Z eksportem dóbr z Korei Północnej jest krucho. Od 2018 r. w porywach wynosił on maksymalnie 500 mln dol. A to nie zabezpieczało odpowiednio dopływu dewiz potrzebnych na rozwój gospodarki. Od 2018 r. wyraźnie uaktywnili się tamtejsi hakerzy. W 2023 r. skradli oni kryptowaluty warte 1 mld dol., a łącznie od 2018 r. w wyniku cyberataków zdobyli 4,3 mld dol. Eksperci wskazują, że wszelkie ślady prowadzą do organizacji hakerskich, za którymi stoi rząd.
Dla wielu inwestorów operujących na rynku kryptowalutowym zeszły rok wiązał się z potężnymi zyskami, które istotnie przewyższyły te, które dane były lokującym kapitał w aktywach głównego nurtu. Bitcoin poszedł w górę o 156%, zaś Ethereum o 90%. Część inwestorów kończyła jednak rok w paskudnych nastrojach, gdyż ich rachunki wyzerowały się. I to nie za sprawą tego, że niewłaściwie obstawili kierunek trendu giełdowego. Po prostu padli ofiarami oszustów, a ich konta zostały zhakowane.
Według obliczeń Chainalysis łupem hakerów w 2023 r. padły kryptowaluty warte 1,7 mld dol. To znacznie mniej niż rok wcześniej – spadek poziomu kradzieży wyniósł ok. 54%. Jednocześnie nieznacznie wzrosła liczba ataków hakerskich – z 219 do 231 w 2023 r. Zestawienie tych dwóch zmiennych pozwala obliczyć średnią wartość pojedynczego czynu. W 2022 r. jeden atak przeciętnie doprowadzał do kradzieży ok. 16,9 mld dol., natomiast w 2023 r. było to już ok. 7,4 mln dol.
Jak widać to operacje znacznej wartości, do których potrzeba sztabu ludzi wyposażonych w odpowiednie oprzyrządowanie, a zatem zorganizowanych. Nasuwa się przypuszczenie, że sponsor przedsięwzięcia musi dysponować zaawansowanym zapleczem, które pozwala sfinansować działania hakerów. A zatem w grę wchodzą zamożni ludzie, korporacje lub nawet rządy. I zdaje się, że ta hipoteza ma swoje potwierdzenie, o czym w dalszej części analizy.
A zjawisko hakingu w ostatnich latach przybrało na sile. Od 2021 r. rokrocznie „giną” kryptowaluty o wartości ponad 1 mld dol. Szczytem tego zjawiska okazały się lata 2021-2022, gdy z portfeli inwestorów znikały kryptowaluty warte przeszło 3 mld dol.
Najwięcej kradzieży hakerskich miało miejsce w segmencie DeFi – o wartości ok. 1,1 mld dol. Do najbardziej „spektakularnych” ataków zaliczyć można m.in. atak typu flash loan na Euler Finance, protokole pożyczkowym opartym na Ethereum (straty poszkodowanych wyniosły ok. 197 mln dol.), a także na Curve Finance (straty rzędu 73,5 mln dol.).
Hakerzy wykorzystywali luki w zabezpieczeniach DeFi, co zdaniem ekspertów było podyktowane tym, że operatorzy protokołów koncentrowali się przede wszystkim na kwestiach rozwojowych, jednocześnie w mniejszym stopniu dbając o wdrażanie i utrzymywanie solidnych systemów bezpieczeństwa. Mar Gimenez-Aguilar, główny architekt bezpieczeństwa Halborn, firmy, która przygotowała kompleksową analizę 50 najgroźniejszych ataków DeFi zwrócił uwagę na to, że najbardziej narażone na aktywność hakerów były protokoły bazujące na Ethereum i Solanie. Z analizą Halborn zapoznasz się TUTAJ.
W rzeczywistości kryptowalut, na których opierają się protokoły DeFi, a okazują się podatne na ataki hakerskie, jest znacznie więcej. Chodzi m.in. BSC, Avalanche czy Arbitrum. Na poniższej infografice zostały przedstawione kryptowaluty, których najczęściej to dotyczy – dane obejmują lata 2016-2023.
Metod, za pomocą których hakerzy wykradają aktywa inwestorów jest wiele. Należą do nich m.in. wyeksploatowanie protokołu, atak typu insider (np. nieuczciwy programista pracujący przy protokole pozyskuje nielegalnie wrażliwe dane), phishing (wyłudzanie informacji), włamanie do portfela, manipulacja cenami, naruszenie klucza prywatnego.
Z czego słynie Korea Północna?
Każdy będzie mieć swoje skojarzenia. Prawdopodobnie większości przyjdzie do głowy, że to państwo wschodnioazjatyckie rządzone od dziesięcioleci przez dynastię Kimów. Ojcem założycielem jej był Kim Ir Sen, który w czasie II wojny światowej nabierał szlifów w zarządzaniu ludźmi jako major Armii Czerwonej, dowodząc 88 Samodzielną Brygadą Strzelecką. Obecnie u sterów władzy jest trzecie pokolenie dynastyczne – na czele państwa stoi Kim Dzong Un.
W kraju liczącym 26 mln ludzi nie przelewa się – roczny PKB per capita nie przekracza 2 tys. dol. Choć zapewne to nie wszystkich dotyczy. Istnieją uprzywilejowane grupy społeczne (rządzący i wojsko), którzy bez wątpienia nie wiedzą co to głód. I obce są im dylematy, jak wiązać koniec z końcem. Prawdopodobnie taką grupą społeczną są także koreańscy hakerzy. Przy wszechobecnym poziomie inwigilacji panującym w Korei Płn. trudno zakładać, że nie mają oni choćby jakichkolwiek powiązań ze sferami rządzącymi. Tym bardziej, że są nad wyraz sprawni i potrafią „wyczarowywać” pieniądze. I to w „twardej” walucie.
Chainalysis nie ma jakichkolwiek złudzeń, że niezwykle aktywni w zakresie kradzieży kryptowalutowych są właśnie koreańscy hakerzy – i to od lat. Według jej obliczeń tylko w 2023 r. potrafili „oskubać” inwestorów na 1 mld dol. W latach 2016-2023 łączna wartość kradzieży w blockchainie, którą przypisuje się koreańskim hakerom wyniosła ponad 4,3 mld dol. Do tego z pewnością nie są to detaliści. Jak kraść, to na całego – średnia wartość nielegalnego zaboru środków klientów działających w segmencie kryptowalutowym, za którą stali hakerzy wyniosła okrągłe 50 mln dol. w 2023 r. (rok wcześniej było to nawet przeszło 113 mln dol.).
Kim są tajemnicze grupy hakerów rodem z Korei Północnej?
„W ciągu ostatnich kilku lat liczba włamań powiązanych z Koreą Północną rosła, a grupy cyberszpiegowskie, takie jak Kimsuky i Lazarus Group, wykorzystywały różne złośliwe taktyki do pozyskiwania dużych ilości aktywów kryptograficznych. Szacujemy, że w 2023 r. […] liczba hacków wzrosła do 20 – co, było najwyższą liczbą w historii” – ujawnili analitycy Chainalysis.
Być może tych grup hakerskich jest więcej, niemniej wśród nich wyróżniają się Kimsuky i Grupa Lazarusa (GL). 30 listopada 2023 r. Biuro Kontroli Aktywów Zagranicznych Stanów Zjednoczonych (OFAC) i Ministerstwo Spraw Zagranicznych Japonii objęły grupę Kimsuky sankcjami, tym samym przyłączając się do reakcji Ministerstwa Spraw Zagranicznych Korei Południowej. Departament Skarbu USA podkreślił, że Kimsuky jest odpowiedzialne za działalność cyberszpiegowską, której jednym z celów jest wspieranie programu rozwoju broni jądrowej Korei Północnej. To uprawdopodobnia przypuszczenie, że grupa jest powiązana z gremiami rządowymi państwa. Bo, jaki cel miałoby dla hakerów poszukiwanie danych z dziedziny militarnej? Kradzieże kryptowalut najprawdopodobniej służą finansowaniu działalności szpiegowskiej. Kimsuky działa co najmniej od 2012 r. Jest organizacją cyberszpiegowską z siedzibą w Korei Północnej, która w imieniu tamtejszego rządu kradnie technologie związane z rozwojem broni i satelitów, a także informacje dotyczące kwestii związanych z polityką zagraniczną. Więcej na jej temat przeczytasz TUTAJ.
Szacuje się, że Grupa Lazarus rozpoczęła swój proceder przestępczy około 2009 roku. Według Kaspersky Lab organizacja dokonała ataków hakerskich w co najmniej 18 państwach świata. Dotyczyło to w szczególności Azji, ale także Afryki i Ameryki Południowej. Był również i wątek polski – nasz kraj był jedynym państwem z Europy, gdzie sięgnęły macki GL. Zwraca uwagę fakt, że próby włamań nie były podejmowane wobec podmiotów, które pochodziły z kręgu państw rozwiniętych. Zapewne atakujący dochodzili do wniosku, że poziom zabezpieczeń jest tam o wiele wyższy niż w innych miejscach, więc szansa na sukces jest niewielka. Cele organizacji były jednoznaczne – ataki kierowano na instytucje finansowe, kasyna, firmy inwestycyjne i giełdy kryptowalutowe.
Hakerzy GL mają na koncie wiele ataków. Dwa najbardziej spektakularne z brzegu. Udało im się wykraść 81 mln dol. z banku centralnego Bangladeszu. A dwa lata temu ukradli kryptowalutę o wartości ponad 620 milionów dol. z protokołu Ronin Bridge – było to największe w historii zhakowanie tego typu aktywów.
Nowa specjalizacja eksportowa dynastii Kimów
Rząd północnokoreański chętnie wspomaga się grupami działającymi w cyberprzestrzeni. Są one powiązane z różnymi agendami państwa – głównie podlegają siłom zbrojnym. Jak ten schemat operacyjny wygląda pokazał Mandiant – z bliższą analizą na ten temat zapoznasz się TUTAJ.
Korea Północna jest izolowana przez znaczną część społeczności międzynarodowej na własne życzenie, co pogłębiło się w ostatnich latach. Jeszcze w latach 2016-2017 eksport północnokoreański przekraczał rocznie 3 mld dol. A później nastąpiła gruntowna zapaść. W latach 2018-2022 wartość towarów wysyłanych w świat oscylowała w przedziale 300-500 mln dol. Skutkiem tego był niewielki dopływ dewiz niezbędnych do podejmowania procesów modernizacyjnych gospodarki, zwłaszcza, że cierpi ona na niedobory z powodu nałożonych na nią sankcji.
Od 2018 r. zdecydowanie uaktywnili się północnokoreańscy hakerzy. Niemal w każdym roku od tej daty wartość zawłaszczonych kryptowalut przekraczała z okładem skalę eksportu. W 2022 r. wskaźnik skradzione waluty/eksport zbliżył się do 600%. W tym kontekście szczególnego znaczenia nabiera dewiza Korei Północnej – „Silne i dobrze prosperujące państwo”. Czyżby pojawiła się nowa specjalizacja eksportowa dynastii Kimów?
