Хакери з КНДР вкрали понад $3 млрд на фінансування ядерних програм

Північнокорейські хакери вкрали понад $3 мільярди у криптовалюті з 2017 року, з яких від $630 млн. до $1 млрд. було викрадено протягом 2023 року. Ці вкрадені кошти фінансують понад половину ядерних і ракетних програм Північної Кореї.

Про це йдеться у звіті Microsoft щодо цифрового захисту. Компанія посилається на оцінки ООН.

З 2023 року Microsoft виявила три великі північнокорейські групи – Jade Sleet, Sapphire Sleet і Citrine Sleet, які активно атакували організації, пов'язані з криптовалютою. 

Як зазначає компанія, є ймовірність, що Північна Корея також послуговується вірусами-вимагачами. 

Ще одну північнокорейську групу Montrose Sleet виявили у травні 2024 року. Вона розробила таку програму під назвою KalePeony й застосувала її проти організацій в аерокосмічній та оборонній сферах, попередньо вкравши дані з уражених мереж.

“Це вказує, що цілями хакерів були як збирання розвідувальної інформації, так і монетизація отримання доступу”, – зазначають у Microsoft.

Також компанія у своєму звіті згадує іранських державних акторів. Вони теж намагалися отримати фінансову вигоду від кіберзлочинів. 

“Це відрізняється від їхньої поведінки в минулому, коли атаки програмами-вимагачами виглядали фінансово мотивованими, але насправді мали на меті завдання шкоди”, – пояснюють в компанії.

Як приклад наводиться підконтрольна Корпусу вартових Ісламської революції (КВІР) група Cotton Sandstorm. Вона також відома як Emennet Pasargad. Ця група продавала викрадені дані ізраїльських сайтів знайомств через свої підставні облікові записи з вересня 2023 року по лютий 2024 року. Ці облікові записи також пропонували видалення конкретних профілів із своєї бази даних за оплату.

Крім того, Microsoft звертає увагу, що російські актори інтегрували дедалі більше шкідливих програм у свою діяльність і доручали певні операції злочинним групам. У червні 2024 року Storm-0399 (також відомий як Xworm і Remcos RAT) – комерційний вірус, пов'язаний зі злочинною діяльністю – зламало щонайменше 50 українських військових пристроїв. 

“Ці злами не принесли кіберзлочинцям жодної очевидної вигоди, що вказує на те, що група діяла в інтересах російського уряду”, – пояснили в компанії.

У червні-липні 2023 року Microsoft спостерігала, як повʼязана з ФСБ група Aqua Blizzard передала доступ до 34 зламаних українських пристроїв кіберзлочинній групі Storm-0593 (також відомій як Invisomole). Це сталося, коли Aqua Blizzard активувала скрипт Powershell, що завантажив програмне забезпечення з сервера, підконтрольного Storm-0593. Після цього Storm-0593 розбудувала інфраструктуру командування і контролю та встановила на більшості пристроїв маяки Cobalt Strike для подальших дій.

Як повідомляв ІМІ, у травні 2024 року прокуратура США заявила про арешт американки й українця, які, за словами правоохоронців, допомогли пов’язаним з Північною Кореєю програмістам, що видавали себе за громадян США, отримати віддалену роботу в сотнях американських компаній.

А розвідка Південної Кореї у грудні 2023-го заявила, що наступного року очікує від Північної Кореї військові та кіберпровокації, оскільки режим Кім Чен Ина прагне підвищити свій авторитет під час виборчих кампаній у США та Південній Кореї.

Марія Ігнатьва, Валентина Троян