В конце марта я получил тревожное сообщение от ИТ-менеджера Fortune. «Существует процесс, обнаруживающий уязвимость», — написал он, сообщив мне, что кто-то мог скрываться возле моего компьютера. «Мне нужно убить его». Я запаниковал. Согласно журналам, позже проверенным ИТ-отделом Fortune, файл, который я скачал в 11:04 утра, позволял отслеживать нажатия клавиш на моей клавиатуре, записывать экран моего компьютера, просматривать мои пароли и получать доступ к моим приложениям.
Выключив ноутбук, я выбежал из своей квартиры в Бруклине и побежал к ближайшей станции метро. В ожидании поезда до офиса Fortune, где я планировал почистить ноутбук с помощью ИТ-специалистов, я написал своему редактору: «Думаю, меня обманули в КНДР».
Он писал о Корейской Народно-Демократической Республике и знал, что эта страна любит ориентироваться на американских инвесторов. Но я никогда бы не подумал, что их пресловутые хакеры придут за мной и преподат мне урок из первых рук о глубине их обмана.
«Мошенническая атмосфера»
Королевство Отшельников уже много лет мучает криптоиндустрию. Отрезанная от глобальной финансовой системы санкциями, страна обратилась к спонсируемой государством краже криптовалюты, чтобы помочь оплатить свои счета. Только в 2025 году хакеры, связанные с северокорейскими военными, накопили украденную криптовалюту на сумму 2 миллиарда долларов, что примерно на 50% больше, чем в предыдущем году, согласно данным аналитической компании Chainaанализ.
Корейская Народно-Демократическая Республика разработала проверенные и надежные стратегии обмана своих жертв. К ним относятся убеждения компаний нанять их в качестве ИТ-специалистов и методы, используемые для моего обмана.
Северокорейцы расставили ловушку в середине марта. Приманкой стало сообщение от инвестора хедж-фонда, отправленное через Telegram, любимое приложение для обмена сообщениями в криптоиндустрии. Инвестор, имя которого я не называю, поскольку он был анонимным источником написанных мною историй, спросил меня, хочу ли я встретиться с кем-то по имени Адам Свик, который был директором по стратегии майнера биткойнов MARA Holdings.
Я ответил: «Конечно» (мой источник исторически был дружелюбным и отзывчивым), и меня поместили в групповой чат. Мой источник сообщил, что Свик изучает возможность создания новой казначейства цифровых активов и «имеет крупного потенциального первоначального инвестора».
Компания показалась сомнительной. Тем не менее, он был готов, по крайней мере, выслушать то, что сказал Свик. В Telegram он попросил меня запланировать с ним звонок, а неделю спустя источник из моего хедж-фонда прислал мне ссылку на Zoom. Я нажал на него.
Запущенная программа выглядела похожей на Zoom, которым я пользуюсь каждый день, хотя что-то в дизайне показалось мне немного странным, а звук не работал. Меня попросили обновить программное обеспечение, чтобы исправить проблему со звуком, и в то же время Свик написал мне: «Похоже, Zoom действует от вашего имени». Я нажал скачать обновление.
Мой адреналин резко возрос, когда я увидел, что ссылка в моем браузере не такая, как та, что была отправлена мне в Telegram, и попросил перенести встречу в Google Meet, еще один сервис видеоконференций. «Это создает у меня впечатление мошенничества», — написал я Свику и моему источнику, инвестору хедж-фонда.
Свик настаивал: «Не волнуйтесь. Я попробовал это на своем компьютере».
Я не стал запускать сценарий на своем MacBook и решил покинуть собрание Zoom. «Если вы хотите поговорить со мной, давайте сделаем это через Google Meet», — написал я в Telegram. Мой источник быстро выгнал меня из группового чата.
вирусные трюки
Выбегая из квартиры, чтобы посетить ИТ-отдел, я отправил сообщение Тейлору Монахану, опытному исследователю безопасности. Он является членом SEAL 911, группы добровольцев, которые помогают жертвам криптоатак. Я отправил ему скачанный сценарий и полученную ссылку на видеоконференцию.
«Это Северная Корея», — ответил он несколько мгновений спустя.
Если бы я запустил сценарий, хакеры украли бы мои пароли, мою учетную запись Telegram и всю имеющуюся у меня криптовалюту. (К счастью, у меня есть незначительное количество биткойнов и нескольких других криптовалют.)
Характер взломов означает, что редко можно быть на 100% уверенным в том, кто за ними стоит, но в случае моего чуть не промаха Монахан сказал мне, что ссылка, сценарий и даже фейковый аккаунт, связанный с Адамом Свиком, — все указывает на Северную Корею. Следователи используют комбинацию доказательств, включая анализ блокчейна, чтобы связать инциденты с КНДР. Два других исследователя безопасности, отслеживающих северокорейских хакеров, подтвердили его оценку, когда я отправил им сценарий и ссылку на видеоконференцию.
«Передай ему, Тэй передает привет, лол», — сказал Монахан, имея в виду северокорейца, который пришел за мной.
Монахан и другие исследователи безопасности отреагировали на сотни случаев в криптоиндустрии, связанных с фальшивыми вызовами по видеоконференциям. Схема шаблонная, но эффективная.
Хакеры берут под свой контроль учетную запись Telegram реального человека, а затем связываются с его контактами. Этим контактам предлагается войти в видеовызов, но звук всегда не работает. Жертвам предлагается запустить обновление, чтобы устранить проблему со звуком. Запустив скрипт, хакеры получают доступ к криптовалютам, паролям и учетной записи Telegram жертв. Фактически, та же группа северокорейцев, которая напала на меня, стояла за взломом, предназначенным для использования разработчиков программного обеспечения в целом, говорится в отчете Google, опубликованном в среду.
Я не являюсь биткойн-инвестором, использующим Lamborghini, но Северная Корея нацелена не только на богатых, сказал мне Монахан. Хакеры преследуют все большее число криптожурналистов, вероятно, потому, что в их учетных записях Telegram имеется значительный Rolodex. Весьма вероятно, что некоторые из этих контактов генерируют криптобогатство.
Подобно вирусу, захватывающему здоровые клетки, хакеры повреждают эти недавно скомпрометированные учетные записи и атакуют контакты пользователей. Вот так я собирался заразиться. Я оцепенел, потому что думал, что разговариваю с кем-то, кого знаю.
«Притворяюсь»
Почистив свой ноутбук, сменив пароли и обильно поблагодарив ИТ-администратора Fortune, я наконец позвонил своему источнику на его мобильный телефон. Неудивительно, что его аккаунт в Telegram был взломан в начале марта. «У меня было много контактов в Telegram, которых я не сохранил ни на телефоне, ни на компьютере», — сказал он. «Но для меня даже более того, вы чувствуете себя оскорбленным, зная, что кто-то выдает себя за вас, по сути, используя ваше имя, чтобы обманывать людей».
Хотя он несколько раз обращался в Telegram за помощью в течение трех недель, он не получил ответа. («Хотя Telegram делает все возможное для защиты своих учетных записей, ни одна платформа не может защитить пользователей, которых обманом заставили предоставить свои данные для входа злоумышленникам», — сказал мне представитель в своем заявлении, добавив, что приложение заморозило счет инвестора хедж-фонда после того, как я обратился к нему.)
Я также позвонил настоящему Свику. Хакеры выдавали себя за него через Telegram с начала февраля, а бывший руководитель MARA Holdings получил десятки текстовых сообщений и звонков с вопросами, почему он хочет назначать встречи. Он всегда извинялся. «Но некоторые из них сказали мне: «Чувак, почему ты извиняешься?» — сказал Свик. «И я подумал: «Я не знаю. Наверное, я прошу прощения за притворство. Мне очень жаль, что это произошло».
Свик не знал, почему хакеры выдавали себя за него, а мой источник, инвестор хедж-фонда, не знал, как его аккаунт в Telegram был скомпрометирован. Но в конце нашего телефонного разговора мы с инвестором наткнулись на возможный ответ.
Фейковый Свик был одним из последних людей, с которыми инвестор общался до того, как его аккаунт в Telegram был взломан. «Я подключился к нему в Zoom, но его звук не подключался», — сказал мой источник. «Я смутно помню, как пытался что-то скачать».
Другими словами, мой источник, вероятно, подвергся атаке тех же хакеров, которые пришли за мной. После того, как мы с ним поняли, что его ноутбук потенциально поврежден, инвестор хедж-фонда повесил трубку и вытер свой компьютер.
Я связался с фальшивым Адамом Свиком в Telegram. «Контролируется ли этот аккаунт кем-то, связанным с КНДР?» Я написал.
Я до сих пор не получил ответа.
