Как северокорейские хакеры украли $2,02 млрд в криптовалюте за один год

Рекордный взлом Bybit

Ключевым событием стала атака 21 февраля 2025 года на криптовалютную биржу Bybit, зарегистрированную в Дубае. Из её инфраструктуры было выведено примерно $1,46 млрд в цифровых активах.

Американские власти связали операцию с северокорейскими кибероператорами, отслеживаемыми под названием TraderTraitor.

По данным аналитиков, атака началась с компрометации цепочки поставок программного обеспечения (supply‑chain attack). Исследование CrowdStrike связывает операцию с кластером хакеров PRESSURE CHOLLIMA, который распространил троянизированное программное обеспечение через скомпрометированную инфраструктуру разработки.

Получив доверенный доступ, злоумышленники перевели крупные суммы криптовалюты на контролируемые ими кошельки, после чего распылили средства по тысячам адресов в разных блокчейнах, чтобы усложнить отслеживание.

Меньше атак — но гораздо больше денег

По данным аналитики блокчейна, $2,02 млрд, украденные в 2025 году, на 51% больше, чем годом ранее — при этом число атак снизилось.

Это отражает стратегический сдвиг: вместо множества небольших взломов злоумышленники всё чаще нацеливаются на крупные криптоплатформы и инфраструктуру финансовых сервисов, где одна успешная атака может принести миллиарды.

Исследователи называют такой подход «индустриализацией» киберпреступности — когда операции проводятся системно и поддерживаются специализированной инфраструктурой для доступа, кражи и отмывания средств.

Основные тактики атак 2025 года

Компрометация цепочки поставок

Атака на Bybit показала растущую популярность взлома доверенных программных компонентов.

Вместо прямого взлома биржи злоумышленники компрометируют:

• инструменты разработчиков
• сторонние библиотеки
• обновления программного обеспечения

Жертвы сами устанавливают заражённые инструменты, фактически открывая атакующим привилегированный доступ, который сложно обнаружить стандартными средствами защиты.

Социальная инженерия с использованием ИИ

По данным разведки угроз, злоумышленники всё чаще используют инструменты искусственного интеллекта для масштабирования атак социальной инженерии.

ИИ помогает:

• создавать более убедительные фишинговые сообщения
• собирать информацию о целях
• генерировать правдоподобные цифровые личности

Это значительно повышает вероятность того, что сотрудники компаний передадут учётные данные или предоставят доступ к системам.

Фальшивые удалённые IT‑сотрудники

Ещё одна ключевая схема — устройство северокорейских агентов на удалённую работу под чужими или поддельными личностями.

Власти сообщают, что КНДР создала сети людей, которые получают вакансии разработчиков и IT‑специалистов в международных компаниях, включая фирмы, работающие с криптовалютами.

После найма такие сотрудники могут:

• получать легальный доступ к внутренним системам
• собирать учётные данные
• помогать проводить кибератаки или отмывать средства

По данным компаний, масштабы проблемы велики: некоторые технологические фирмы сообщили о тысячах заблокированных попыток трудоустройства, связанных с такими схемами.

«Офлайн‑проникновение» и инсайдерский доступ

Исследователи отмечают растущее использование тактики, которую называют offline infiltration — получение доступа через людей, а не только через технические уязвимости.

Это может включать:

• сотрудников
• подрядчиков
• партнёров компании

Такая гибридная модель помогает обходить традиционные системы киберзащиты.

Роль специализированных хакерских групп

Кибероперации КНДР обычно отслеживаются по кластерам активности, а не по единой организации.

Например:

• PRESSURE CHOLLIMA — по данным CrowdStrike, связан с компрометацией цепочки поставок, которая позволила провести кражу $1,46 млрд из Bybit.
• Другие кластеры, связанные с экосистемой Lazarus, занимаются шпионажем, финансовыми атаками и взломами инфраструктуры криптосектора.

В открытых источниках значительно меньше подтверждённых деталей о конкретных ролях таких кластеров, как FAMOUS CHOLLIMA или STARDUST CHOLLIMA, хотя они рассматриваются как часть более широкой северокорейской киберэкосистемы.

Как отмываются украденные криптовалюты

После крупных взломов средства обычно перемещаются через тысячи адресов и различные криптовалюты.

Дополнительно используются:

• сервисы‑миксеры
• децентрализованные биржи
• кросс‑чейн мосты

Такая комбинация значительно усложняет отслеживание средств для следователей.

В некоторых случаях значительная часть украденных активов переводится или отмывается в течение нескольких недель после взлома.

Почему это уже вопрос национальной безопасности

Власти США и других стран считают эти операции не просто киберпреступлениями, а источником дохода для государства.

По заявлениям официальных лиц, доходы от краж криптовалют позволяют Пхеньяну обходить международные санкции и финансировать разработку баллистических ракет и ядерных программ.

Поэтому правоохранительные органы усиливают международное сотрудничество для отслеживания потоков средств и разрушения инфраструктуры таких операций.

Что это означает для индустрии криптовалют

События 2025 года показали важный сдвиг в ландшафте угроз:

• государственные акторы рассматривают криптоплатформы как стратегическую финансовую инфраструктуру;
• атаки всё чаще объединяют технические уязвимости, обман людей и внутренний доступ;
• отдельные инциденты могут достигать масштаба в миллиарды долларов.

По мнению исследователей, отрасли придётся усилить:

• безопасность цепочек поставок программного обеспечения
• проверку удалённых сотрудников
• мониторинг транзакций в блокчейнах

По мере роста крипторынка методы, отработанные в 2025 году, вероятно, останутся одним из самых серьёзных и сложных вызовов безопасности для финансовой индустрии.