После недавней крупнейшей кибератаки на площадку Bybit и похищения криптовалюты Ethereum на 1,5 млн долларов хакерами из Северной Кореи, у людей начал появляться интерес к северокорейской группировке Lazarus, на которой и лежит ответственность за взлом и угон валюты.
Кто это такие, какие преступления совершили и кого из этой группировки разыскивают на федеральном уровне.
Lazarus - краткая информация
Группа была создана приблизительно в 2009-м году, базируется в Пхеньяне. На данный момент точное количество участников неизвестно - американские СМИ насчитывают примерно 3400 участников. Хакеры из группировки тесно сотрудничают с правительством Северной Кореи, не являясь преступниками на территории государства.
Никаких политических мотивов у программистов из Lazarus Group в последнее время нет - все, чем они занимаются, это угоном денежных средств с разных финансовых структур. Да, изначально, в 2010-х годах, хакеры занимались примитивными DDoS-атаками на американские и южнокорейские сайты, однако они быстро предотвращались. В 2014-м году у них получилось взломать базу Sony, получив доступ к сценариям невышедших фильмов, информации о структуре компании и письмам сотрудников.
Начиная с 2016-го года, северокорейские хакеры начали просто дистанционно грабить банки со слабой защитой, преимущественно африканские и азиатские, параллельно распространяя по странах программы-вымогатели. Никакой политики - вирусы распространялись на ПК всех стран.
В 2016-м году Lazarus Group ограбили банк Бангладеш на 101 миллион долларов США. В 2017-м году запустили вирус-вымогатель WannaCry, на котором заработали 160.000 долларов. В 2019-м году своровали 49 миллионов долларов у Кувейта, опять же, запустил вредоносное ПО, распространив его между устройствами государственных учреждений страны.
Начиная с 2020-го года, группировка начала заниматься преимущественно воровством криптовалюты, причем довольно успешно. В марте 2022 года хакеры похитили 620 миллионов долларов у NFT-игры Axie Infinity. В июне 2023 года группировка похитила не менее 35 млн $ у пользователей криптокошелька Atomic Wallet. И, наконец, известная кибератака на Bybit, о которой было написано вначале статьи, была совершена в 2025-м году.
Северокорейские хакеры, на которых и вешают все эти преступления, ориентируются на небольшое количество криптокошельков с большой суммой денег. Например, в марте 2022-го года, 17 миллионов долларов северокорейцы получили... всего из 5 кошельков. В 2025-м году они угнали деньги только из одного кошелька, сделав Северную Корею из-за этих действий одной из крупнейших держателей ETH на планете.
Кстати, по поводу последнего индицента с Bybit - КНДР отмывает украденное через мемкоины и уже отмыла четверть сворованного из кошелька площадки.
Главный виновник группы Lazarus - Пак Ин Хек
Северокорейский программист, который родился в Пхеньяне и окончил Технологический университет Ким Чхэка в Пхеньяне. Считается, что сейчас ему 40 лет. Вот его фото.
Разыскивается ФБР достаточно давно - с 2018-го года, и, как можно понять, безуспешно - проводить поисковые операции в Пхеньяне американцам пока что никто не давал. Северокорейские власти в свою очередь защищают своего соотечественника достаточно просто и в своем стиле - они утверждают, что такого человека просто не существует.
Тем временем ФБР утверждает, что Пак Ин участвовал в ограблении банка Бангладеша, он же распространял вирус-вымогатель по всему миру, и он же является главным фигурантом в воровстве криптовалюты у Bybit.
Существует ли Пак Ин Хек на самом деле - утверждать однозначно трудно. Пытаясь выйти на след преступника, ФБР отметили, что Пак Ин, работающий под псевдонимом «Ким Хён Ву», совершил ошибку и засветил свои данные, которые использовались для регистрации доменных имён и покупки хостинговых услуг, применявшихся во всех взломах.
По ним ФБР вышли на все его социальные сети, которые он использовал для организации выставки Chosun Expo.
Chosun Expo - это северокорейская компания, которая занимается разработкой программного обеспечения для северокорейских устройств. Она же выпустила северокорейскую версию Linux под названием "Red Star". В ней Пак Ин работал вполне публично (а сама компания, по мнению западных СМИ, является прикрытием деятельности Lazarus).
Вот что говорится в официальном расследовании ФБР:
И WannaCry, и троян. Alphanc использовали IP-адрес 84.92.36.96 в качестве IP-адреса для удалённого управления. Этот IP-адрес также был адресом удалённого управления для образца вредоносного ПО, полученного ФБР, который загружает вредоносное ПО таким же образом, как и другие вредоносные программы, которые частные компании по кибербезопасности приписывают Lazarus Group, а также вредоносные программы, которые злоумышленники использовали для атаки на Lockheed Martin. 29 февраля и 1 марта 2016 года к этому IP-адресу подключался северокорейский IP-адрес. [...] В частности, этот северокорейский IP-адрес использовался для доступа к взломанному веб-серверу 8 января 2016 года; 22 и 27 января 2016 года он также подключался к взломанному компьютеру в Северной Каролине, заражённому вредоносным ПО, связанным с атакой на SPE; а 10 марта 2016 года он использовался для доступа к профилю Facebook, к которому ранее 13 декабря 2015 года подключался северокорейский IP-адрес № 2.
Тем не менее, Пак Ин Хек вряд ли когда-то будет пойман (будем считать, что такой человек действительно существует). В Пхеньяне он под защитой, а его умения и навыки вполне могут позволить совершить Lazarus еще ряд преступлений, знатно пошумев в медиапространстве.
Telegram-канал (здесь выходит больше материалов по Северной Корее)