Kodėl didžiausi pasaulyje kriptovaliutų įsilaužimai visada veda atgal į Park Jin Hyok? Kaip jis patobulino milijardų dolerių kibernetinių vagystes nuo „Sony“ iki bitų?
Lozorius vėl smogia
Stulbinantis vasario 21 d. Renginyje „ByBit“, garsioji kriptovaliutų birža, įsikūrusi Dubajuje, tapo didžiulio kibernetinio išpuolio auka.
Įsilaužėliams pavyko įsiskverbti į bendrovės „Ethereum“ (ETH) šaltą piniginę ir sudarė maždaug 1,5 milijardo JAV dolerių skaitmeninį turtą. Šis incidentas dabar laikomas didžiausiu kriptovaliutų istorijoje.
Pirmą kartą pažeidimą nustatė grandinės analitikas Zachxbt, kuris pastebėjo neįprastus pasitraukimus iš BYBIT sąskaitų.
„BYBIT“ generalinis direktorius Benas Zhou vėliau patvirtino, kad užpuolikai manipuliavo sandoriu, apgaudinėjant piniginės pasirašiusius, kad patvirtintų pervedimą neteisėtu adresu.
Sudėtingas metodas apėmė operacijos maskavimą, kad jis pasirodytų teisėtas, taip apeinant parengtus daugialypius saugumo protokolus.
Po to „Blockchain“ tyrėjai susiejo išpuolį su garsiausia Šiaurės Korėjos Lozoriaus grupe – kolektyviniu liūdnai pagarsėjusiu dideliais kibernetiniais kibernetiniais heistais, įskaitant 600 milijonų dolerių vertės „Ronin Network“ pažeidimą 2022 m. Ir 234 milijonų dolerių vertės „Wazirx“ įsilaužimą 2024 m.
Atsirandantys pranešimai rodo, kad „Park Jin Hyok“, „Lozoris“ grupės narys, gali būti pagrindinis „Bybit Hack“ vadovas.
„Hyok“ nėra naujas vardas kibernetinių nusikaltimų pasaulyje. 2018 m. FTB jam paskelbė ieškomą pranešimą, kaltindamas, kad jis yra Šiaurės Korėjos valstybės remiamos įsilaužimo organizacijos dalis, atsakinga už kai kuriuos kenksmingiausius kompiuterių įsibrovimus istorijoje.
Pasinerkime gilintis į Park Jin Hyok, Lozoriaus grupės operacijų, įtarimų, su kuriais jie susidūrė praeityje, ir jų su kriptovaliutų susijusių įsilaužimų istorija bėgant metams.
Įsilaužėlis, kurį iškėlė valstybė
Tariamai Šiaurės Korėjos vyriausybė rėmė, Lozoriaus grupė surengė keletą niokojančių kibernetinių išpuolių istorijoje, nukreipdama finansų įstaigas ir kritinę infrastruktūrą visame pasaulyje.
Tačiau už grupės beveidžių operacijų vienas vardas vėl ir vėl pasirodė-Park Jin Hyok, Šiaurės Korėjos programuotojas, kaltinamas vadovaujant kai kuriems aukščiausiems praėjusio dešimtmečio kibernetiniams kibernetiniams kibernetiniams heistams.
Ankstyvieji grupės išpuoliai buvo sutelkti į šnipinėjimą, kaupiant žvalgybą iš karinių ir įmonių subjektų. Tačiau laikui bėgant grupė ėmėsi finansinių nusikaltimų, gaudami milijardus iš bankų, kriptovaliutų ir kitų skaitmeninių finansinių platformų.
Pagrindinis šios evoliucijos poslinkis atsirado „Bluenoroff“, Lozoriaus padalinio, kurio specializacija yra finansiniai kibernetiniai išpuoliai, pirmiausia nustatė kibernetinio saugumo įmonė „Kaspersky Lab“.
Tyrėjai susiejo kelis aukšto lygio įsilaužimus su „Bluenoroff“, netgi atskleisdami tiesioginį IP ryšį su Šiaurės Korėja. Tuo pačiu metu jie perspėjo, kad kai kurie modeliai gali būti apgalvotai klaidingi – klaidingos vėliavos, skirtos įrėminti Pchenjaną.
Tačiau Hyokas nėra pagaminta tapatybė. Nepaisant Šiaurės Korėjos reikalavimo, kad jis neegzistuoja, jis yra labai tikras, su gerai dokumentuota istorija, susieta su Lozoriu ir šalies kibernetinio karo aparatu.
Kim Chaek technologijos universiteto Pchenjane absolventas Hyokas pradėjo savo karjerą „Chosun Expo“-vyriausybėje susietoje IT įmonėje, veikiančioje tiek Šiaurės Korėjoje, tiek Kinijoje.
Manoma, kad tai yra valstybės remiamų kibernetinių operacijų frontas, ši įmonė tarnavo kaip įdarbinimo vieta elitiniams programuotojams, kuriems buvo pavesta vykdyti kibernetinius išpuolius pagal Šiaurės Korėjos karinės žvalgybos skyrių „Lab 110“.
„Hyok“ vardas pirmiausia pateko į tarptautinį akiratį po liūdnai pagarsėjusio „Sony Pictures Hack“ 2014 m.
Išpuolis, įvykdytas keršydamas už satyrinį filmą „Interviu“, sugriebė „Sony“ vidinius tinklus, nutekino didžiulius neskelbtinų duomenų kiekius ir padarė maždaug 35 mln. USD žalą.
Bet būtent 2017 m. „WannaCry Ransomware“ protrūkis sustiprino ir Lozorių, ir Hyoko reputaciją kaip „CyberCriminal Masterminds“.
Kenkėjiškos programos užšifruoti duomenys apie užkrėstus kompiuterius ir pareikalavo kriptovaliutų mokėjimų už iššifravimo raktus, žlugdo pasaulinį mastą.
Išpuolio poveikis buvo katastrofiškas, tačiau Šiaurės Korėja neigė dalyvavimą, nepaisant didžiulių įrodymų, siejančių jį su Lozoriu.
Nuo to laiko grupės taktika vystėsi, agresyviau nukreipdama kriptovaliutų vagystes – strategija, suderinta su didėjančia Šiaurės Korėjos priklausomybe dėl neteisėtų finansinių operacijų, kad išvengtų tarptautinių sankcijų.
Kibernetinės kriminalinės legendos kūrimas
2017 m. Grupės įsiveržimas į kriptų nusikaltimą sulaukė platų dėmesį – tais pačiais metais parkas pirmą kartą buvo identifikuotas kaip pagrindinis Lozoriaus figūra.
Tais metais Pietų Korėjos kibernetinių išpuolių serija keičia milijonus iš prekybos platformų, įskaitant dabar nebenaudojamą „YouBit“, kuri buvo priversta bankrotą praradus 17% savo turto per vieną pažeidimą.
Tuomet, 2018 m., Grupė iš Japonijos „Exchange Coincheck“, didžiausio tuo metu kriptovaliutų, ištraukė 530 mln. USD vagystę.
Tyrėjai susiejo išpuolį su Šiaurės Korėjos operatyvininkais, kurie naudojo sukčiavimo kampanijų, socialinės inžinerijos ir sudėtingos kenkėjiškos programos, norėdami įsiskverbti į „Coincheck“ tinklą, derinį.
Manoma, kad Hyoko patirtis kuriant kenksmingą programinę įrangą ir sukūrus apgaulingą skaitmeninę tapatybę, vaidino lemiamą vaidmenį, leisdamas užpuolikams patekti į privačius raktus, kontroliuojančius didžiulį NEM žetonų kiekį.
Kai jų taktika tapo tobulesnė, Lozorius tiesiogiai perėjo prie „blockchain“ tinklų nukreipimo.
2022 m. „Ronin“ (RON) tinklo pažeidimas, vienas labiausiai kenksmingiausių kriptovaliutų istorijoje, iš „Axie Infinity“ (Axs) sidechaino buvo nusausintas 600 milijonų dolerių per kruopščiai suplanuotą socialinės inžinerijos išpuolį.
Įsilaužėliai išnaudojo Ronino „Validator“ sistemos silpnumą, naudodamiesi pažeistais privačiais raktais, kad būtų leista apgaulingų operacijų – atakos, kuriai reikėjo gilių techninių žinių, kantrybės ir tikslumo, visų parko patirties požymių.
Vėliau JAV valdžios institucijos patvirtino, kad pavogtos lėšos buvo išplautos per įvairius decentralizuotus protokolus, prieš tai įtraukiamos į Šiaurės Korėjos finansų sistemą.
Ši tendencija tęsėsi 2023 ir 2024 m., O Lozorius vėl smogė.
2024 m. Liepos mėn. „Wazirx“, viena didžiausių Indijos biržų, patyrė 234 mln. USD nuostolius dar viename daugiasluoksnės apgaulės atvejyje.
Užpuoliai išnaudojo „Exchange“ API leidimų pažeidžiamumus, įgydami neteisėtą prieigą prie pervedimo lėšų, tuo pačiu apeinant vidaus saugumo priežastis.
„Blockchain“ teismo medicinos komandos atsekė pavogtą turtą per maišymo paslaugų labirintą, o skaitmeniniai džiūvėsėliai dar kartą veda atgal į Šiaurės Korėją.
Ir dabar „ByBit Hack“ atgaivino tą patį modelį – šį kartą dar didesne skale.
Pasaulis pralaimi kibernetinį karą – ir Hyokas jį žino
„Lozoris Group“ kibernetinis karas išsivystė į gerai organizuotą žaidimų knygą, kurioje derinamas apgaulė, infiltracija ir tikslus plovimas.
Jų sugebėjimas ginkluoti žmogaus psichologiją buvo vienas iš labiausiai grėsmingų pranašumų, leidžiančių apeiti net ir moderniausias saugumo priemones. Ir, kaip rodo naujausi duomenys, jie tik efektyviau.
Remiantis „ChainAsity“, 2023 m. Į Šiaurės Korėjos priklausomus įsilaužėlius pavogė 660,50 mln. USD per 20 incidentų.
2024 m. Šis skaičius padidėjo iki 1,34 milijardo JAV dolerių, pavogtų per 47 incidentus, ir tai padidėjo daugiau nei 102%. Šie skaičiai sudaro 61% visų tais metais pavogtų visų kriptovaliutų, o „Lazarus Group“ buvo atsakinga už beveik visus didelio masto išnaudojimus, viršijančius 100 milijonų dolerių.
Dabar, vos per du 2025 m. Mėnesius, jie jau pranoko savo 2024 m., O vien bitų įsilaužimas gurkšnojo 1,5 milijardo dolerių.
Grupės operacijos prasideda dar ilgai, kol įvyks pažeidimas. Per pastaruosius kelerius metus Šiaurės Korėjos IT darbuotojai sistemingai įsitraukė į kriptovaliutų ir „Web3“ įmones, naudodamiesi padirbtomis tapatybėmis, trečiųjų šalių verbuotojais ir nuotolinėmis darbo galimybėmis įgyti viešai neatskleistą prieigą.
2024 m. JAV teisingumo departamentas apkaltino 14 Šiaurės Korėjos piliečių, kurie užsitikrino užimtumą JAV įmonėse, pavogė daugiau nei 88 mln.
Šie operatyvininkai veikia kaip tylūs viešai neatskleista informacija, teikdami Lozoriui intelektui pagal mainų saugumo protokolus, piniginės struktūras ir vidaus sandorių srautus.
Įterpęs Lozorius vykdo savo išpuolius per socialinę inžineriją, sukčiavimą ir techninius išnaudojimus. Darbuotojams taikoma kruopščiai parengtas el. Laiškus, apsimesdami patikimus subjektus, kad būtų galima išgauti neskelbtinus prisijungimo kredencialus.
„Bita Hack“ laikėsi panašaus modelio, kai užpuolikai apgavo mainų daugialypius pasirašiusius, kad įgalintų kenkėjiškus sandorius, paslėpdami juos kaip įprastus patvirtinimus.
Kai lėšos bus pavogtos, jos greitai perkeliamos per decentralizuotų biržų tinklą, privatumo pinigines, tokias kaip „Tornado Cash“ (suplėšyti) ir kryžminių grandinių tiltai.
Šios operacijos greitai sumažina turtą skirtingose grandininėse grandinėse, todėl tyrėjams sunku atsekti juos į pradinį šaltinį.
Paprastai pavogtas kriptovaliutas kelis kartus paverčiamas tarp „Bitcoin“ (BTC), „Ethereum“ ir „StableCoins“, prieš tai galiausiai pasiekiant pinigines, kurias kontroliuoja Šiaurės Korėjos operatyvininkai.
Kai kurie iš šių turto yra perkeliami per iš pažiūros teisėtos kriptovaliutų prekybos firmos, dar labiau užkirsti kelią jų kilmei ir leisti režimui paversti skaitmeninį turtą į sunkią valiutą – esminį tarptautinių sankcijų sprendimą.
Ir per visa tai „Park Jin Hyok“ stovi beveik kiekvienos pagrindinės Lozoriaus operacijos centre. Nesvarbu, ar jis yra šių kartų architektas, ar tik vienas iš jo kvalifikuotų darbuotojų, jo pirštų atspaudai yra visur.
Dar kartą perrašant bitų ataką, tikrasis klausimas ne tik tai, kaip jie jį atitraukė, bet ir tai, kiek ilgiau pasaulis gali neatsilikti, kol kitas milijardas išnyks į skaitmeninę tuštumą.
