Мы привыкли ассоциировать киберугрозы с США, Россией, Израилем или Китаем. Но на самом деле одни из самых активных и успешных хакеров в мире работают… в Северной Корее. У страны без интернета, без высоких технологий и без денег есть свои цифровые диверсанты, которые зарабатывают миллиарды для режима Ким Чен Ына. Как им это удается? Объясняем в карточках.
Нет, почти никто из граждан КНДР не имеет доступа к глобальной сети. В стране действует только внутренняя сеть «Кванмен», и то с сильной цензурой. И все же, несмотря на полную изоляцию, КНДР построила одни из самых эффективных кибервойск в мире. Точнее даже, во многом, изоляция этом способствовала.
Экономические санкции и железный занавес лишили КНДР доступа к валюте и технологиям. Создав кибервойска, режим Кимов одновременно зарабатывает миллиарды и обходит международную изоляцию.
Хакеры КНДР крадут средства, взламывают банки и криптобиржи, вымогают выкуп и приносят государству миллиарды. Эти деньги идут на финансирование ядерной программы и обход международных санкций.
За кибероперации отвечает Разведывательное управление Генштаба — RGB, аналог ГРУ. В составе RGB действует Бюро 121, где, по данным американского правительства, может работать до 6000 специалистов. Это государственная структура, действующая напрямую в интересах режима.
Lazarus Group — главное киберподразделение Разведывательного управления КНДР, а проще говоря, самая известная хакерская группировка страны.
Lazarus Group совмещает функции разведки, кибертеррористов и преступного синдиката: осуществляет шпионаж, саботаж и прямое воровство средств. Атакуя без оглядки на репутацию, Lazarus превратил КНДР в мирового лидера по хищениям криптовалют.
• 2014: взлом Sony Pictures из‑за фильма «Интервью» и утечка терабайтов данных.
• 2017: вирус‑вымогатель WannaCry заразил 300 000 устройств в 150 странах и нанес ущерб ≈ $4 млрд.
• 2024: хищение $1,34 млрд в криптовалютах — более половины мировых потерь года.
• Март 2025: рекордные $1,5 млрд украдены с биржи ByBit, $300 млн выведены мгновенно.
У Lazarus есть ответвление под названием BlueNoroff, которое целенаправленно занимается кражей электронных денег.
Оно получило известность в 2016-м году, когда взломало системы Центробанка Бангладеш и похитило 60 миллионов долларов через систему SWIFT. Позже сотрудники BlueNoroff участвовали в серии атак на банкоматы FASTCash: сервера банков, зараженные вредоносным ПО, одобряли злоумышленникам все операции по картам, а сотни курьеров снимали безлимитный кэш из банкоматов.
Сейчас BlueNoroff вместе со специалистами из других отделов Lazarus участвуют в атаках на криптобиржи.
Подразделение Andariel действует тише, чем BlueNoroff: длительно закрепляется в сетях южнокорейских ведомств, шпионит за ними или совершает атаки против инфраструктуры. Их подозревают в атаке DarkSeoul в 2013 году, которая вывела из строя десятки тысяч ПК, а также множестве атак против Минобороны РК во второй половине 2010-х.
Kimsuky — это мастера фишинга. Хакеры подразделения маскируются под журналистов или коллег, рассылая вредоносные документы. Они взламывали сотрудникоов МАГАТЭ и атомных компаний Южной Кореи.
Kimsuky интересуют только ядерные, политические и военные тайны, а не деньги. А еще они собирают информацию за рубежом, к которой обычно имеют доступ дипломаты – ведь у КНДР во многих странах нет дипмиссий.
Прямых подтвержденных связей между ними нет, но есть много признаков косвенного взаимодействия. Например, северокорейцы используют инструменты, которые впервые появились в российском даркнете, или перенимают тактики, проверенные российскими группами.
Кроме того, их интересы все чаще совпадают — от атак на криптобиржи до информационного саботажа на Западе. В эпоху санкций они оказываются в одном клубе теневых киберигроков.
Впрочем, отличий между хакерами КНДР и России больше, чем сходств. И главное — в мотивации. Российские группы по большей части занимаются разведкой, диверсиями или информационно-психологическими операциями. Северокорейские — в первую очередь крадут деньги, буквально кормят режим.
Российские хакеры могут быть «слиты» властью под давлением других стран – как это было с группой REvil.
У северокорейцев такого риска нет: КНДР уже изолирована санкциями и собственным «железным занавесом», надавить на нее еще сильнее очень сложно.
Успех хакеров КНДР показывает, что нищета может стать оружием: дешевые, преданные кадры и безнаказанность позволяют режиму достигать впечатляющих результатов при небольших вложениях. Диктатуры, лишенные рынков и союзников, все чаще продают друг другу такие «серые» компетенции — от дронов до киберналетов. Игнорировать их — значит добровольно оставить двери открытыми.