Как Северна Корея се превърна в мозък на криптопрестъпленията

Създадена от виетнамско студио за игри, Axie Infinity предлага на играчите шанса да отглеждат, търгуват и да се бият с анимационни чудовища, подобни на Pokémon, за да печелят криптовалути, включително собствения дигитален токен „Smooth Love Potion“ на играта. На един етап тя имаше повече от милион активни играчи.

По-рано тази година мрежата от блокчейни, които са в основата на виртуалния свят на играта, беше атакувана от севернокорейски хакерски синдикат, който открадна приблизително 620 млн. долара в криптовалутата етер, пише FT.

Криптообирът, един от най-големите по рода си в историята, беше потвърден от ФБР. Бюрото обеща да „продължи да разкрива и да се бори с използването на незаконни дейности [от Северна Корея] – включително киберпрестъпления и кражба на криптовалута, за генериране на приходи за режима“.

Успешните криптокражби илюстрират нарастващата важност на Северна Корея като злонамерен киберактьор. Западните агенции за сигурност и компаниите за киберсигурност третират страната като една от четирите основни киберзаплахи в света наред с Китай, Русия и Иран.

Според група от експерти на ООН, които наблюдават прилагането на международните санкции, парите, събрани от престъпните кибероперации на Северна Корея, помагат за финансирането на незаконните балистични ракети и ядрените програми на страната. Ан Нойбергер, заместник-съветник по националната сигурност на САЩ, коментира през юли, че Северна Корея „използва кибернетичното пространство, за да спечели, според нашите оценки, до една трета от техните средства за тяхната ракетна програма“.

Фирмата за крипто анализ Chainalysis изчислява, че Северна Корея е откраднала приблизително 1 млрд. долара през първите девет месеца на 2022 г. само от децентрализирани крипто борси.

Бързият срив на FTX - една от най-големите борси, подчертава непрозрачността, хаотичното регулиране и спекулативните безумия, които бяха централните характеристики на пазара на цифрови активи. Все по-дръзките криптокражби на Северна Корея демонстрират и липсата на значимо международно регулиране на тези пазари.

Анализаторите казват, че мащабът и сложността на хакването на Axie Infinity разкриват колко безсилни изглеждат САЩ и съюзническите страни да предотвратят широкомащабна севернокорейска криптокражба. Оттогава са възстановени само около 30 млн. долара от плячката. Това се случи, след като съюз от правоприлагащи агенции и компании за криптоанализ проследи част от откраднатите средства чрез поредица от децентрализирани борси и т.нар. „криптомиксери“ - софтуерни инструменти, които могат да разбъркват криптопритежанията на различни потребители, така че да скрият произхода им.

Вашингтон санкционира миксера Tornado Cash, който според Министерството на финансите на САЩ е бил използван от хакерите за изпиране на повече от 450 млн. долара от откраднатия етер.

Експерти предупреждават, че проблемът вероятно ще се влоши в следващите години, тъй като криптоборсите са все по-децентрализирани и повече стоки и услуги — законни и незаконни, са достъпни за покупка с криптовалута.

„Ние дори не се доближаваме до момента, в който трябва да бъдем, когато става въпрос за регулиране на индустрията на криптовалутите“, коментира Алисън Оуен, анализатор в Центъра за финансови престъпления и изследвания на сигурността на RUSI. „Държавите предприемат стъпки в правилната посока, но Северна Корея ще продължи да намира креативни начини за избягване на санкциите“, допълва тя.

Офис 39

Подобно на някои от комунистическите режими, от които някога е зависял, но които отдавна е надживял, наследственият режим на Северна Корея има пъстра история на участие в престъпна дейност като средство за трупане на чужда валута.

През 70-те години на миналия век тогавашният владетел на Северна Корея Ким Ир Сен, дядото на сегашния владетел Ким Чен Ун, възлага на своя син и приемник Ким Чен Ир да създаде клетка в рамките на управляващата Работническа партия на Корея, за да събере пари за фамилията основатели на диктатурата. Това е т.нар. Офис 39 – един от няколкото субекта, създадени от режима, за да привличат милиарди долари годишно от различни схеми - от производство и разпространение на фалшиви цигари и щатски доларови банкноти до продажба на незаконни наркотици, минерали, оръжия и дори редки животински видове.

Севернокорейски служители, дипломати, шпиони и разнообразни оперативни служители са мобилизирани в подкрепа на тази незаконна икономика, която продължава да работи чрез сложна мрежа от фиктивни компании, финансови институции, чуждестранни брокери и организирани престъпни групи, които улесняват избягването на санкциите.

В последните десетилетия Пхенян изгради и невероятни кибернетични способности - проект, който датира от края на 80-те и началото на 90-те години, когато режимът на Ким се опита да развие това, което тогава беше зараждаща се програма за ядрени оръжия.

Дезертьорите от режима описват как Ким Чен Ир е видял стойността на мрежовите компютри като ефикасно средство и платформа за развитието на ядрените и конвенционалните оръжия на страната. Ким Чен Ир е цитиран в книга, публикувана от севернокорейската армия, в която се казва, че „ако интернет е като пистолет, кибератаките са като атомни бомби“.

Едва при неговия син Ким Чен Ун, който пое властта през 2011 г., киберспособностите на страната започнаха да привличат международно внимание.

Смята се, че по-малко от 1% от населението на Северна Корея има ограничен и внимателно наблюдаван достъп до интернет. Потенциалните членове на армията на страната от приблизително 7 хил. хакери се идентифицират още докато са ученици. След това се обучават и подготвят в елитни държавни институции, като някои също получават обучение и допълнителен опит в Китай и други чужди страни.

„Те обучават хора, които показват ранни признаци, че са силни в кибернетичното пространство, и ги изпращат на други места по света и ги вграждат в организации, вграждат ги в обществото и културата“, казва Ерин Планте, вицепрезидент по разследванията в Chainalysis. Планте посочва, че такива „хакерски клетки“ са разположени навсякъде в Азиатско-Тихоокеанския регион и те се сливат с останалата част от технологичната общност.

През 2014 г. севернокорейски хакери атакуваха Sony Pictures преди излизането на филма The Interview, холивудска комедия за измислен опит за убийство на Ким Чен Ун. Хакът затвори компютърната мрежа на продуцентското студио, преди да заплаши ръководителите с пускането на чувствителни и неудобни вътрешни документи.

През 2016 г. беше хакната централната банка на Бангладеш. Членовете на Lazarus Group, същата група, която стои и зад хакването на Axie Infinity, проникнаха в компютърната мрежа на банката и се спотайваха в нея в продължение на една година, преди да издадат инструкции Федералният резерв в Ню Йорк да източи 951 млн. долара от резервите на Бангладеш.

Парите бяха преведени в банка във Филипините и бяха идентифицирани само защото в един от преводите се съдържаше дума, която фигурира и в името на санкциониран ирански кораб. Така американските власти стигнаха до тези преводи. В крайна сметка хакерите се измъкнаха с по-малко от 10 процента от планираната плячка благодарение на сложна схема от прехвърляния през няколко банки в казина в Манила. Оттам парите са трансферирани към Макао и нататък най-вероятно са отишли към Северна Корея, но проследяването е трудно.

Севернокорейските хакери също показаха офанзивните си способности, причинявайки повсеместен хаос чрез атаки с ransomware. През 2017 г. Lazarus Group отприщи опустошителния вирус WannaCry, който зарази най-малко 200 хил. компютъра в болници, петролни компании, банки и други организации по целия свят.

Трансакциите в играта Axie Infinity бяха поддържани от Ronin Network, т.нар. „мост между веригата“, който свързва различни блокчейни и за който се предполага, че има високо ниво на сигурност. Хакерите са получили достъп до него от девет частни ключа - цифрови отделения, които съдържат ключова информация, позволяваща на хакерите да одобряват тегления в тяхна полза.

Нови хоризонти

Криптовалутите отварят нови възможности за прането на пари. За да избегнат задействането на предупреждения на криптоборси при депозирането на големи суми наведнъж, хакерите използват т. нар. „верига за отлепване“ - създаване на дълга верига от адреси и „отлепване“ на малки количества цифрова валута с всеки трансфер. Според обвинителен акт на Министерството на финансите на САЩ от 2020 г. двама китайски граждани успешно са прехвърлили 67 млн. долара в биткойн от името на севернокорейски хакери чрез прилагането на този метод. Така са направени 146 отделни трансакции между тях.

Според изследователи от Белфърския център за наука и международни отношения към Харвардския университет Северна Корея също така трупа цифрови валути, като управлява свои собствени операции за криптодобив, захранвани от изобилните запаси от въглища, които Пхенян не може да изнася поради санкциите на ООН.

Изследователите отбелязват, че преминаването на блокчейна на етер към много по-малко енергоемък механизъм може да даде на енергийно гладната Северна Корея възможност да увеличи размера на приходите, които може да си позволи да генерира чрез копане на крипто.

Северна Корея също успява да се възползва от нарастването на популярността на незаменяемите токени (NFT) или чрез изкуствено завишаване на стойността им с помощта на техника, известна като „wash trading“, или чрез използването им за пране на откраднати средства, или чрез директна кражба с фишинг атаки.

Според обвинителен акт на Министерството на правосъдието на САЩ от 2021 г. севернокорейските хакери също са извършили незаконно първоначално предлагане на монети за измамна блокчейн схема. На инвеститори са предлагани цифрови жетони в замяна на собственост върху микро дялове в севернокорейския корабен флот.

Главозамайващият темп на развитие на блокчейн технологията предоставя на севернокорейските хакери постоянни възможности за „иновации“. „Ако погледнете уязвимостта, която те експлоатираха в услугата за финансови съобщения Swift за обира на банката в Бангладеш, това е нещо, което може да бъде поправено относително лесно – би било трудно да се повтори една такава операция“, коментира Нилс Вайзензее, експерт по киберсигурност в базираната в Сеул, Южна Корея, NK Pro.

Той подчертава, че криптосветът се развива бързо и севернокорейците са толкова умели в проследяването на тази динамика, че редовно са една крачка пред тези, които се опитват да ги спрат.

Хвани ме, ако можеш

Идентифицирането и проследяването на методите, използвани от севернокорейските хакери, е трудно. Спирането им е още по-трудно. През 2018 г. американските прокурори обвиниха севернокорейския хакер Парк Джин Хьок в извършването на атаките срещу Sony, Bangladesh Bank и с вируса WannaCry, наред с много други операции, от името на режима на Ким.

„Тези дейности са в противоречие с приемливите норми на поведение в киберпространството и международната общност трябва да се заеме с тях“, коментира тогава Джон Демърс, тогавашен помощник-главен прокурор в отдела за национална сигурност на Министерството на правосъдието. „Работата за чуждо правителство не имунизира престъпното поведение“, допълни Демърс.

Анализаторите отбелязват обаче, че нито Парк, нито още двама севернокорейски хакери, идентифицирани от САЩ през 2021 г. като членове на военното разузнаване на Северна Корея, нито други севернокорейски граждани някога са били изправяни пред правосъдието за ролята си в операции за хакване или киберкражби.

САЩ имаха по-голям успех в преследването на чужди граждани, обвинени в подпомагане на усилията на Северна Корея. През април съд в Ню Йорк осъди американския криптоизследовател Върджил Грифит на пет години затвор за подпомагане на Северна Корея да избегне санкциите на фона на участието си в блокчейн конференция в Пхенян през 2019 г. Британският криптоексперт Кристофър Емс, обвинен от САЩ в съдействие за организирането на същата конференция, избяга, след като първоначално беше задържан в Саудитска Арабия по-рано тази година.

Нигерийски инфлуенсър, известен като Рей Хъшпъпи, получи 11-годишна присъда от американски съд този месец за заговор за пране на средства, откраднати от севернокорейски хакери от малтийска банка през 2019 г.

Експертите казват, че докато Вашингтон преследва една шепа субекти, включително банки, борси и криптомиксери, нищо от направеното дотук не е успяло да попречи на Северна Корея да се възползва от глобалното разпространение на цифрови валути.

Отчасти това се дължи на природата на самата Северна Корея. От държавите, което Демърс определя като четирите „основни противници на Америка в киберпространството“, Северна Корея е единствената страна, способна или желаеща да мобилизира целия си държавен апарат в подкрепа на своите глобални престъпни операции.

„Ако някоя от по-големите нации, които имат по-силни кибервъзможности, реши, че ще използва тези възможности за кражба на криптовалута, те ще бъдат много по-успешни от Северна Корея“, казва Плант от Chainalysis. Те обаче няма да могат да направят това, без да навредят на способността си да функционират в легитимната глобална екосистема.

„За разлика от Китай, Русия и Иран, Северна Корея няма дял в световната финансова система и от икономическа гледна точка те нямат какво да изгубят“, казва и Вайзензее.

Миналия месец Южна Корея се присъедини към годишното многостранно киберучение на американското киберкомандване за първи път, като засили сътрудничеството на фона на севернокорейските кибератаки. Въпреки това анализаторите също така отбелязват трудността при отмъщението срещу севернокорейските кибероперации, като се има предвид колко малка част от обществото и инфраструктурата на Северна Корея са свързани или зависими от интернет.

„Северна Корея представлява потенциална опасност за нашата критична инфраструктура, но е трудно да видим как можем да отмъстим освен пълна кибервойна“, казва Дезмънд Денис, киберексперт и бивш специален агент на ФБР и Агенцията за отбранително разузнаване на САЩ. Според него това ще бъде изтълкувано от Пхенян като равностойно на акт на конвенционална война и срещу държава, която притежава ядрени оръжия.

Ако криптообирите разкриват нещо за природата на Северна Корея, те също така осветляват и липсата на каквото и да е смислено глобално регулиране на самото крипто. „Ако погледнем назад към санкциите във всяка друга област на икономиката, става въпрос за много зрели пазари, които имат ясна регулация“, казва Роуън Маси, партньор в американската правна кантора Ropes and Gray. „Крипто валутите са напълно нов актив. Липсата на истинско глобално разбиране и юрисдикционна регулация може да се използва доста лесно“, допълва той.

Наблюдателите също отбелязват тревожни тенденции в индустрията, които вероятно ще бъдат използвани от севернокорейците. Те включват нарастващото разпространение на децентрализирани борси, които са по-трудни за обхват от правоприлагащите органи, и възхода на нови криптовалути като монеро, чиято употреба е много по-трудна за проследяване в сравнение с биткойн.

Дори при сътресенията на криптопазарите някои анализатори смятат, че все по-голям брой стоки и услуги ще могат да се купуват с криптовалута. Ако това се случи, казва Вайзензее, това ще позволи на Северна Корея все повече да избягва напълно традиционната финансова система. Това ще намали възможностите за влияние на САЩ и други страни.

„Много е възможно технологичният напредък да ни позволи да придобием по-добра представа за дейността на Северна Корея. Спирането им обаче е съвсем различно нещо“, допълва Вайзензее. Той посочва, че от години криптосветът се използва, за да се купуват части за ракети в тъмната мрежа. „Представете си какво ще е възможно до няколко години“, казва той.