Как Северная Корея с детства учит хакеров взламывать криптопроекты

Осень 2025 года. На крупной криптоконференции к команде протокола Drift подходят ребята из квантового трейдингового фонда. Технически подкованные, с нормальными биографиями, приятные в общении. Такие люди встречаются на каждом ивенте.

Они не спешат. Встречаются вживую в нескольких странах. Переписываются в Telegram. Проводят рабочие сессии. В декабре депонируют $1 миллион собственных средств в экосистему, чтобы вызвать доверие.

Шесть месяцев совместной работы. Уже не чужаки. Потом обычный обмен репозиториями. Ничего подозрительного. Открыть один файл в VSCode или Cursor хватило. Уязвимостью, о которой сообщество предупреждало ещё в конце 2025 года, воспользовались. Переписка в Telegram и следы вредоноса исчезли автоматически. За 12 минут из протокола ушло $285 миллионов. Это была одна из операций северокорейских хакеров Lazarus Group.

Lazarus Group — это государственная структура Северной Кореи. Страна находится под санкциями более 70 лет. Доступ к мировой банковской системе закрыт, а деньги на ядерную программу и ракеты нужны каждый день. Взломы финансовых структур стали способ финансирования.

Особенно им полюбились криптопроекты. Ведь крипта не имеет границ и перемещается без одобрения международных платежных систем. Lazarus создали именно для этого. Группа подчиняется разведке страны. Задача простая красть крипту и переводить её в реальные ресурсы для режима.

По данным ООН только за последний год Lazarus украли более $2 млрд, а средства направили на развитие ракетной программы.

Хакеры Lazarus не ищут славы или одобрения. Они не делятся подробностями своих хаков на форумах в даркнете. Просто делают то, ради чего их готовили с самого детства.

Власти отбирают талантливых детей со всей страны в возрасте 8-10 лет и отправляют в элитные школы Кымсон в Пхеньяне. Там они по 12 часов в день учат математику и программирования в течение 6 лет.

В более зрелом возрасте будущим хакерам дают доступ к интернету, чтобы они изучали мировую финансовую культуру общения и были в тренде.

После школы они переходят в топовые технические университеты. Главный из них — Mirim College. Лучшие выпускники уезжают в Китай на финальный этап подготовки.

Самых талантливых программистов отправляют в Китай ещё молодыми. Они видят, как устроено открытое общество, соцсети, развлечения. Все то, чего нет на родине.

Многие оседают в Даляне и Шэньяне. Живут в обычных квартирах или в отелях. Днём работают программистами в местных компаниях. Ночью выполняют задачи для государства.

Такие люди могут годами жить вне Северной Кореи, работать под чужими личностями, выглядеть как обычные IT-шники и вообще не вызывать подозрений.

Причём речь не только про Китай. Северокорейские IT-работники и связанные с ними сети замечены в России, а в последних санкционных материалах США фигурируют уже и европейские точки, например Испания.

Один из самых ярких примеров хакеров под прикрытием — Парк Джин Хёк. Математический вундеркинд, выпускник элитного Технологического университета имени Ким Чхэка. Один из основателей Lazarus Group.

Он окончил топовый университет в Северной Корее. С 2002 года жил в Даляне (Китай). Создавал онлайн-игры и программы для азартных игр. На фото 2011 года он в костюме и выглядит как обычный специалист, но это взято это фото из материалов розыска ФБР.

Специалистам по кибербезопасности важно понять, что Lazarus сидят не где-то там, в закрытой Северной Корее, где у них 7 разрешенных мужских стрижек. Они разбросаны по всему миру, ходят на обычную работу и налаживают связи в IT-индустрии.
Lazarus Group:

Давайте разберем их нашумевшие взломы.

С 2014 года они систематически атакуют важные объекты, причем не только криптопроекты и не только ради денег.

Всё началось с комедии. Фильм The Interview, где два журналиста отправляются в Пхеньян с целью убить Ким Чен Ына, стал поводом для одной из первых масштабных кибератак, за которой официально признали участие государства.

В ноябре 2014 года хакеры из Lazarus Group проникли в сеть Sony Pictures:

9 февраля 2016 года хакеры из Lazarus Group попытались провернуть одну из самых масштабных краж в истории цифровых финансов. Цель — центральный банк Бангладеш, у которого были счета в Федеральном резерве США.

С помощью украденных учетных данных они направили 31 поддельное платёжное поручение через систему SWIFT — международную межбанковскую сеть. Общая сумма запросов почти $1 миллиард.

Часть транзакций заблокировали из-за орфографической ошибки в слове «foundation» — это вызвало подозрения в Deutsche Bank, участвующем в обработке перевода.

Но $81 миллион всё же были успешно выведены и через цепочку подставных компаний и оффшорных счетов оказались в филиппинских казино, где и были отмыты благодаря слабому регулированию азартной индустрии в стране.

До этого случая подобные суммы в киберограблениях даже не рассматривались как возможные. Парк Джин Хёк, по данным разведок, стоял у истоков и этой операции. С этого момента Lazarus начали воспринимать не как группу хакеров, а как инструмент кибервойны от государства.

В мае 2017 года началась вспышка вируса WannaCry. Это был шифровальщик, который блокировал файлы на компьютере и требовал выкуп в биткоине. Если пользователь не платил, данные уничтожались.

Заражены были более 200 000 компьютеров в 150 странах. Общий ущерб оценивается в $4 млрд.

21 февраля 2025 года. Bybit переводит средства с холодного на горячее хранилище. Рутинная операция. Через несколько часов — минус $1,5 млрд в ETH.

Биржу взломали не напрямую, а через сервис SafeWallet. Иронично получилось, правда?
Сначала они обманули разработчика Safe и получили доступ к его компьютеру и облаку AWS. Затем за пару дней до атаки (19 февраля 2025) внедрили вредоносный JavaScript-код в интерфейс Safe.

21 февраля сотрудники Bybit (включая CEO) делали обычный перевод ETH и одобряли его через мультиподпись, но код страницы подменял адрес получателя на кошелек хакеров.

Сотрудники подписали транзакцию, думая, что всё в порядке, и ~401 000 ETH (на $1,5 млрд) ушли Lazarus.

В начале материала я рассказал о взломе криптопротокола на $280 млн. Сама команда приписывает ответственность хакерам из группировки UNC4736 (также известна как AppleJeus, Citrine Sleet, Golden Chollima, Gleaming Pisces).

Многие считают, что Lazarus — это зонтичная компания, а UNC4736 одно из их подразделений. Для единства статьи сделаем такое допущение.

Еще несколько примеров за последние годы:

Если ваш проект растёт, вы попадаете в прицел не случайного школьника. Вы сталкиваетесь с государственной машиной, у которой есть ресурсы, терпение и чёткий план. Впервую очередь это предостережение для разработчиков криптопроектов. Хотя Lazarus и связанные группы бьют не только по крипте.

Проверяйте новых партнёров и сотрудников. Смотрите историю общения, берите рекомендации. Не открывайте файлы от «своих» без изоляции. Делите права доступа. Следите за подозрительными запросами и репозиториями.

В 2026 году главный риск не дыра в коде, а человеческие отношения.