криптовалют Lazarus побудував своє ім'я на хаосі. Хіт 2014 року від Sony Pictures Entertainment, підписаний контракт з Guardians of Peace, знищений системний блок, злив невипущених фільмів та розлив багаторічної внутрішньої електронної пошти. Очевидний мотив? Комедія, яка висміювала лідера Північної Кореї. Гучна, політична, деструктивна. Поки що не прибуткова.
Далі з'явилися гроші. У 2016 році група мало не здійснила одне з найбільших пограбувань банків у історії, використовуючи шахрайські SWIFT-повідомлення, щоб вивести 951 мільйон доларів з рахунку Бангладешського банку у ФРС Нью-Йорка. Друкарська помилка та трохи везіння знищили більшу частину цієї суми. Близько 81 мільйона доларів все ж таки втекло. Ця одна кібератака довела, що Lazarus може грабувати фінансові установи з клавіатури, і перетворила державну кіберзлочинність на справжній центр прибутку.
Потім у 2017 році з'явився WannaCry, черв'як-вимагач, який заморозив сотні тисяч комп'ютерів приблизно у 150 країнах і по дорозі знищив британські лікарні. Він був недбалим і ледве заробляв на життя. Але він демонстрував свою ефективність. Тож на той час, коли криптовалюта виросла, Lazarus вже мав десятирічний досвід переказу грошей, до яких не мав права торкатися.
Чому північнокорейські хакери націлені на криптовалюту
Для режиму, відрізаного від світової банківської системи, криптовалюта майже надто зручна. Санкції можуть заморозити банківський рахунок і заблокувати переказ SWIFT, але ніхто не може зупинити отримання коштів на гаманці. Криптовалюта переміщується через кордони за лічені хвилини, розраховується безповоротно і може бути перемішана за допомогою інструментів, призначених для порушення слідів.
Тож Північна Корея змінила свою позицію. Навіщо ризикувати пограбуванням банку, яке можна повернути нанівець одним телефонним дзвінком, якщо експлойт через міст приносить удесятеро більше грошей і його неможливо повернути? Економічна ситуація не на користь зловмисника. Невдалий переказ SWIFT заморожується та повертається; успішне злиття коштів через міст є остаточним у момент підтвердження блоку. Немає контрагента, якому можна було б зателефонувати, немає повернення коштів, немає суду, який має юрисдикцію над гаманцем. Слідчі та ООН зараз оцінюють, що вкрадена криптовалюта фінансує значну частину іноземних доходів країни та значну частину її програми озброєння, хоча саме ці відсотки отримані з оцінок розвідки, а не з відкритих книг.
Найбільші пограбування криптовалют Lazarus Group
Цифри вже давно перестали звучати як злочин. Вони читаються як національний бюджет. Найбільша крадіжка, злом Bybit, є більшою за кілька наступних разом узятих і більшою за будь-яке пограбування банку, не пов'язане з криптовалютою, в історії.
| Пограбування | Дата | Сума | Метод |
|---|---|---|---|
| Байбіт | Лютий 2025 року | ~1,5 млрд доларів США | Маніпульований інтерфейс підпису мультипідпису |
| Міст Ронінів (Аксі) | Березень 2022 року | ~625 млн доларів США | Викрадені приватні ключі валідатора |
| DMM Bitcoin | Травень 2024 року | ~308 млн доларів США | Фальшивий рекрутер, скомпрометований працівник |
| ВазірX | Липень 2024 р. | ~235 млн доларів США | Порушення інфраструктури гаманця |
| Гармонійний горизонт | Червень 2022 року | ~100 млн доларів США | Скомпрометовані ключі мосту |
| Атомний гаманець | Червень 2023 року | >100 млн доларів США | Оновлення шкідливого програмного забезпечення |
Якщо придивитися уважніше, то одні й ті ж слабкі місця знову і знову з'являються. Крадіжка Ронінів спрацювала, оскільки зловмисники отримали контроль над п'ятьма з дев'яти ключів валідатора, що захищали міст, достатньо для схвалення власних виведень коштів, після компрометації старшого інженера. Bybit виявилася хитрішою: замість того, щоб зламати холодний гаманець , зловмисники пошкодили інтерфейс, який бачили підписанти, тому команда схвалила переказ, який виглядав звичайним, але зовсім не був таким. В обох випадках криптографія витримала. Люди та програмне забезпечення навколо неї – ні.
Суми різняться залежно від джерела, оскільки вони зазвичай прив'язані до ціни токена в день, а Lazarus схильний красти волатильні активи, такі як ефір. Цифра Ronin коливається від приблизно 540 до 625 мільйонів доларів залежно від того, хто рахує, а Bybit котирується від 1,4 до 1,5 мільярда доларів. Схема, що лежить в основі, є послідовною: атакують мости , криптовалютні біржі та програмне забезпечення для гаманців – вузькі точки, де один збій вивільняє цілий статок.
Як розгортається хакерська атака групи Lazarus
Ось що дивує людей. Ці рекордні крадіжки рідко починаються з якогось екзотичного, непереборного витвору. Вони починаються з того, що людину обманюють. Хитра, незворотна частина настає потім, коли гроші мають зникнути.
Шлях всередину: фальшиві вакансії та фішинг
Lazarus — терпляча та комунікабельна компанія. Її довготривала схема, яку часто називають «Операцією мрії», полягає в тому, щоб видати себе за рекрутера на LinkedIn або в спільноті розробників і запропонувати роботу мрії в компанії, яка звучить реально. Десь під час співбесіди приходить «тест з кодування» або PDF-файл, і його відкриття встановлює шкідливе програмне забезпечення. Вважається, що крадіжка біткойнів у DMM почалася саме так: фальшивий рекрутер скомпрометував співробітника пов'язаної фірми. Такий самий підхід був спрямований на розробників по всій галузі за допомогою заміщених npm-пакетів та репозиторії GitHub, маскованих під законні зразки робіт. Жоден брандмауер не зупиняє інженера, якому сказали, що файл є робочим завданням, саме тому соціальна інженерія, а не якийсь незламний експлойт, відкриває більшість цих дверей.
Фальшиві ІТ-працівники всередині будівлі
Новий трюк ще сміливіший: замість того, щоб проникнути всередину, Північна Корея подає заявку на роботу. Тисячі її ІТ-працівників видавали себе за віддалених розробників, використовуючи викрадені американські ідентифікаційні дані та ферми ноутбуків, якими керують місцеві посередники, тому виглядає так, ніби працівник входить у систему з Техасу, а не з Пхеньяна. Після працевлаштування в західних технологічних та криптовалютних компаніях вони перенаправляють свою зарплату додому, а іноді й надають доступ для подальшої крадіжки. Міністерство юстиції США переслідувало обидва кінці цієї схеми, включаючи справу у грудні 2024 року, в якій звинувачено чотирнадцятьох північнокорейців , та дії у 2025 році проти посередників, що базуються в США та розміщували ноутбуки. Це шпигунство, замасковане під платіжну відомость.
Виведення готівки: міксери та бриджі
Вкрасти криптовалюту – це вже половина справи; складніша половина – це її витратити. Lazarus проводить вкрадені кошти через такі міксери , як Tornado Cash, санкціонований США у 2022 році, та Sinbad, санкціонований наприкінці 2023 року, потім перекидає гроші через блокчейни через мости та обмінює активи, щоб заплутати слід, перш ніж вивести гроші через біржі зі слабкими чеками. Процес швидкий та автоматизований; після Bybit слідчі спостерігали, як кошти розсіюються по сотнях гаманців протягом кількох годин. Це відмивання грошей у промислових масштабах, і воно працює достатньо часто, щоб режим продовжував це робити.
Скільки вкрала Lazarus Group?
Якщо зробити крок назад, то підрахувати загальні цифри буде важко. За даними Chainalysis , хакери, пов'язані з Північною Кореєю, у 2025 році вкрали приблизно 2,02 мільярда доларів криптовалюти, що на 51 відсоток більше, ніж роком раніше, і таким чином історична сума перевищила 6,75 мільярда доларів. У 2025 році на цю країну припадало приблизно 76 відсотків усієї вартості, викраденої з криптосервісів у всьому світі. Одна держава – три чверті збитків.
| Період | Вкрадено (криптовалюта) | Джерело |
|---|---|---|
| 2024 (підтверджено урядами) | ~659 млн доларів США | Спільна заява США, Японії та Південної Кореї |
| 2024 (повне посилання) | ~1,19 млрд доларів США | Чайналіз / Мандіант |
| 2025 рік | ~2,02 млрд доларів США | Ланцюговий аналіз |
| За весь час (нижня межа) | ~6,75 млрд доларів США | Ланцюговий аналіз |
Дані за 2024 рік розходяться в думках, оскільки вони вимірюють різні речі: уряди підтвердили кілька конкретних пограбувань, тоді як аналітичні фірми приписали більше через відстеження в блокчейні. У будь-якому разі тенденція свідчить про зростання. Огляд експертної групи ООН нарахував приблизно 58 підозрюваних північнокорейських криптоатак на суму близько 3 мільярдів доларів між 2017 і 2023 роками, ще до того, як були встановлені рекорди 2024 і 2025 років. Той самий орган повідомив, що ці гроші допомагають фінансувати програму озброєння Північної Кореї, твердження, засноване на розвідці держав-членів, а не на перевірених звітах, але яке переосмислює кожне порушення біржової мережі як щось ближче до геополітичної події.
Санкції, обвинувальні акти та відповідь
То що ж хтось може з цим зробити? Назвати їх, покарати, висунути звинувачення. Заарештувати їх майже ніколи, бо вони сидять у Пхеньяні.
Документальний слід уже довгий. Міністерство фінансів внесло Lazarus у чорний список ще у 2019 році, а потім переслідувало корпорацій, на яких воно спирається, Tornado Cash та Sinbad. Прокурори також висунули звинувачення іменованим хакерам ще у 2021 році, а нещодавно – людям, які керували фальшивим каналом зв'язку з IT-працівниками. Удачі у виконанні ордерів.
Повернення грошей трапляється ще рідше. Після крадіжки Ронінів, слідчі повернули частину коштів за допомогою ФБР та Chainalysis. Частину. Решта зникла. А санкції мають звичку просто перемішувати проблему: внесете Tornado Cash до чорного списку, і гроші пливуть до Синдбада; вдарите по Синдбаду, і група знайде наступного партнера. Кожен крок робить виведення готівки дорожчим і потворнішим. Ніщо з цього не зупиняє крадіжку біля джерела. Ви не можете екстрадувати уряд.
Чи можна зупинити групу Лазаря?
Чесно кажучи, не лише санкціями. Захист, який має значення, відбувається до порушення, і він лягає на біржі та користувачів, а не на прокурорів. Це означає апаратне забезпечення схвалення великих переказів, ставлення до небажаного вербувальника як до загрози, а не як до можливості, і відмову дозволити одному скомпрометованому ноутбуку підписати казначейство. Це також означає перевірку того, що ви насправді підписуєте, а не довіру екрану, саме той прогалину, яка коштувала Bybit понад мільярд доларів. Асиметрія жорстока: захисники повинні мати рацію щоразу, тоді як Lazarus потребує одного інженера, щоб відкрити один файл. Реалістична мета полягає не в тому, щоб ліквідувати групу, а в тому, щоб зробити кожну крадіжку повільнішою, меншою та складнішою для відмивання, щоб наступної мільярдної ями просто не було.
Чому Lazarus Group важлива для криптовалюти
Лазарус взяв ті особливості, якими криптовалюта найбільше пишається, а саме те, що вона безмежна та незворотна, і перетворив їх на інструмент державного фінансування. У цьому полягає неприємний урок: та сама конструкція, яка звільняє гроші від банків, також звільняє їх від повернення. Безпека криптовалют – це вже не просто особиста турбота про ваші власні ключі; вона стала питанням національної безпеки для кількох країн одночасно. Кожен неаудитований міст і кожна біржа з неналежним контролем – це потенційна стаття витрат у ракетному бюджеті. Питання, над яким варто подумати, полягає в тому, як відкрита фінансова система без дозволів захищається від терплячого, добре фінансованого опонента, який розглядає масштабні крадіжки як питання зовнішньої політики.
