Как Северна Корея се превърна в главатар на криптопрестъпленията в интернет

Северна Корея има пъстра история на участие в престъпна дейност като средство за натрупване на чуждестранна валута

09:54 | 19 ноември 2022
Преводач: Галина Маринова
Снимка: Bloomberg LP
Снимка: Bloomberg LP

Създадена от виетнамско студио за игри, Axie Infinity предлага на играчите възможността да развъждат, търгуват и да се борят с подобни на покемони анимационни чудовища, за да печелят криптовалути, включително собствения дигитален токен на играта "Smooth Love Potion". На един етап тя разполага с повече от един милион активни играчи, пише Financial Times.

Но по-рано тази година мрежата от блокчейн вериги, която е в основата на виртуалния свят на играта, беше нападната от севернокорейски хакерски синдикат, който си тръгна с около 620 млн. долара в криптовалутата етер.

Криптограбежът, един от най-големите по рода си в историята, беше потвърден от ФБР, което обеща "да продължи да разкрива и да се бори с факта, че [Северна Корея] използва незаконни практики - включително киберпрестъпления и кражби на криптовалута - за да генерира приходи за режима".

Успешните кражби на криптовалути илюстрират нарастващата изтънченост на Северна Корея като злонамерен киберактьор. Западните агенции за сигурност и компаниите за киберсигурност я третират като една от четирите основни базирани на държавни интереси киберзаплахи в света, наред с Китай, Русия и Иран.

Според експертна група на ООН, която следи за прилагането на международните санкции, парите, набрани от престъпните кибероперации на Северна Корея, помагат за финансирането на незаконните програми на страната за балистични ракети и ядрени оръжия. Ан Нойбергер, заместник-съветник по националната сигурност на САЩ по въпросите на киберсигурността, заяви през юли, че Северна Корея "използва киберпространството, за да набира, по наши оценки, до една трета от средствата за ракетната си програма".

Фирмата за криптоанализ Chainalysis изчислява, че през първите девет месеца на 2022 г. Северна Корея е откраднала около 1 млрд. долара само от децентрализирани криптоборси.

Бързият срив миналата седмица на FTX, една от най-големите борси, подчерта непрозрачността, хаотичното регулиране и спекулативните безумия, които са основните характеристики на пазара на цифрови активи. Все по-широкото използване на криптокражби от страна на Северна Корея също послужи за демонстрация на липсата на смислено международно регулиране на същите пазари.

Анализаторите твърдят, че мащабът и сложността на хакването на Axie Infinity са разкрили колко безсилни изглеждат САЩ и съюзническите държави, за да предотвратят мащабни севернокорейски криптокражби.

Оттогава досега са възстановени само около 30 млн. долара от криптографската плячка. Това стана, след като алианс от правоприлагащи органи и компании за криптоанализ проследи част от откраднатите средства чрез редица децентрализирани борси и така наречените "криптомиксери" - софтуерни инструменти, които могат да разбъркват криптопарите на различни потребители, така че да прикрият произхода им.

В едно от малкото действия на правоприлагащите органи след кражбата, през август САЩ санкционираха миксера Tornado Cash, който според американското министерство на финансите е бил използван от хакерите за изпиране на над 450 млн. долара от плячката им в Ethereum.

Оттогава насам САЩ са посочили криптомиксера, като твърдят, че инструментът е бил използван за подпомагане на севернокорейски хакери, които на свой ред са подкрепяли програмата на страната за оръжия за масово унищожение.

Той също така подчертава възможностите, които нерегулираният свят на криптовалутите предоставя на много други нелоялни режими и престъпни субекти по света, като експертите предупреждават, че проблемът вероятно само ще се задълбочава през десетилетието, тъй като криптоборсите са все по-децентрализирани и все повече стоки и услуги - законни и незаконни - са достъпни за закупуване с криптовалута.

"Не сме близо до мястото, където трябва да бъдем, когато става въпрос за регулиране на индустрията на криптовалутите", казва Алисън Оуен, анализатор в Центъра за изследване на финансовата престъпност и сигурността към RUSI. "Държавите предприемат стъпки в правилната посока, но Северна Корея ще продължи да намира креативни начини да заобикаля санкциите."

Офис 39
Подобно на някои от комунистическите режими, от които някога е зависела, но които отдавна е надживяла, наследственият режим на Северна Корея има пъстра история на участие в престъпна дейност като средство за натрупване на чуждестранна валута.

През 70-те години на миналия век тогавашният севернокорейски владетел Ким Ир Сен, дядо на сегашния владетел Ким Чен Ун, възлага на своя син и наследник Ким Чен Ир да създаде звено в управляващата Корейска трудова партия, което да събира пари за семейството основател на диктатурата.

Наречено "Бюро 39", то е една от няколкото структури, създадени от режима, за да привличат милиарди долари годишно от схеми, вариращи от производство и разпространение на фалшиви цигари и доларови банкноти до незаконна продажба на наркотици, минерали, оръжия и дори редки животински видове.

Севернокорейски служители, дипломати, шпиони и различни оперативни работници са мобилизирани в подкрепа на тази незаконна сенчеста икономика, която продължава да функционира чрез сложна мрежа от фиктивни дружества, финансови институции, чуждестранни брокери и организирани престъпни групи, които улесняват усилията на страната за разпространение на оръжия и избягване на санкции.

През последните десетилетия Пхенян също така изгражда огромни киберспособности - проект, който датира от края на 80-те и началото на 90-те години на миналия век, когато режимът на Ким се опитва да разработи своята зараждаща се тогава програма за ядрени оръжия.

Дезертьори от режима описват как Ким Чен Ир е видял стойността на мрежовите компютри като ефективно средство за ръководене на служителите на режима, докато остават в изолация. Той също така е видял в тях платформа, която да подпомогне разработването на ядрени и конвенционални оръжия в страната.

Ким Чен Ир е цитиран в книга, публикувана от севернокорейската армия, да казва, че "ако интернет е като оръжие, то кибератаките са като атомни бомби". Но едва при сина му Ким Чен Ун, който пое властта през 2011 г., киберспособностите на страната започнаха да привличат вниманието на международната общност.

Макар да се смята, че по-малко от 1% от населението на Северна Корея има ограничен и строго контролиран достъп до интернет, потенциалните членове на армията на страната от около 7000 хакери се идентифицират още в училище. След това те се обучават и възпитават в елитни държавни институции, като някои от тях получават обучение и допълнителен опит в Китай и други чужди държави.

"Те обучават хора, които показват ранни признаци, че са силни в киберпространството, и ги изпращат на други места по света, където ги внедряват в организациите, вграждат ги в обществото и културата", казва Ерин Плант, вицепрезидент на отдела за разследвания в Chainalysis. " Има такива хакерски клетки, базирани в целия Азиатско-тихоокеански регион, които се сливат с останалата част от технологичната общност." 

През 2014 г. севернокорейски хакери предприеха атака срещу Sony Pictures преди излизането на филма "Интервюто" - холивудска комедия за измислен опит за убийство на Ким Чен Ун. Хакерската атака изключи компютърната мрежа на продуцентското студио, след което заплаши ръководството с разкриване на чувствителни и смущаващи вътрешни документи.

През 2016 г. това беше последвано от хакерска атака срещу централната банка на Бангладеш. Членовете на Lazarus Group, същият синдикат, който стои зад хакерската атака срещу Axie Infinity, проникват в компютърната мрежа на банката и се крият в нея в продължение на една година, преди да издадат инструкции на Банката на Федералния резерв в Ню Йорк да източи 951 млн. долара от бангладешките резерви.

Парите са преведени в банка във Филипините и са идентифицирани само защото в едно от нарежданията случайно се съдържа дума, която е и име на ирански кораб, поставен под санкции, което предупреждава американските власти. В крайна сметка хакерите се измъкват с по-малко от 10 % от плячката си.

Севернокорейските хакери също демонстрираха офанзивни способности, като предизвикаха повсеместен хаос чрез атаки с цел получаване на откуп. През 2017 г. групата Lazarus отприщи опустошителния вирус WannaCry, който зарази поне 200 000 компютъра в болници, петролни компании, банки и други организации по целия свят.

Транзакциите в играта Axie Infinity бяха поддържани от Ronin Network, така наречения "cross-chain bridge", който свързва различни блокчейн вериги, за който се предполага, че има високо ниво на сигурност. Хакерите получиха достъп до пет от деветте частни ключа - цифрови отделения, които съдържат ключова информация, позволяваща на хакерите да одобряват тегления в своя полза.

Според Нилс Вайсензее, експерт по киберсигурност от базираната в Сеул информационна служба NK Pro, хакването на Axie Infinity демонстрира как севернокорейските хакери вече могат "да използват нови уязвимости в най-новите блокчейн технологии почти толкова бързо, колкото те се появяват".

"Само допреди няколко години севернокорейските хакери се специализираха в разпределени атаки за отказ на услуга, което е сравнително груб метод за наводняване на сървърите на жертвите с интернет трафик", казва Вайсензее. "Но ако DDOS атаката е кибернетичният еквивалент на това да пребиеш някого с бейзболна бухалка, то успешните набези срещу крос-чайн мостове като Ronin и Horizon са еквивалентни на това да откраднеш нечий портфейл през дупка в джоба му, за която той дори не е знаел."

Анализаторите посочват обира на Бангладешката банка като пример за това колко по-трудоемко и времеемко е да се атакуват традиционните финансови институции.

Axie Infinity, анимационна игра, в която играчите печелят криптовалута, е трябвало да бъде сигурна, но разкри колко безсилни изглеждат много държави, за да предотвратят севернокорейската кражба на криптовалута

Севернокорейските хакери, проникнали в компютърната мрежа на банката, са се спотайвали в системата в продължение на година, преди да извършат кражбата. Приходите са били прехвърлени чрез няколко банки към казина в Манила, където след това оперативните работници е трябвало да прекарат няколко мъчителни седмици в игра на бакара с откраднатите пари, за да ги заменят с непокътнати пари. След това чистите пари са били изпратени в Макао и най-вероятно по-нататък в Северна Корея.

Криптовалутата също така открива нови възможности за потенциалните перачи на пари. За да не задействат предупредителните сигнали на криптоборсите, като правят големи депозити наведнъж, хакерите използват така наречената "верига на отлепване" - създават дълга верига от адреси и "отлепват" малки суми цифрова валута при всеки превод. Според обвинителен акт на Министерството на финансите на САЩ от 2020 г. двама китайски граждани успешно са прехвърлили 67 млн. долара в биткойни от името на севернокорейски хакери, използвайки този метод, като са извършили 146 отделни трансакции помежду си.

"Тъй като блокчейн технологията е рожба на интернет, всичко, което трябва да знаете за нейните уязвимости, може да бъде намерено и в интернет", казва Вайсензее. "Всичко, от което се нуждаете, са умни хора, а севернокорейците разполагат с такива."

Според изследователи от Центъра за наука и международни отношения "Белфер" към Харвардския университет Северна Корея натрупва цифрови валути и чрез провеждане на собствени операции за добив на крипто, захранвани от богатите запаси от въглища, които Пхенян не може да изнася поради санкциите на ООН.

Изследователите отбелязват, че преминаването на блокчейна на Ethereum към много по-малко енергоемък механизъм за "доказване на залог", макар и по-малко вреден за околната среда, може да даде на изпитващата недостиг на енергия Северна Корея възможност да увеличи размера на приходите, които страната може да набави чрез криптодобив.

Северна Корея също така е в състояние да се възползва от нарастването на популярността на непечелившите токени или NFT - или чрез изкуствено завишаване на стойността им с помощта на техника, известна като "wash trading", или чрез използване на NFT за изпиране на откраднати средства, или чрез откровена кражба с помощта на фишинг атаки.

Според обвинителен акт на Министерството на правосъдието на САЩ, разсекретен през 2021 г., севернокорейските хакери са извършили и незаконно първично предлагане на монети за измамна блокчейн система, която е предлагала на инвеститорите цифрови токени в замяна на собственост върху микропакети от корабния ѝ флот.

Вайсензее казва, че главоломният темп на развитие на блокчейн технологията предоставя на севернокорейските хакери постоянни възможности за иновации.

"Ако погледнете уязвимостта, която те използваха в услугата за финансови съобщения Swift за обира на Бангладешката банка, това е нещо, което може да бъде поправено сравнително лесно - ще бъде трудно да се повтори операцията", казва той. "Но криптовалутите се развиват толкова бързо, а севернокорейците са толкова умели в проследяването на тези разработки, че редовно са една крачка пред тези, които се опитват да ги спрат."

Хвани ме, ако можеш
Идентифицирането и проследяването на методите, прилагани от севернокорейските хакери, е трудно. Спирането им е още по-трудно.

През 2018 г. американски прокурори обвиниха севернокорейския хакер Пак Джин Хьок, че е извършил атаките срещу Sony, Бангладешката банка и WannaCry, наред с много други операции, от името на режима на Ким.

"Тези дейности са в разрез с приемливите норми на поведение в киберпространството и международната общност трябва да се заеме с тях", заяви тогава Джон Демерс, тогава помощник-главен прокурор в отдела за национална сигурност на Министерството на правосъдието. "Работата за чуждо правителство не освобождава от отговорност за престъпно поведение."

Анализаторите обаче отбелязват, че нито Парк, нито още двама севернокорейски хакери, идентифицирани от САЩ през 2021 г. като членове на севернокорейското военно разузнаване, нито други севернокорейски граждани някога са били изправяни пред съда за ролята си в хакерски операции или киберкражби.

САЩ са имали по-голям успех в преследването на чужди граждани, обвинени в подпомагане на усилията на Северна Корея.

През април нюйоркски съд осъди американския криптоизследовател Върджил Грифит на пет години затвор за подпомагане на Северна Корея да заобиколи санкциите на фона на участието му в блокчейн конференция в Пхенян през 2019 г., докато британският криптоексперт Кристофър Емс, обвинен от САЩ, че е помогнал за организирането на конференцията, избяга, след като първоначално беше задържан в Саудитска Арабия по-рано тази година.

Нигерийският инфлуенсър, известен като Рей Хушпупи, получи този месец 11-годишна присъда от американски съд за заговор за изпиране на средства, откраднати от севернокорейски хакери от малтийска банка през 2019 г.

Експертите обаче твърдят, че макар Вашингтон да е предприел действия срещу няколко субекта, включително банки, борси и криптомиксери, нищо от предприетите от него действия изглежда не е възпрепятствало значимо използването от Северна Корея на глобалното разпространение на цифровите валути.

Отчасти това се дължи на естеството на самата Северна Корея. От четирите "основни противници на Америка в киберпространството", които Демерс описва, Северна Корея е единствената страна, която е в състояние или желае да мобилизира целия си държавен апарат в подкрепа на глобалните си престъпни операции.

"Ако някоя от по-големите държави, които разполагат с по-силни киберспособности, реши да ги използва за кражба на криптовалута, тя ще успее значително повече от Северна Корея", казва Плант от Chainalysis. "Но те не могат да го направят, без да навредят на способността си да функционират в легитимната глобална екосистема."

"За разлика от Китай, Русия и Иран, Северна Корея няма дял в глобалната финансова система и от икономическа гледна точка те почти няма какво да губят", казва Вайсензее.

Миналия месец Южна Корея за първи път се присъедини към годишните многостранни кибернетични учения на Киберкомандването на САЩ, засилвайки сътрудничеството си в лицето на севернокорейските кибератаки. Анализаторите обаче отбелязват и трудностите при ответните действия срещу севернокорейските кибероперации, като се има предвид колко малка част от севернокорейското общество и инфраструктура е свързана с интернет или зависи от него.

"Северна Корея представлява потенциална опасност за нашата критична инфраструктура, но е трудно да се види как можем да отвърнем на удара, освен ако не започнем тотална кибервойна", казва Дезмънд Денис, киберексперт и бивш специален агент на ФБР и Агенцията за отбранително разузнаване на САЩ. "Това вероятно ще бъде изтълкувано от Пхенян като конвенционален акт на война, и то срещу държава, която притежава ядрени оръжия."

Но ако обирите на криптовалути разкриха нещо за природата на Северна Корея, те също така разкриха липсата на смислена глобална регулация на самите криптовалути.

"Ако погледнем назад към стратегиите за санкциите във всяка друга област на икономиката, те са силно развити пазари, които имат ясна регулация", казва Рохан Маси, партньор в американската правна фирма Ropes and Gray. "Но криптовалутата е напълно нов актив. Липсата на каквото и да е реално глобално разбиране и регулиране на юрисдикциите може да бъде използвана доста лесно".

Наблюдателите отбелязват и тревожни тенденции в индустрията, които вероятно ще играят в ръцете на севернокорейците. Сред тях са все по-широкото разпространение на децентрализираните борси, към които правоприлагащите органи по-трудно могат да се насочат, както и възходът на нови криптовалути като monero, чието използване е много по-трудно за проследяване от биткойн.

Дори при сътресенията на криптопазарите някои анализатори смятат, че все повече стоки и услуги ще могат да се купуват с криптовалута. Ако това се случи, казва Вайсензее, то ще позволи на Северна Корея все повече да избягва традиционната финансова система изобщо, намалявайки "възловите точки", чрез които САЩ и други страни могат да упражняват своето влияние.

"Много е възможно технологичният напредък да ни позволи да получим по-голям поглед върху операциите на Северна Корея - но спирането им е съвсем друго нещо", казва той. "Още преди години можехте да използвате криптовалута, за да си купите части за ракети в тъмната мрежа - така че представете си какво ще можете да си купите след няколко години."