Lazarus Group: Как Северная Корея использует кибератаки для международной преступности и дестабилизации мира

**Lazarus Group** — это наиболее распространенное название для группировки хакеров, под руководством которой, вероятно, находятся северокорейские власти. Данное название является неофициальным, и в ряде документов можно найти иные обозначения.

Например, в отчетах Агентства по кибербезопасности и защите инфраструктуры США эта группа упоминается как **Hidden Cobra**, в материалах Microsoft — как **ZINC и Diamond Sleet**, а сами хакеры предпочитают использовать «героические» прозвища, такие как **Guardians of Peace**.

О Lazarus Group известно очень немного; ее численность и структура не установлены. Лидером группы американские правоохранительные органы считают северокорейца Пак Чин Хека, который, по данным ФБР, минимум восемь лет провел в Китае, занимаясь разработкой ПО. Перехваченные сообщения указывают на то, что в 2011 году Пак сообщил властям КНДР о намерении вернуться на родину по личным причинам.

По информации, предоставленной ФБР, Пак Чин Хек считается спонсируемым государством программистом, причастным к международным преступным схемам и ответственным за одни из самых масштабных кибератак в истории, повлекших значительные убытки для компьютерных систем и кражу средств и криптовалют. Считается, что он является частью преступной группировки, связанной с разведывательным управлением северокорейских вооруженных сил, включающей северокорейские хакерские группы, именуемые как Lazarus Group и Advanced Persistent Threat 38 (APT38).

Согласно южнокорейским новостным агентствам, государственная программа, к которой относится Lazarus Group, стартовала не позднее июня 2009 года, когда были зафиксированы первые кибератаки, исходящие из КНДР, нацеленные на правительственные ресурсы, в том числе на официальный сайт **Синего дома** — аналог южнокорейского Белого дома.

На протяжении значительного времени главной целью действий Lazarus Group была южнокорейская информационная инфраструктура. Однако со временем ее действия начали выходить за рамки продолжающегося с 1950 года конфликта между Пхеньяном и Сеулом.

Одной из самых известных операций Lazarus Group стала кибератака на **Sony Pictures Entertainment** в ноябре 2014 года, которая привела к серьезным сбоям в работе студии. Сотрудники компании не могли получить доступ к своим рабочим компьютерам, где появилось угрожающее изображение и «предупреждение» от **Guardians of Peace**.

В течение нескольких дней компания была отключена от возможностей осуществления финансовых операций, в результате чего кинопроизводственный процесс был приостановлен. Злоумышленники обнародовали персональные данные семи тысяч сотрудников Sony Pictures, включая их зарплаты, личные переписки и пароли к социальным сетям. Кроме того, в интернете стали доступны копии пяти фильмов компании, два из которых еще не вышли в прокат.

Западные СМИ предполагают, что данная атака была политически мотивированной и связана с выпуском сатирического фильма Сета Рогена **«Интервью»**, главным объектом критики в котором был северокорейский лидер Ким Чен Ын.

В феврале 2016 года **Центральный банк Бангладеш** подвергся кибератаке, осуществленной Lazarus Group. Хакеры воспользовались уязвимостью системы SWIFT для перевода примерно $1 млрд с государственного счета Бангладеш в Федеральный резервный банк Нью-Йорка. Во время того, как служба безопасности банка отслеживала подозрительную активность, преступникам удалось вывести $81 млн.

С течением времени участники Lazarus Group начали показывать еще большую изобретательность и технические навыки. В мае 2017 года они атаковали сотни тысяч компьютеров по всему миру при помощи программы-вымогателя **WannaCry**, которая нацеливалась на устройства с операционной системой Windows и требовала выкуп в биткойнах на сумму $300.

Из-за этой атаки пострадали не только отдельные пользователи: в ряде европейских стран была приостановлена работа медицинских учреждений, а также остановилось производство на автозаводах **Renault** и **Nissan**. Хакеры смогли создать этот вредоносный вирус, предварительно **украдя** разработки Агентства национальной безопасности США.

С началом глобального распространения цифровых валют северокорейские хакеры начали уделять значительное внимание этому финансовому сегменту. Лишь в 2017 и 2018 годах они взломали 14 криптобирж и обменников, присвоив активы на сумму $882 млн. Параллельно с этим Lazarus Group научилась нацеливаться не только на крупные площадки, но также и непосредственно на **отдельных пользователей**.

Весной 2022 года хакеры **взломали** сайдчейн **Ronin**, украв от пользователей игры **Axie Infinity** около $620 млн в криптовалюте. Летом того же года Lazarus Group **атаковала** кроссчейн-мост **Horizon** протокола **Harmony** и децентрализованный кошелек **Atomic Wallet**, нанеся ущерб в $135 млн от обоих атак.

Аналитики **Recorded Future** выяснили, что только в 2023 году северокорейские киберпреступники похитили $1,7 млрд в цифровых активах, и эта цифра продолжает расти.

21 февраля 2025 года произошел крупнейший на данный момент взлом в криптоиндустрии — хакеры атаковали биржу **Bybit**, получив доступ к холодному кошельку платформы и выведя $1,4 млрд в Ethereum. Крупный аналитик **ZachXBT** вскоре предоставил убедительные доказательства, указывающие на причастность к этому инциденту Lazarus Group.

Не менее серьезной проблемой оказываются репутационные последствия, которые действия подобных группировок влекут за собой для криптоиндустрии.

Власти США использовали действия Lazarus Group в качестве обоснования для введения санкций против миксеров **Tornado Cash**, **Blende** и **Sinbad**, которые, как утверждается, использовались хакерами для отмывания похищенных средств. Тем не менее, данные ограничения не мешают злоумышленникам оперативно **находить** альтернативные маршруты для вывода средств.

Инцидент с **Bybit** также подрывает доверие к централизованным биржам. Хакеры продемонстрировали свои возможности, успешно атакуя не только локальные обменники и малые проекты, но и **ведущие платформы**, имеющие высокие оценки безопасности.

Не вызывает сомнений, что с учетом строго репрессивной политики правительства КНДР, столь сложные операции не могли происходить без участия властей.

Доступ к интернету в КНДР крайне ограничен: свободно им могут пользоваться только привилегированные лица — члены власти и руководители стратегических предприятий. Остальные же вынуждены довольствоваться изолированной сетью **«Кванмен»**, в которой доступна лишь цензурированная информация.

Спецслужбы полагают, что центральным местом киберпреступности в Северной Корее является **«Лаборатория 110»**, военный институт, который находится под контролем Госсовета, возглавляемого Ким Чен Ином. Однако стране явно не хватает ресурсов для реализации масштабной киберпрограммы. Как отмечает кореевед Андрей Ланьков, участники северокорейских хакерских групп находятся за пределами страны:

«У них есть несколько довольно хороших учебных центров. Технический уровень такой группировки высок. Следует знать, что эти центры расположены не в КНДР. Один из крупных таких центров долгое время находился в гостинице в китайском **Шэньяне**, где хакеры могли выходить на улицу только под присмотром. Я предполагаю, что подобные базы все еще функционируют в различных странах, в основном в Восточной и Юго-Восточной Азии».

Эту точку зрения подтверждают отчет ФБР о присутствии участников Lazarus Group в Китае и многочисленные данные южнокорейских служб безопасности.

Несмотря на наличие вероятных оснований для таких предположений, прямых доказательств о финансовых потоках из КНДР остается крайне мало.

Северная Корея остается единственным государством, которое отказывается сотрудничать с **МАГАТЭ**: в 2008 году Пхеньян официально уведомил о том, что больше не нуждается в содействии Агентства по контролю в области атомной энергетики. В связи с этим невозможно не только установить источники финансирования данного сектора, но и точно оценить текущее состояние ядерной программы страны.

Тем не менее, в СМИ периодически появляются сообщения о том, что северокорейские киберпреступники активно ищут средства для разработки оружия массового поражения.

В феврале 2024 года агентство Reuters опубликовало выдержки из конфиденциального отчета Комитета ООН по санкциям, в котором утверждается, что северокорейских хакеров подозревают в 58 атаках, принесших около $3 млрд. Аналогичные суммы сообщаются в отчете Microsoft о кибербезопасности за 2024 год.

Для сравнения, по данным **ICAN**, в 2020 году Пхеньян потратил $667 млн на свою ядерную программу. Таким образом, отмывание и последующее превращение украденных средств в фиатный эквивалент требует значительного времени и ресурсов, а основополагающий для внутренней политики КНДР принцип **сонгун** исключает зависимость от непредсказуемых методов финансирования.

Вероятно, гораздо более настораживающим является не то, как Lazarus Group использует украденные средства, а та деятельность, которая не связана с финансами. Как указывает **Bitdefender Labs**, члены группы нацеливаются на работников чувствительных областей, таких как ядерная или аэрокосмическая отрасль, стремясь получить доступ к секретной информации и корпоративным учетным записям.

Службы безопасности сообщают, что в этих операциях хакеры не делают исключений даже для стран-партнеров КНДР. В конце 2021 года **Lazarus Group** взломала компьютерные сети **НПО машиностроения** в Реутове, где, по мнению экспертов, собирались данные, необходимые для создания межконтинентальной баллистической ракеты.

Фактически, саму Lazarus Group нельзя рассматривать как единое целое. По всей видимости, она состоит из различных подразделений, каждое из которых отвечает за свою специфику и тип атак. Кроме того, в КНДР действуют группировки **Kimsuky** и **Ricochet Chollima**, которые занимаются промышленным шпионажем и дестабилизацией энергетической системы Южной Кореи.

По общепринятой классификации такие группировки, как Lazarus Group, относятся к категории **APT** — постоянных серьезных угроз. Похожие структуры существуют и в других странах, где правят недемократические режимы, такие как Китай, Иран, Россия и Саудовская Аравия.

Негативный имидж КНДР как «последнего тоталитарного режима» и идеологическое противостояние Пхеньяна с внешним миром делают Lazarus Group символом «абсолютного зла». Это восприятие порождает обвинения в адрес киберпреступников как орудий государственного терроризма и приводит к манипуляциям, пытающимся дискредитировать криптоиндустрию.