Красные партизаны. Хакеры из Северной Кореи воруют криптовалюту на миллионы долларов. Как им это удается?
Софья Ермакова (Редактор)
Мир криптовалют остается крайне опасной сферой экономики — нехватка государственного регулирования и уязвимости в разработке сервисов подвергают участников рынка риску огромных потерь. Таков побочный эффект резкого роста популярности перспективной, но очень молодой технологии. Если в 2022 году хакер взломает международную корпорацию, в крайнем случае ему удастся получить имена пользователей и пароли, но если атаковать криптовалютную площадку, улов может составить сотни миллионов долларов. Особенно активно этой возможностью пользуются власти Северной Кореи, отрезанные санкциями от остальных мировых рынков. С переменным успехом с киберпреступностью КНДР борются американские власти, но лучше всего пока справляются флагманы индустрии, объединяясь против «общего врага». Спецоперация мирового значения — в материале «Ленты.ру».
Этот материал вошел в список лучших лонгридов «Ленты.ру» за 2022 год. Больше хороших материалов от наших авторов можно прочесть тут.
Сыграли по-крупному
Криптовалютная компания Ronin, услугами которой пользуются разработчики самой популярной в мире Game-Fi игры Axie Infinity, утром 29 марта опубликовала на своем сайте тревожное сообщение — «В сети Ronin Network произошло нарушение безопасности. Мы работаем напрямую с различными государственными органами, чтобы преступники предстали перед правосудием». Чуть позже выяснилось, что компания допустила самую крупную кражу криптовалюты в истории — хакеры вывели 173,6 тысячи монет Ethereum (эфиров) и 25,5 миллиона USDC (стейблкоинов, привязанных к курсу доллара) на общую сумму около 625 миллионов долларов. Злоумышленники оказались настолько искусны, что взлом был обнаружен лишь через 6 дней, когда один из пользователей игры не смог вывести из нее 5 тысяч эфиров. По своему масштабу атака на Ronin оставила позади нашумевший взлом протокола Poly Network в августе 2021-го, в результате которого хакер вывел 611 миллионов долларов в различных криптовалютах.
Что такое Axie Infinity?
Axie Infinity — это онлайн-видеоигра на основе NFT-токенов, разработанная вьетнамской студией Sky Mavis в 2018 году. Известна своей внутренней криптоэкономикой, построенной на блокчейне Ethereum. В августе 2021 года месячная выручка компании-владельца превысила 350 миллионов долларов, а к октябрю ежедневное количество активных игроков приблизилось к 2 миллионам (более 40 процентов из них — филиппинцы). Игра имеет два внутренних токена — SLP (Smooth Love Potion) c капитализацией 68,8 миллиона долларов и AXS (Axie Infinity) общей стоимостью 2,1 миллиарда долларов. Sky Mavis взимает с игроков комиссию в 4,25 процента за торговлю на ее маркетплейсе.
Неудивительно, что киберпреступники выбрали своей целью Axie Infinity — за месяц до инцидента продажи невзаимозаменяемых токенов (NFT) от создателей игры превысили 4 миллиарда долларов. Несмотря на стремительный рост и популярность индустрии NFT, ранее за такие деньги не удавалось продать ни одну серию токенов. Периодически игра даже вызывала недовольство пользователей из-за своей высокой стоимости — чтобы привлечь более широкую аудиторию, компании пришлось запустить «программу стипендий» в прошлом году. Инициатива была призвана наладить взаимодействие между игроками, которым не хватает денег, и теми, кто не имеет достаточно времени и опыта.
Сверхдоходность проекта объясняется тем, что его участники получают возможность зарабатывать во время досуга. Игроки покупают NFT с изображениями различных существ, чтобы получить доступ к игре, а затем выращивают их, строят для них свои королевства, заставляют их сражаться и размножаться. В проекте есть внутренняя экономика — за эфиры пользователи покупают и продают ресурсы, которые зарабатывают в процессе игры. Основная цель — увеличение коллекции существ и предметов. Тем не менее торговлю внутри Axie Infinity пришлось заморозить после взлома 29 марта, поскольку как фанаты игры, так и криптоэксперты начали сомневаться в безопасности пользования сервисом.
Согласно внутреннему расследованию, опубликованному Ronin, кража произошла в результате взлома злоумышленником «узлов-валидаторов» блокчейн-моста, который позволяет передавать токены или данные из одной цепочки в другую, несмотря на то что они имеют разные протоколы, смарт-контракты и модели управления. Система позволяет вывести средства, если пять из девяти валидаторов одобрят это действие. Хакерам удалось завладеть закрытыми криптоключами достаточного количества валидаторов — по словам представителей компании, «все доказательства указывают на то, что эта атака была спровоцирована социальной инженерией, а не технической ошибкой», то есть залогом успеха стала искусная манипуляция персоналом фирмы.
Воскресший Lazarus
Министерству финансов США удалось установить виновников — 14 апреля ведомство опубликовало заявление, в котором приписало атаку северокорейской группировке Lazarus Group. В тот же день причастность киберпреступников из КНДР к инциденту подтвердила компания по обработке данных блокчейна Chainalysis. Lazarus Group, также известной под названиями Guardians of Peace и Whois Team, приписывают серию кибератак в период с 2010 по 2021 год.
Минфин США заявляет, что группировка, включающая два подразделения (Bluenoroff и Andariel), была создана в 2007 году и находится под управлением Разведывательного управления генерального штаба Северной Кореи. По заявлениюООН, кража криптовалюты является «важным источником дохода» для программ Пхеньяна в области ядерных и баллистических ракет на фоне парализующих санкций США и других государств. Аналогичный вывод сделали в Нацразведке США в 2021 году.
По данным Chainalysis, только за 2021 год северокорейским киберпреступникам удалось украсть около 499 миллионов долларов в криптовалюте, а администрация США и ООН сообщает, что за все время существования режим Ким Чен Ына привлек 2,3 миллиарда долларов в результате киберпреступлений.
8%
от ВВП Северной Кореи в 2020 году составили криптоактивы, украденные в ходе хакерских атак
Перебежчики, которым удалось покинуть Северную Корею, рассказывают, что местных хакеров отправляют для специальной подготовки в китайский город Шэньян, занимающий одно из первых мест по уровню высшего образования в стране. Там их обучают внедрению вредоносных программ различных типов на компьютеры, в компьютерные сети и серверы. Внутри КНДР будущие преступники получают необходимую квалификацию в Политехническом университете имени Ким Чхэка, Университете имени Ким Ир Сена и Университете Моранбонга — эти учреждения отбирают самых способных студентов со всей страны и обучают их в течение шести лет. В настоящее время в подразделении по проведению военно-кибернетических операций Разведывательного управления Генштаба, также известном как «Бюро 121», насчитывается более 6 тысяч служащих, согласно отчетам Минобороны США и Южной Кореи.
За десятилетие правления Ким Чен Ына армии хакеров удалось провести десятки успешных атак на крупнейшие компании и банки по всему миру. В 2014 году Lazarus Group взломала Sony Pictures Entertainment и слила в сеть личные документы, электронные письма и номера телефонов сотрудников киностудии. Атаку провели с целью оказать давление на компанию, чтобы та отменила выход в прокат комедии «Интервью», высмеивающей северокорейского лидера и его режим.
Lazarus также несет ответственность за масштабную атаку программы-вымогателя WannaCry 2.0 в 2017 году, которая затронула как минимум 500 тысяч компьютеров, принадлежащих частным лицам, компаниям и правительственным учреждениям, более чем в 200 странах мира. Взлом приостановил работу множества организаций по всему миру: больниц, аэропортов, банков, заводов и так далее. В частности, треть британских клиник были вынуждены отложить выполнение медицинских процедур, обследований и срочных операций.
До взлома Ronin самым известным преступлением Lazarus был организованный взлом американского государственного банка. В 2018 году группа сделала тридцать пять поддельных запросов через сеть обмена финансовыми сообщениями SWIFT с целью украсть более 1,1 миллиарда долларов, которые ЦБ Бангладеш хранил в Федеральном резервном банке Нью-Йорка. Пять из тридцати пяти запросов были удовлетворены, и хакерам удалось украсть 101 миллион долларов, из которых 20 миллионов долларов были отправлены в Шри-Ланку и 81 миллион — на Филиппины.
По данным Минфина США, Lazarus провела успешные атаки как минимум на 16 банков в 13 странах (Бангладеш, Чили, Индии, Мексике, Пакистане, Филиппинах, Южной Корее, Тайване, Турции, Вьетнаме и других). Кража средств из игры Axie Infinity произошла после двухлетнего затишья — последнее преступление группировка совершила в конце 2020 года, атаковав фармацевтические компании, в частности англо-шведскую компанию AstraZeneca, производящую вакцины от коронавируса.
Регуляторная импотенция
В тот же день, когда были установлены взломщики Ronin, Управление по контролю за иностранными активами Министерства финансов США (OFAC) наложило санкции на криптоадрес, который Lazarus использовала для вывода средств. Санкции запрещают физическим и юридическим лицам из США совершать транзакции с кошельком, чтобы хакеры не смогли вывести средства через американские криптобиржи. Стоит отметить, что ограничения наложили лишь спустя 15 дней после атаки: из-за промедления американских спецслужб злоумышленникам удалось отмыть пятую часть (18 процентов) от украденных средств, свидетельствует анализ поставщика данных о блокчейне Elliptic. К 14 апреля группировка вывела 80,3 миллиона долларов, еще 9,7 миллиона в эфирах поместила в «промежуточные» кошельки, подготовленные для отмывания, а в исходном кошельке оставалось 433 миллиона долларов.
Несмотря на санкции, хакеры продолжили отмывать деньги. 22 апреля Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело санкции в отношении еще трех адресов, которые использовали мошенники, — на них перечислили украденные эфиры на 150 миллионов долларов. Однако, по данным Elliptic, даже в день объявления новых ограничений американскими властями хакеры успели вывести почти 1,2 миллиона долларов. На исходном кошельке, использованном Lazarus при взломе, к 22 апреля оставалось активов на 281 миллион долларов — менее половины похищенных средств.
США и ранее налагали санкции на Lazarus. Группа впервые подверглась ограничениям со стороны Минфина в 2019 году за причастность к взлому Sony Pictures в 2014 году и разрушительной атаке программы-вымогателя WannaCry. «Действия правительства США облегчают заморозку любых активов, которые хакерские группы могут иметь в пределах юрисдикции американских финансовых учреждений, — хотя таких активов, вероятно, очень мало, если они вообще существуют», — заявили тогда журналисты Associated Press. Кроме того, незадолго до инцидента с игрой Axie Infinity в феврале 2021 года Министерство юстиции СШАпредъявило обвинение в участии в нескольких хакерских кампаниях трем предполагаемым членам Lazarus: Пак Джин Хеку, Джону Чан Хеку и Ким Иру.
Исторический прецедент
Настоящего прогресса в ликвидации последствий взлома удалось достичь лишь крупнейшей в мире криптобирже Binance, через которую хакеры пытались отмыть средства. 22 апреля, когда часть украденных активов поступила с 86 различных аккаунтов площадки, ее разработчикам удалось остановить транзакции и вернуть 5,8 миллиона долларов. «Мы делали это множество раз и раньше для других проектов», — подчеркнул глава Binance Чанпэн Чжао.
5,8
миллиона долларов
из украденных Lazarus средств удалось вернуть криптобирже Binance
Как выяснили специалисты, хакеры обменяли 26 миллионов USDC на эфиры через децентрализованные биржи (DEX), чтобы избежать конфискации стейблкоинов — такие монеты контролируются компаниями-эмитентами, и в некоторых случаях токены, вовлеченные в незаконную деятельность, могут быть заморожены. Конвертация USDC через DEX позволила хакерам избежать проверок по борьбе с отмыванием денег (Anti-Money Laundering, AML) и механизма «знай своего клиента» (Know Your Customer, KYC), которые присутствуют на централизованных биржах.
Затем северокорейские взломщики пошли на неожиданный шаг и начали отмывать часть эфиров на сумму 16,7 миллиона долларов через три централизованные биржи. Однако когда эти площадки публично заявили, что будут сотрудничать с правоохранительными органами с целью установить личность хакеров, злоумышленники вновь изменили стратегию. Lazarus перешла к использованию популярного инструмента для отмывания краденой цифровой валюты — «криптомиксера» Tornado Cash. Сервис позволяет скрыть связь между источником и получателем эфира в блокчейне и сделать транзакции полностью конфиденциальными.
Binance изъяла у мошенников средства даже несмотря на то, что краденная криптовалюта поступила на биржу уже в «замаскированном» виде, после обработки в миксере. «Мы координировали свои действия с ведущими в отрасли фирмами, которые занимаются аналитикой блокчейнов, и сразу же заморозили средства, когда было обнаружено воздействие на нашу платформу», — рассказал другой представитель площадки. Хотя бирже удалось изъять лишь небольшую часть от похищенных 625 миллионов, эксперты уверены, что это достижение дает надежду на возврат остальных средств, пока они находятся в криптовалюте.
В Chainalysis заявили, что заморозка средств со стороны — это «победа» для всех жертв взлома Ronin. Компания-владелец криптомиксера Tornado Cash тоже заявила, что работает над блокировкрй подсанкционных кошельков.
Коллективная ответственность
Криптохакеры идут на рекорд по объемам краж в 2022 году — по данным компании Chainalysis, уже за первые три месяца года злоумышленники похитили цифровые активы на сумму 1,3 миллиарда. Уже в апреле, через несколько дней после атаки на Ronin, произошел еще один крупный взлом — неизвестный вывел из криптопроекта Beanstalk 182 миллиона долларов в цифровой валюте.
Хакеры хорошо изучили слабые места растущей криптоэкономики. Они научились использовать неисправности кода децентрализованных платформ, освоили инструменты, помогающие скрыть следы преступления, — в частности, миксеры и высококонфеденциальные криптовалюты, такие как Monero. Кроме того, процветанию киберпреступности в сфере криптовалют способствует плохая международная координация правоохранительных органов.
Журналисты The Washington Post считают, что наличие у Lazarus доступа к украденным из Axie Infinity деньгам даже спустя месяц после взлома подчеркивает, что способность национальных властей остановить незаконные криптотранзакции крайне ограничена. Хотя правительство США «продолжает принимать подрывные меры против организаций, содействующих перемещению украденной виртуальной валюты» и «призывает криптосообщество запереть свои цифровые двери», считают эксперты.
Опыт показывает, что один квалифицированный программист может сделать больше, чем правительство целой страны. В январе 2021 года хакер, работающий под псевдонимом P4x, сам был взломан северокорейской группировкой. P4x являлся лишь одной из жертв масштабной кампании по краже сведений об уязвимостях программного обеспечения западных учреждений. Через две недели жители Северной Кореи стали сообщать о серьезных проблемах с подключением. Практически все малочисленные веб-сайты страны периодически массово отключались от сети — сбои начались даже на официальном портале правительства КНДР. Позже P4x признался, что в одиночку «положил» интернет целой страны.
Для правительств борьба с преступностью в сфере криптовалют оказалась сложнее других видов государственного преследования, так как требует слаженной работы правоохранительных органов по всему миру, а также тесного сотрудничества с представителями самой отрасли. На данный момент страны движутся совершенно разными темпами в борьбе с киберпреступностью — многие из них допускают образование «серых зон», свободных от регулирования, и преступники могут уходить с легальных сайтов в более темные уголки экосистемы. Кроме того, криптокомпании должны оптимизировать свои системы безопасности по собственной инициативе. Эксперты по цифровым валютам сходятся во мнении, что остановить взломы в сфере децентрализованных финансов смогут только коллективные усилия — ответственность лежит на каждой стране и каждой конкретной компании.