" 6-месячная кампания Северной Кореи по проникновению в Drift всколыхнула криптовалютную индустрию, которая уже оправилась от эксплойтов на миллиарды долларов.
Но когда новости утихли, в центре внимания оказался более важный вопрос: почему Северная Корея вообще продолжает возвращаться к криптовалюте и ее подход при этом настолько отличается от любой другой хакерской операции, поддерживаемой любым государством на планете?
По мнению экспертов по безопасности, короткий ответ заключается в том, что криптовалюта помогает обеспечить режиму поток доходов и удерживать его на плаву.
«Северная Корея не может позволить себе роскошь терпения, - сказал Дэйв Швед, главный операционный директор SVRN и основатель магистерской программы по кибербезопасности в Университете Йешива. - Они находятся под всеобъемлющими международными санкциями, и им нужна твердая валюта для финансирования программ вооружений. ООН и несколько спецслужб подтвердили, что кража криптовалюты является основным механизмом финансирования их разработки ядерного оружия и баллистических ракет».
Эта срочность объясняет динамику, которая долгое время озадачивала следователей: почему северокорейские хакеры осуществляют крупномасштабные и отслеживаемые ограбления в публичных блокчейнах вместо того, чтобы незаметно использовать криптовалюту для уклонения от санкций, как это делают другие государственные субъекты.
Дэйв Швед утверждает, что ответ структурный. У России по-прежнему есть развитая экономика: нефть, газ, экспорт сырьевых товаров и торговые партнеры, готовые использовать обходные пути. Криптовалюта нужна стране в качестве платежного средства, а не для чего-то еще. У Ирана тоже есть товары, которые стоит переместить - находящаяся под санкциями нефть, сети прокси-финансирования, добровольные посредники на Ближнем Востоке. Северной Корее почти нечего продавать.
«Их экспорт почти полностью под санкциями. У них нет функционирующей экономики, которая нуждается в платежной системе. Им нужны прямые доходы, - сказал Швед. - Криптовалютная кража дает им немедленный доступ к ликвидным ценностям по всему миру, без необходимости иметь контрагента, желающего вести с ними бизнес».
Это различие - криптовалюта как инфраструктура и криптовалюта как цель - отделяет Северную Корею от России и от Ирана. В то время как Россия направляет деньги через криптовалюту, чтобы успешно обойти санкции, а Иран использует ее для финансирования прокси-сетей на Ближнем Востоке, Северная Корея проводит нечто похожее на спонсируемую государством операцию по ограблению.
«Их целями являются биржи, провайдеры кошельков, протоколы DeFi, а также отдельные инженеры и учредители, имеющие право подписи или доступ к инфраструктуре, - сказал Александр Урбелис, директор по информационной безопасности ENS Labs и профессор кибербезопасности в Королевском колледже Лондона. - Жертва - это тот, кто владеет ключами или имеет доступ к инфраструктуре, в которой хранятся ключи».
Россия и Иран, напротив, рассматривают криптовалюту как второстепенное явление, как средство для достижения более широких геополитических целей.
«Когда кто-то из них касается криптовалюты, это делается только для перемещения денег, а не для их кражи из экосистемы» - сказал Урбелис.
Эта особая направленность подтолкнула северокорейских боевиков к использованию тактики, которая чаще ассоциируется со спецслужбами, чем с криминальными хакерами: многомесячное выстраивание отношений, фальсификация личности и проникновение в цепочку поставок.
Кампания Drift - лишь самый свежий пример.
«Вы не защищаете себя от фишингового письма от случайного мошенника, - сказал Урбелис. - Вы защищаете человека, который потратил 6 месяцев на выстраивание отношений специально для того, чтобы скомпрометировать одного человека, у которого есть доступ, который вам нужно защитить».
Собственная архитектура криптовалюты делает ее уникально привлекательным местом для охоты. В традиционных финансах даже успешные хакерские атаки сталкиваются с трудностями в виде проверок соответствия, проверок банков-корреспондентов, задержек расчетов и возможности отмены мошеннических переводов. Но в крипте все иначе. Когда в 2016 году северокорейские хакеры осуществили ограбление банка Бангладеш, процесс ограбления занял несколько дней, и в конечном итоге большая часть средств была возвращена или заблокирована. Ни одна из перечисленных выше мер защиты в криптовалюте не существует на уровне протокола.
«Как только сделка будет подписана и подтверждена, она станет окончательной», - сказал Урбелис.
В начале прошлого года эксплойт Bybit перевел 1 500 000 000 долларов примерно за 30 минут - темп и масштаб, которые были бы практически невозможны в традиционной банковской системе.
Эта окончательность фундаментально меняет подход к безопасности. Разумная защита в банковской сфере может быть построена на предотвращении, обнаружении и реагировании, поскольку всегда есть возможность заморозить средства или отменить перевод. Такое окно в криптовалюте практически не существует. Это означает, что остановить атаку до того, как она произойдет, не просто предпочтительнее - это, по сути, единственный вариант.
И хотя банки работают в соответствии с 10-летиями нормативных указаний и требований аудита, многие криптовалютные проекты по-прежнему импровизируют, часто отдавая приоритет скорости и инновациям над управлением и контролем.
Этот разрыв создает среду, в которой даже опытные команды могут быть уязвимы, особенно для той долгосрочной тактики проникновения, которую совершенствует Северная Корея.
«На данный момент это самая сложная проблема операционной безопасности в криптоотрасли, - сказал Урбелис о проблеме проверки на наличие сложных фальшивых личностей и сторонних посредников. - Я не уверен, что отрасль решила эту проблему».
