21 февраля биржа криптовалют Bybit подверглась атаке – хакеры взломали один из её Ethereum-кошельков, похитив активы на сумму около $1,5 млрд. Спустя несколько дней, 26 февраля, ФБР опубликовало заявление, в котором назвало виновных: за атакой стоит КНДР. Государственные хакерские группы использовали вредоносное ПО TraderTraitor (PDF), чтобы проникнуть в систему биржи.
"Ожидается, что эти средства будут далее отмыты и в конечном итоге превращены в фиат".
ФБР опубликовало перечень из более чем 50 Ethereum-адресов, на которых хранились или до сих пор хранятся украденные активы. Ведомство рекомендует частному сектору блокировать транзакции, связанные с этими адресами, поскольку северокорейские хакеры активно переводят активы и пытаются вывести их в легальное обращение.
Этот инцидент – далеко не первый случай крупномасштабных атак со стороны КНДР. Государственные киберпреступники регулярно нацеливаются как на частные компании, так и на государственные учреждения. В 2023 году эта же группировка, по данным экспертов, стояла за кражей криптовалюты на сумму около $600 млн. Однако впервые КНДР заявила о себе в киберпространстве ещё в 2014 году, когда атаковала Sony Pictures из-за комедии "Интервью" – фильма, в котором главные герои (Сет Роген и Джеймс Франко) получают от ЦРУ задание ликвидировать лидера КНДР Ким Чен Ына.
Корейская группировка Lazarus Group, по данным следователей, украла сотни миллионов долларов у различных финансовых организаций. На её счету не только криптовалютные атаки, но и, например, запуск вируса-шифровальщика WannaCry в 2017 году, заразившего сотни тысяч устройств в 150 странах.