Похищение криптовалюты на миллиарды: как ИИ помогает Северной Корее строить цифровую армию

Представьте мир, где небольшая группа хакеров обладает мощью целого цифрового военно-промышленного комплекса. Это не сценарий далекого будущего, а реальность сегодняшнего дня, где искусственный интеллект стал главным оружием в руках северокорейских киберпреступников, превращая их атаки в масштабные и практически невидимые операции.

Эволюция угрозы: от фишинга к цифровому ВПК

Всего за первые месяцы 2024 года хакеры из КНДР похитили криптовалюту на сумму $2,84 миллиарда. Эти данные содержатся в докладе Многосторонней группы по монитору санкций (MSMT) при ООН. Значительная часть этих средств стала результатом успешной атаки на криптобиржу Bybit в феврале, что демонстрирует растущую эффективность и дерзость преступников.

Что делает ИИ-атаки такими эффективными? Искусственный интеллект позволяет автоматизировать процессы, которые раньше требовали месяцев кропотливого труда. Группировки вроде Lazarus теперь используют большие языковые модели (LLM) для автоматического сканирования тысяч смарт-контрактов одновременно. Система анализирует данные о прошлых взломах и находит аналогичные уязвимости в других местах буквально за минуты.

Криптограф Mysten Labs Костас Халкиас в интервью CoinDesk объяснил масштаб происходящего.

"Нейросети — лучший инструмент, который когда-либо был у меня как у белого хакера. И вы можете представить, что происходит, когда он попадает не в те руки", — заявил эксперт.

По его словам, это превращает скромную организацию государственных хакеров в нечто, напоминающее цифровой военно-промышленный комплекс, способный масштабировать атаки с помощью одного запроса.

ИИ против квантовых вычислений: неожиданный поворот

В то время как многие эксперты опасаются угрозы квантовых вычислений для криптографии, реальная опасность уже сегодня исходит от искусственного интеллекта. Халкиас категоричен в своей оценке: "Нет доказательств, что какой-либо компьютер сегодня может взломать современную криптографию. До этого как минимум еще 10 лет". При этом комбинация двух технологий в будущем действительно может ускорить появление серьезной угрозы для индустрии цифровых активов.

Почему именно DeFi-платформы становятся главной мишенью? Открытый исходный код, который является фундаментальным принципом децентрализованных финансов, одновременно представляет собой их главную уязвимость. Большие языковые модели могут анализировать логику каждой строки кода, находить слабые места и предлагать варианты их эксплуатации. Это создает идеальные условия для автоматизированных масштабных атак.

"Каждая новая версия GPT или Claude находит разные слабые места. Если вы не тестируете свою систему на них, вы уже отстали", — подчеркнул криптограф Костас Халкиас.

Эксперт ожидает, что в ближайшее время регуляторы начнут требовать от бирж и смарт-контрактов непрерывный аудит с учетом возможностей искусственного интеллекта. Такой подход может стать новым стандартом безопасности в отрасли, где традиционные методы защиты быстро устаревают.

Социальная инженерия: старое оружие с новыми возможностями

Несмотря на технологический прогресс, самым действенным оружием северокорейских хакеров по-прежнему остается социальная инженерия, усиленная искусственным интеллектом. Эксперты отмечают, что КНДР активно экспериментирует с пропагандой и фейками, создаваемыми с помощью ИИ, но настоящий прорыв наблюдается в области фишинга и дипфейков.

Хакеры все чаще используют схемы с удаленными вакансиями в IT и криптоиндустрии. В мае команда биржи Kraken выявила шпиона КНДР среди кандидатов на должность инженера. Этот случай демонстрирует, насколько изощренными стали методы проникновения в целевые организации. Такая деятельность прямо нарушает резолюции 2375 и 2397 Совета Безопасности ООН, которые запрещают нанимать северокорейских соискателей.

Как защититься от фишинга с использованием ИИ.

1. Всегда проверяйте доменное имя в адресной строке — современные фишинговые сайты могут выглядеть идентично оригиналам
2. Используйте двухфакторную аутентификацию на всех важных аккаунтах, особенно в криптосервисах
3. Никогда не скачивайте файлы из писем от неизвестных отправителей, даже если они выглядят профессионально
4. Обращайте внимание на стилистику сообщений — ИИ часто делает текст слишком формальным или шаблонным
5. Установите антифишинговое расширение для браузера, которое предупредит о подозрительных сайтах

Глобальная сеть: как Пхеньян обходит санкции

Согласно докладу MSMT, Пхеньян продолжает продвигать своих IT-специалистов на рынках как минимум восьми стран. Среди них — Китай, Россия, Лаос, Камбоджа, Экваториальная Гвинея, Гвинея, Нигерия и Танзания. В Китае базировались от 1000 до 1500 таких сотрудников, а на начало 2025 года в России работали от 150 до 300 человек.

В рамках общего плана Пхеньян планировал направить в РФ более 40 000 работников, включая несколько IT-делегаций. Для легализации деятельности стороны намеревались использовать студенческие визы. "Например, как сообщает одно из государств-участников MSMT, российская образовательная компания АНО "ХДК Кооперация" в 2024 году оформила студенческие визы сотням граждан КНДР. Это позволило им въехать в Россию и работать в различных сферах, в том числе и IT", — говорится в документе.

Почему эта схема так эффективна? Она позволяет обойти не только экономические санкции, но и создать инфраструктуру для кибератак непосредственно в странах-мишенях. Локальное присутствие дает хакерам несколько преимуществ: они могут использовать местные интернет-каналы, что затрудняет их отслеживание, и лучше понимать культурные особенности при проведении атак социальной инженерии.

Финансирование военных программ: куда уходят украденные средства

По словам специалистов, все похищенные средства в основном идут на финансирование военных программ КНДР. На украденные криптоактивы Пхеньян закупает целый спектр вооружений — от бронетехники до ракетных комплексов. Это создает порочный круг: чем успешнее кибератаки, тем больше ресурсов выделяется на их совершенствование.

Кибершпионаж северокорейских хакеров нацелен в основном на критически важные отрасли, включая производство полупроводников, переработку урана и другие стратегические направления. Это демонстрирует, что их интересы выходят далеко за рамки простого обогащения и являются частью государственной программы технологического развития.

Можно ли остановить этот поток финансирования? Глава отдела разведки национальной безопасности Chainalysis Эндрю Файерман в разговоре с Decrypt отметил, что "возможности правоохранителей, спецслужб и частного сектора по выявлению и нейтрализации рисков значительно расширились". Авторы доклада ООН также указали на растущую эффективность противодействия хакерам из КНДР со стороны западных стран.

Будущее противостояния: новые правила игры

Специалисты по кибербезопасности сходятся во мнении, что традиционные методы защиты устаревают с появлением ИИ-усиленных атак. Халкиас считает, что Северная Корея не будет гнаться за созданием квантового компьютера: "Настоящая гонка разворачивается между США и Китаем. КНДР будет злоупотреблять ИИ для фишинга, дипфейков и обмана. В этом их сила. Им не нужны квантовые компьютеры, чтобы взломать крипту — им нужен искусственный интеллект, чтобы делать атаки невидимыми".

Что ждет нас в ближайшем будущем? Отрасль безопасности движется к разработке систем, способных предсказывать атаки на основе анализа поведения, а не просто блокировать известные угрозы. Машинное обучение начинает использоваться для создания "цифровых двойников" систем, которые тестируются на уязвимости перед развертыванием в production.

Какие технологии станут основой защиты завтрашнего дня? Криптографы работают над алгоритмами, устойчивыми как к квантовым вычислениям, так и к атакам с использованием ИИ. DeFi-платформы постепенно внедряют более сложные системы мониторинга, способные обнаруживать подозрительные паттерны в реальном времени. А международное сотрудничество правоохранительных органов показывает первые успехи в отслеживании и возврате украденных средств.