Почему Северная Корея продолжает красть миллиарды в криптовалюте — на виду у всех

Шестимесячная операция Северной Кореи по взлому компании Drift потрясла криптоиндустрию, которая и так страдала от эксплойтов на миллиарды долларов.

Но по мере того, как новости утихли, возник более важный вопрос: почему Северная Корея постоянно возвращается к криптовалюте, и почему ее подход так сильно отличается от всех остальных операций по кибершпионажу, осуществляемых под эгидой государства?

Краткий ответ, по мнению экспертов по безопасности, заключается в том, что криптовалюта помогает режиму получать источник дохода и оставаться на плаву.

"У Северной Кореи нет роскоши терпения", - сказал Дэйв Швед, главный операционный директор компании SVRN и основатель программы магистратуры по кибербезопасности в Университете Йешива. "Они находятся под всеобъемлющими международными санкциями и нуждаются в твердой валюте для финансирования программ вооружения. ООН и несколько разведывательных служб подтвердили, что кража криптовалюты является основным механизмом финансирования их разработок ядерного оружия и баллистических ракет".

Эта срочность объясняет динамику, которая долгое время ставила в тупик следователей: почему северокорейские хакеры совершают масштабные, отслеживаемые кражи в публичных блокчейнах, а не используют криптовалюту для обхода санкций, как это делают другие государственные акторы.

Швед утверждает, что ответ заключается в структуре. У России все еще есть экономика: экспорт нефти, газа, сырья и торговые партнеры, готовые использовать обходные пути. Ей нужна криптовалюта как платежная система, но не для многого другого. Иран также имеет товары для продажи: санкционированную нефть, сети финансирования прокси и готовых посредников на Ближнем Востоке. У Северной Кореи почти ничего не осталось для продажи.

"Их экспорт почти полностью находится под санкциями. У них нет функционирующей экономики, которая нуждалась бы в платежной системе. Им нужен прямой доход", - сказал Швед. "Кража криптовалюты дает им немедленный доступ к ликвидной стоимости во всем мире, не требуя наличия контрагента, готового вести с ними бизнес".

Это различие - криптовалюта как инфраструктура и криптовалюта как цель - отличает Северную Корею не только от России, но и от Ирана. В то время как Россия использует криптовалюту для обхода санкций, а Иран - для финансирования сетей прокси на Ближнем Востоке, Северная Корея ведет деятельность, близкую к государственно спонсируемой операции по ограблению.

"Их цели - это биржи, поставщики кошельков, DeFi-протоколы, а также отдельные инженеры и основатели, имеющие права подписи или доступ к инфраструктуре", - сказал Александр Урбелис, главный специалист по информационной безопасности компании ENS Labs и профессор кибербезопасности в Королевском колледже Лондона. "Жертвой становится тот, кто владеет ключами или имеет доступ к инфраструктуре, которая хранит эти ключи".

Россия и Иран, по сравнению с этим, рассматривают криптовалюту как второстепенный фактор, как средство для достижения более широких геополитических целей.

"Россия нацелена на выборы, энергетическую инфраструктуру и правительственные системы. Иран преследует диссидентов и региональных противников", - сказал Урбелис. "Когда они имеют дело с криптовалютой, это делается для перемещения денег, а не для кражи из экосистемы".

Эта узкая специализация подтолкнула северокорейских агентов к использованию тактик, которые чаще ассоциируются с разведывательными службами, а не с криминальными хакерами: установление долгосрочных связей, создание фальшивых личностей и проникновение в цепочки поставок.

Кампания "The Drift" – лишь самый свежий пример.

"Вы не защищаетесь от фишингового письма от случайного мошенника", – сказал Урбелис. "Вы защищаетесь от человека, который потратил шесть месяцев на установление отношений, чтобы скомпрометировать одного человека, у которого есть доступ к тем ресурсам, которые вам нужно защитить".

Собственная архитектура криптовалют делает их уникальной и привлекательной целью для атак. В традиционной финансовой системе даже успешные хакерские атаки сталкиваются с препятствиями в виде проверок соответствия требованиям, проверок корреспондентских банков, задержек расчетов и возможности отмены мошеннических переводов. Когда северокорейские хакеры совершили ограбление банка "Bangladesh Bank" в 2016 году, на обработку этого преступления ушли дни, и большая часть средств была в конечном итоге возвращена или заблокирована. В криптовалютах ни одни из этих мер безопасности не существуют на уровне протокола.

"Как только транзакция подписана и подтверждена, она является окончательной", – сказал Урбелис. Эксплойт платформы Bybit в начале прошлого года позволил перевести 1,5 миллиарда долларов примерно за 30 минут, что является темпом и масштабом, которые были бы практически невозможны в традиционной банковской системе.

Эта окончательность фундаментально меняет расчеты в области безопасности. В банковской сфере можно создать разумную систему защиты, основанную на предотвращении, обнаружении и реагировании, поскольку всегда есть возможность заморозить средства или отменить перевод. В криптовалютах такой возможности практически нет, что означает, что предотвращение атаки до ее начала – это не просто предпочтительный вариант, а практически единственный.

В то время как банки работают в соответствии с многолетним нормативными актами и требованиями аудита, многие криптопроекты все еще находятся в стадии разработки, часто отдавая приоритет скорости и инновациям, а не управлению и контролю.

Этот разрыв создает среду, в которой даже сложные команды могут быть уязвимы, особенно для видов долгосрочной инфильтрации, которые Северная Корея оттачивает.

"Это самая сложная проблема операционной безопасности в криптовалютах на данный момент", – сказал Урбелис, говоря о проблеме проверки на наличие сложных поддельных личностей и посредников. "Я не думаю, что эта проблема решена в отрасли".

Читайте далее: Как шестимесячная секретная программа шпионажа Северной Кореи заставляет криптосообщество переосмысливать вопросы безопасности.