Хакеры на госслужбе
Как группировка Lazarus стала самым прибыльным киберподразделением в истории
В феврале 2025 года криптобиржа Bybit лишилась $1,5 млрд в Ethereum — крупнейшая кража цифровых активов за всю историю. ФБР потребовалось лишь несколько дней, чтобы назвать виновника: северокорейская группировка Lazarus. Для индустрии кибербезопасности это имя давно стало синонимом государственного кибертерроризма — но масштабы деятельности группы продолжают удивлять даже опытных аналитиков.
Фото: Иван Водопьянов, Коммерсантъ
Фото: Иван Водопьянов, Коммерсантъ
Подразделение 414
Lazarus Group — не классическая хакерская группировка в привычном понимании. По данным перебежчика Ким Кук Сона, который работал старшим полковником Главного разведывательного бюро КНДР, но был вынужден бежать из страны в 2014 году в Южную Корею, внутри КНДР подразделение Lazarus известно как «Офис связи 414» и входит в структуру Главного разведывательного бюро (Reconnaissance General Bureau, RGB) — военной разведки Северной Кореи. По оценке Минобороны США за 2020 год, только в подгруппе BlueNoroff, специализирующейся на финансовых преступлениях, насчитывается около 1,7 тыс. оперативников.
В западных исследовательских кругах группировка известна под десятками псевдонимов: Hidden Cobra (так ее обозначает Министерство внутренней безопасности США), Diamond Sleet и Sapphire Sleet (терминология Microsoft), Labyrinth Chollima (CrowdStrike), APT38 (Mandiant). Столь обширная номенклатура — следствие того, что разные подразделения Lazarus ведут параллельные операции: одни занимаются шпионажем, другие — финансовыми хищениями, третьи — саботажем.
В отличие от большинства государственных организованных групп, которые сосредоточены на разведке и шпионаже, Lazarus с самого начала сочетала политически мотивированные атаки с банальным хищением средств. Причина прозаична: северокорейская экономика задыхается под гнетом международных санкций, а киберпреступность стала одним из ключевых каналов поступления валюты в казну режима Ким Чен Ына. По данным ООН, с 2021 года КНДР получила через хакерские операции миллиарды долларов, значительная часть которых, предположительно, направлена на ракетную и ядерную программы.
Самая ранняя задокументированная операция Lazarus — так называемая Operation Troy — датируется 4 июля 2009 года. Атака была приурочена ко Дню независимости США и носила скорее демонстративный, чем разрушительный характер: с помощью вредоносного ПО Mydoom и Dozer хакеры провели масштабную DDoS-атаку на десятки южнокорейских и американских правительственных сайтов. В загрузочную запись пораженных машин была вписана надпись «Memory of the Independence Day».
Технически атака была несложной, однако обозначила принципиальный сдвиг: северокорейское государство начало систематически использовать кибероперации как инструмент внешней политики. В 2011 и 2013 годах последовали новые волны атак на южнокорейские цели — банки, телеканалы, государственные учреждения.
Sony Pictures не представляет
Поворотным моментом стал ноябрь 2014 года. Группировка, действовавшая под прикрытием названия Guardians of Peace, провела разрушительную атаку на Sony Pictures Entertainment. Поводом стала готовящаяся к выходу комедия «Интервью» (The Interview), в сюжете которой фигурировало убийство Ким Чен Ына.
Расследование показало, что хакеры находились в сети Sony более года, прежде чем нанесли удар. Были похищены конфиденциальные данные тысяч сотрудников — номера социального страхования, финансовые документы, зарплатные ведомости, личная переписка топ-менеджеров. Утекли еще не выпущенные фильмы студии, включая «Энни» и «Ярость» с Брэдом Питтом. В итоге были уничтожены тысячи компьютеров компании. По различным оценкам, ущерб составил от $35 млн до более чем $85 млн.
Атака сопровождалась угрозами физической расправы над зрителями фильма, что привело к масштабному скандалу и отмене кинотеатрального проката. ФБР официально обвинило в атаке КНДР — Пхеньян, разумеется, все отрицал.
Значимость инцидента для индустрии кибербезопасности трудно переоценить. Именно после расследования Sony Pictures коалиция ИБ-компаний под руководством Novetta провела операцию Blockbuster, в рамках которой был детально описан арсенал Lazarus и установлены паттерны повторного использования кода, связавшие множество, казалось бы, разрозненных атак в единую цепочку.
Ограбление века
Следующей громкой операцией стала атака на Центральный банк Бангладеш в феврале 2016 года. Хакеры проникли в компьютерную сеть банка еще в январе, изучив изнутри процедуры международных переводов через систему SWIFT. В ночь с 4 на 5 февраля, когда офис банка был закрыт на выходные, злоумышленники направили 35 мошеннических платежных поручений в Федеральный резервный банк Нью-Йорка на общую сумму $951 млн — практически весь остаток бангладешского счета.
Пять транзакций на $101 млн прошли успешно: $81 млн был переведен на Филиппины, $20 млн — в Шри-Ланку. Оставшиеся 30 переводов на $850 млн были заблокированы из-за опечатки в одном из поручений: в названии организации-получателя хакеры допустили ошибку, вызвавшую автоматическую проверку. Ирония ситуации поражает: опечатка предотвратила хищение почти на миллиард долларов.
Заместитель директора АНБ Ричард Леджетт публично прокомментировал ситуацию: «Если связь между атакой на Sony и ограблением бангладешского банка подтверждается, это означает, что государство грабит банки». К 2025 году все похищенные средства были возвращены.
Криминалистический анализ BAE Systems и Symantec выявил совпадения в коде вредоносного ПО, использованного при ограблении Бангладешского банка и при атаке на Sony Pictures, — идентичные функции стирания файлов, ключи шифрования и мьютексы.
Цифровая пандемия
В мае 2017 года мир столкнулся с одной из самых масштабных киберэпидемий в истории. Вирус-вымогатель WannaCry за считанные дни заразил более 300 тыс. компьютеров в 150 странах, шифруя файлы и требуя выкуп в биткоинах. Пострадали больницы Национальной службы здравоохранения Великобритании, немецкие железные дороги Deutsche Bahn, испанский телеком-гигант Telefnica, российский «МегаФон» и тысячи других организаций.
WannaCry эксплуатировал уязвимость EternalBlue, изначально разработанную Агентством национальной безопасности США, а затем украденную и опубликованную хакерской группой Shadow Brokers. Microsoft выпустила патч за два месяца до атаки, но подавляющее большинство организаций не успели его установить.
Парадокс WannaCry заключался в том, что, несмотря на грандиозный охват, финансовая отдача была ничтожной: вирус собрал лишь несколько сотен тысяч долларов. Более того, распространение было остановлено благодаря случайному обнаружению «аварийного выключателя» — исследователь под ником MalwareTech зарегистрировал домен, к которому обращался вирус, что деактивировало атаку. Это навело аналитиков на мысль, что основной целью была не финансовая выгода, а демонстрация возможностей и хаос. Министерство юстиции США и британские спецслужбы впоследствии официально возложили ответственность за WannaCry на Lazarus Group.
Криптовалютный поворот
После 2017 года Lazarus все активнее переключалась на криптовалютный сектор, где один удачный взлом мог принести сотни миллионов долларов. Первый крупный криптоудар пришелся еще на 2017 год: $7 млн, похищенные с южнокорейской биржи Bithumb. Затем последовала серия атак на биржи и криптосервисы, масштабы которых нарастали экспоненциально. В марте 2022 года хакерам удалось взломать сеть Ronin (Axie Infinity). Украдено 173,6 тыс. ETH и 25,5 млн USDC — порядка $625 млн на момент атаки. Хакеры получили контроль над пятью из девяти валидаторов сети, отправив одному из инженеров Sky Mavis поддельное предложение о работе через LinkedIn. Загруженный PDF с «условиями трудоустройства» содержал шпионское ПО. Затем в мае 2024 года им же удалось взломать японскую биржу DMM Bitcoin и украсть с нее $308 млн.
В феврале прошлого года Lazarus провернули рекордное ограбление биржи Bybit на $1,5 млрд. Хакеры скомпрометировали разработчика в компании-поставщика мультиподписного решения, которое использовала Bybit. Точкой входа стал вредоносный Docker-проект на компьютере разработчика. Получив доступ к системе мультиподписей, злоумышленники перехватили перевод с холодного на горячий кошелек, перенаправив средства на собственные адреса.
По данным Chainalysis, в 2025 году северокорейские хакеры похитили криптовалюту на сумму не менее $2,02 млрд — это 76% всех средств, украденных с криптоплатформ за этот период. Совокупный объем криптохищений, приписываемых КНДР, оценивается минимум в $6,75 млрд.
Арсенал и тактики
Основные методы первичного проникновения — целевой фишинг и социальная инженерия. Классический сценарий Lazarus — операция Dream Job: оперативники создают убедительные профили рекрутеров на LinkedIn, выходят на сотрудников целевых компаний и предлагают привлекательные вакансии. Вредоносная нагрузка доставляется под видом документов с описанием должности или тестовых заданий.
С 2024 года Lazarus активно использует атаки на цепочки поставок: внедрение бэкдоров в открытые репозитории GitHub и PyPI. С начала 2025 года выявлено более 230 вредоносных пакетов, затронувших 36 тыс. компаний в Европе, Индии и Бразилии. Группировка также освоила тактику ClickFix — поддельные страницы с ошибками, предлагающие жертве скопировать и выполнить вредоносный скрипт.
Отдельное направление — внедрение агентов под видом IT-специалистов. Используя поддельные или улучшенные с помощью ИИ документы, северокорейские оперативники устраиваются на удаленную работу в технологические компании, получая доступ к внутренним системам. По данным Минюста США, этой схемой были скомпрометированы более 100 американских компаний, включая фирмы из списка Fortune 500.
Судебное преследование
В сентябре 2018 года Министерство юстиции США впервые предъявило обвинения конкретному члену Lazarus — программисту Пак Чин Хёку, работавшему на северокорейскую подставную компанию Chosun Expo Joint Venture. Ему вменялось участие в атаке на Sony Pictures, ограблении банка Бангладеш и создании WannaCry. В феврале 2021 года обвинения были расширены на еще двух сотрудников RGB — Чон Чхан Хёка и Ким Иль Пака.
Все трое предположительно находятся в КНДР и фактически недосягаемы для правосудия. Были также предъявлены обвинения канадскому и двум китайским гражданам, выступавшим в роли посредников при отмывании похищенных средств.
Lazarus Group остается одной из наиболее активных и опасных APT-групп в мире. Ее операции продолжают эволюционировать: от примитивных DDoS-атак 2009 года до сложнейших многоуровневых компрометаций цепочек поставок в 2025 году. Финансовая мотивация — обеспечивать находящийся под санкциями режим — гарантирует, что интенсивность атак будет только расти.