Северокорейские хакеры украли рекордные $2,17 млрд в 2025 году

• Согласно данным Chainalysis, в 2025 году северокорейские хакеры украли рекордные суммы, в том числе 1,5 миллиарда долларов у компании Bybit.
• Аналитическая компания, специализирующаяся на блокчейне, заявила, что Северная Корея постоянно совершенствует свою тактику и продолжит использовать взломы криптовалют в качестве основного источника дохода.

В год, отмеченный беспрецедентной киберагрессией, хакеры из Корейской Народной Демократической Республики разграбили криптовалютные платформы на миллиарды долларов, еще больше укрепив свой статус самых опасных воров в этой отрасли.

Движимые необходимостью финансирования ядерного оружия режима на фоне ужесточения международных санкций, хакерские группы, такие как Lazarus, усовершенствовали свою тактику, чтобы постоянно использовать уязвимости в глобальном секторе блокчейна и криптовалют.

Масштабы криптоопераций Северной Кореи в 2025 году побили все предыдущие рекорды. По данным Chainalysis, связанные с Северной Кореей хакеры украли криптовалюту на сумму более 2,17 миллиарда долларов в первой половине 2025 года — это превысило общую сумму за весь 2024 год и стало худшим показателем за всю историю наблюдений.

Главным событием этого года стала утечка данных в Bybit 21 февраля , в результате которой хакеры похитили почти 1,5 миллиарда долларов в Ethereum — крупнейшая единовременная кража криптовалюты в истории. За этим инцидентом последовала череда аналогичных атак, приписываемых Северной Корее, включая недавний взлом южнокорейской биржи Upbit на сумму 37 миллионов долларов .

Несмотря на ужесточение международных санкций в отношении страны, а также отдельных лиц и организаций, причастных к этим актам, кибератаки, осуществляемые государством Пхеньяном, продолжают усиливаться.

«Северная Корея всегда будет искать новые способы хищения средств в интересах режима, будь то фиатные деньги или криптовалюта», — заявил Эндрю Фирман, глава отдела разведки в сфере национальной безопасности компании Chainalysis, изданию The Block. «Поэтому их механизмы постоянно развиваются, они чрезвычайно сложны, разнообразны и глубоко внедрены в различных юрисдикциях».

Фирман заявил, что одних санкций далеко недостаточно, и отметил, что для нарушения быстро развивающейся экосистемы хакерства и отмывания денег в Северной Корее необходимы скоординированные действия всей отрасли, включая биржи, компании, занимающиеся анализом блокчейна, и правоохранительные органы. Он добавил, что режим, как ожидается, продолжит полагаться на взломы криптовалют как на основной источник дохода.

Развивающаяся тактика

По данным Chainalysis, хакерские группы, связанные с КНДР, в этом году внедрили новые и агрессивные методы, включая скоординированные атаки на цепочки поставок, направленные против сторонних поставщиков услуг и хранителей средств.

Их операции по проникновению в IT-компании остаются эффективными, они проникают в секторы искусственного интеллекта, блокчейна и обороны под вымышленными именами, чтобы получить доступ к инфраструктуре компаний или криптовалютным резервам.

Как отмечает Chainalysis, методика отмывания криптовалюты в КНДР также стала более сложной.

«Украденные средства отмываются различными способами, включая использование сервисов смешивания, внебиржевых брокеров, переходы между блокчейнами, обмен токенов, децентрализованные биржи и протоколы-мостики для сокрытия потоков», — сказал Фирман.

Фирман добавил, что отличительной чертой операций по взлому криптовалют, связанных с КНДР, теперь является одновременное использование нескольких крупномасштабных каналов отмывания денег, осуществляемых на высокой скорости для сокрытия потока украденных средств.

Эксперт по безопасности блокчейна заявил, что развитие технологий искусственного интеллекта может еще больше укрепить тактику Северной Кореи. ИИ может помочь хакерам КНДР, создавая более убедительные образы для проникновения с использованием личных данных и автоматизируя процесс отмывания денег, делая его одновременно более сложным и быстрым.

Профилактические меры

Фирман заявил, что одним из превентивных подходов, который действительно может сработать против киберпреступников из КНДР, является усиление должной осмотрительности со стороны компаний. По его словам, обязательные видеоинтервью, более строгие проверки личности, мониторинг IP-адресов и геолокации, а также ограничения на непрозрачные способы оплаты, такие как криптовалюта, могут помочь платформам выявлять и блокировать потенциальных северокорейских ИТ-специалистов до того, как они получат доступ.

По словам эксперта по безопасности, такая комплексная проверка может помочь выявить несоответствия, финансовые потоки и схемы доступа мошеннических IT-специалистов из Северной Кореи.

«В конечном счете, однако, нам следует быть реалистами. Пока существует преступность, незаконная финансовая деятельность, такая как хакерские атаки, будет продолжаться», — сказал Фирман. «Именно поэтому тесное сотрудничество между платформами, частным сектором и правоохранительными органами имеет решающее значение. Когда информация быстро обменивается и пути реагирования ясны, у незаконных субъектов будет гораздо меньше возможностей для применения своей тактики, что послужит более эффективным сдерживающим фактором для будущих действий».