GetBlock Magazine - В 2023 году хакерская группировка Lazarus, связанная с властями КНДР, провела пять успешных атак на криптопроекты, заработав 308,6 млн долларов или 17,6% от общего объема потерь в индустрии. Примечательно, что все пострадавшие от Lazarus проекты принадлежат к сектору централизованных финансов (CeFi), при том что ранее группировка фокусировалась на децентрализованных протоколах (DeFi). Так, с июня по сентябрь Lazarus атаковала провайдера кошельков Atomic Wallet, платежную систему Alphapo, бэттинговую платформу Stake com и биржи CoinsPaid и CoinEx.
Согласно отчету специалистов платформы Immunefi, предназначенной для поиска уязвимостей DeFi-протоколов и смарт-контрактов, всего с 2021 по 2023 год Lazarus украла у криптопроектов более 1,9 млрд долларов в цифровых активах. При этом в предыдущие годы северокорейские хакеры атаковали исключительно DeFi-протоколы, а взломы кроссчейна Ronin и сети Poly Network до сих пор остаются крупнейшими в индустрии: потери проектов составили 650 и 600 млн долларов соответственно.
Как пишут в Immunefi, численность Lazarus не поддается оценке, однако известно, что группа контролируется правительством КНДР. Более того, правительство США заявило, что украденные криптовалюты направляются на финансирование незаконных программ КНДР по созданию оружия массового поражения, включая ядерные бомбы и баллистические ракеты.
Минфин США внес в санкционный список уже три криптовалютных микшера, которые использовались Lazarus для отмывания украденных активов, а Совет по нацбезопасности начал сотрудничать с Южной Кореей и Японией для борьбы с хакерами.
Lazarus начала свою деятельность в 2009 году и до масштабного роста крипторынка в сферу ее интересов входили различные корпорации и финансовые учреждения. К громким инцидентам того периода можно отнести взлом Sony (TYO:6758) Pictures в 2014 и атака на ЦБ Бангладеш в 2016, а также запуск программы-вымогателя WannaCry в 2017 году.
Последняя стала одной из крупнейших в своем роде: за несколько часов вирус был внедрен на 230 000 компьютеров в 150 странах. Он требовал от жертв до $600 в биткоинах для разблокировки файлов на устройстве. В том же году группировка переориентировалась на криптовалютную сферу и атаковала южнокорейские биржи Bithumb и Youbit (позже обанкротилась), а также сервис облачного майнинга Nicehash.
Глава Immunefi Митчелл Амадор назвал Lazarus серьезнейшей угрозой для сектора Web 3.0. Он отмечает, что члены группировки совершенствуют свое мастерство в использовании уязвимостей инфраструктуры и смарт-контрактов, а также социальной инженерии.
Отмечается, что в группу попадают выпускники Политехнического университета имени Ким Чхэка и Университета имени Ким Ир Сена. Некоторые из будущих хакеров Lazarus проходят инструктаж в китайском Шэньяне.