северокорейская хакерская группа TraderTraitor выходит на охоту

Кто стоит за кражей миллиардов с Bybit? След ведёт в Северную Корею

21 февраля 2025 года мир стал свидетелем одной из крупнейших кибератак в истории криптовалют. Неизвестные злоумышленники получили доступ к кошелькам биржи Bybit — второй по величине в мире, — и за считаные часы вывели активы на сумму почти $1,5 миллиарда. Чтобы замести следы, похищенные средства быстро распределили по множеству адресов и платформ, а затем начали их обналичивать.

Основным подозреваемым в атаке почти сразу стала хакерская группа TraderTraitor, известная как часть печально знаменитой Lazarus Group, действующей под контролем разведслужб КНДР. Несмотря на масштаб утечки, бирже удалось устоять — благодаря займам в криптовалюте и запуску программы вознаграждений за помощь в возврате активов.

Для TraderTraitor это далеко не первый инцидент. Группировка уже связывалась с крупными кражами криптовалюты и атаками на цепочки поставок ПО. По словам специалистов, хакеры охотятся на сотрудников Web3-компаний, в частности на разработчиков, с помощью продуманных фишинговых схем. Они создают фейковые аккаунты в GitHub, LinkedIn, Slack и Telegram, маскируются под коллег, а затем заражают устройства вредоносным ПО.

В арсенале группы — уникальные бэкдоры вроде PLOTTWIST и TIEDYE, рассчитанные на macOS. Эти инструменты позволяют скрытно перемещаться по сетям, оставаясь незамеченными. Получив доступ к кошелькам, злоумышленники разбивают украденные средства на множество частей, конвертируют в менее отслеживаемые активы, такие как Bitcoin и Ethereum, и прогоняют их через анонимизирующие сервисы — миксеры.

Эта схема уже стала «визитной карточкой» TraderTraitor. Так, в марте 2024 года группа стояла за кражей $308 млн у японской компании DMM, а в июне 2023 взломала JumpCloud — провайдера решений для управления доступом и идентификацией.

С каждым годом действия группировки становятся всё более сложными и организованными. Аналитики Unit 42 недавно выявили новый вредоносный инструмент RN Loader, который устанавливает шпионский модуль, а затем самоуничтожается, минимизируя риск обнаружения. Это указывает на растущую направленность на скрытность и долговременное присутствие в заражённых системах.

Эксперты отмечают, что киберактивность КНДР носит государственный характер. Деньги от атак идут не на личные нужды, а на финансирование ядерной программы и режим. Более того, возможно взаимодействие между хакерами и подставными IT-специалистами, работающими в западных компаниях: одни добывают данные и средства, другие выкачивают информацию или шантажируют экс-работодателей.

По оценкам аналитиков, Северная Корея — одна из самых опытных стран в области отмывания криптовалюты, а её хакерская программа — не просто преступная деятельность, а часть стратегии выживания государства.