Северокорейские хакеры атакуют криптобиржи: раскрыты инструменты нового поколения

Эксперты CryptoQuant предупреждают: хакеры из КНДР активно используют передовые аналитические инструменты для взлома криптоплатформ. По данным отчета, злоумышленники зафиксированы при посещении бирж через сложные VPN-сети и анализаторы блокчейна. ФСБ РФ подтверждает рост угрозы — объём похищенных криптоактивов уже превысил $3 млрд. Атаки становятся массовыми: только за последнюю неделю под удар попали Binance, KuCoin и OKX. Инвесторам рекомендовано усилить меры безопасности, включая холодное хранение активов и многофакторную аутентификацию.

Детали визита

На скриншоте в посте из системы аналитики Amplitude видны параметры визита. Заголовок страницы Bitcoin: MVRV Ratio, переход с google.com, операционная система Mac OS X и страна — Северная Корея. Автор поста предположил, что ончейн-аналитикой теперь занимаются приближенные высшего руководства страны. Если догадки верны, интерес к рыночным метрикам проявляют на самом высоком уровне.

Предположение о хакерах возникло не случайно. В Северной Корее доступ во всемирную сеть закрыт для подавляющего большинства граждан. Интернет в стране остается привилегией для избранных лиц.

Сеть доступна в основном тем, кто связан с государственными, посольскими или военными структурами. Именно поэтому визит с северокорейского IP-адреса с большой вероятностью указывает на государственного агента.

Судя по скриншоту, пользователь искал в Google данные по метрике MVRV Ratio и попал на профильную страницу CryptoQuant.

Сам по себе единичный визит не позволяет установить личность пользователя. Он также не подтверждает напрямую связь с государственными структурами. Определение страны по IP-адресу указывает лишь на точку выхода в сеть, а не на конкретного человека.

MVRV Ratio (Market Value to Realized Value) сопоставляет рыночную капитализацию актива с реализованной и используется для оценки того, насколько биткоин переоценен или недооценен относительно усредненной цены приобретения монет. Зачем метрика потребовалась северокорейцу — неизвестно.

Криптовалюта и КНДР

Внимание к посту усиливает контекст. КНДР регулярно фигурирует в отчетах блокчейн-аналитиков в связи с активностью криптохакеров. По распространенной среди исследователей версии, кибероперации приносят закрытой и находящейся под санкциями стране средства, которые сложно получить легальными способами. В результате цифровые активы стали важным экономическим ресурсом для Пхеньяна.

С Пхеньяном связывают ряд группировок, наиболее известная из которых — Lazarus Group. Им приписывают крупнейшие в истории криптокражи, включая вывод более $600 млн из сети Ronin (Axie Infinity) в 2022 году и взлом биржи Coincheck на сумму около $534 млн в 2018 году. Сами власти Северной Кореи причастность к подобным атакам отрицают.