Totul s-a întâmplat noaptea și în câteva minute. Directorul general al portalului de schimb de criptomonede Bybit, Ben Zhou, a efectuat de la computerul de acasă o serie de transferuri de rutină. După un timp, a fost sunat de la compania sa pentru a i se spune că rezervele sale de Ethereum, a doua cea mai folosită criptomonedă după Bitcoin, în valoare de 1,5 miliarde de dolari (aproape 1,4 miliarde de euro la cursul de schimb), dispăruseră. Până atunci, etherii fuseseră deja transferați către mii de portofele digitale străine. Tocmai suferiseră cel mai mare furt din istorie. FBI-ul a confirmat cinci zile mai târziu ceea ce unii analiști suspectau de la bun început: lovitura a fost opera grupului Lazarus, un grup de hackeri susținut de guvernul Coreei de Nord, care a devenit flagelul sectorului cripto.

Zhou s-a străduit să pară calm pe rețelele sociale imediat după atacul cibernetic, împărtășind chiar și pulsul indicat de ceasul său inteligent pentru a transmite că totul este sub control. Antreprenorul a garantat clienților săi afectați de furt că li se vor returna 100% din depozite. Temându-se că panica s-ar putea răspândi în sector, unii concurenți ai platformei Bybit, precum Byget, i-au împrumutat fără dobândă etheri în valoare de 100 de milioane pentru a putea returna depozitele.

Dar răul fusese deja făcut. La mai puțin de 24 de ore după aceea, clienții Bybit retrăseseră criptomonede în valoare de aproximativ 10 miliarde de dolari, aproape jumătate din volumul total gestionat de platformă. Valoarea bitcoinului, criptomoneda de referință, a scăzut cu 20% în ziua de după atacul cibernetic, în cea mai proastă zi a sa de la falimentul din 2022 al FTX, exchange-ul condus de Sam Bankman-Fried, «cripto-fratele» la modă până în acel moment.

Mai multe informații: Alejandro Cáceres, «hackerul» care a lăsat Coreea de Nord fără internet de acasă: «Atacul meu a fost un răspuns la încercarea lor de a mă spiona».

A fura 1,5 miliarde de dolari dintr-o singură lovitură nu este simplu. Lazarus, termenul umbrelă care cuprinde diferitele echipe de hackeri finanțate de Coreea de Nord, se reafirmă ca referință mondială în criminalitatea cibernetică. Înainte de lovitura de la Bybit, cel mai mare furt cibernetic cunoscut, din 2022, le aparținea tot lor: 625 de milioane de dolari în etheri sustrași de pe un site legat de jocul video Axie Infinity. Criptomonedele sunt o mină de aur pentru Lazarus: în 2024, au furat criptomonede în valoare de 1,34 miliarde de dolari în 47 de incidente, conform unui raport Chainalysis. În 2023, au fost 660 de milioane obținute prin 20 de acțiuni distincte.

Lovitura secolului

A trecut o lună de la marea lovitură, iar rapoartele forensice au dezvăluit multe detalii ale operațiunii Lazarus. Toți analiștii consultați sunt de acord în a o descrie ca pe o muncă la îndemâna foarte puțini, atât prin planificarea sa meticuloasă, cât și prin precizia cu care a fost executată. «Lovitura asupra Bybit a arătat un nivel de sofisticare extrem de ridicat din partea Lazarus. Au combinat ingineria socială, cunoașterea profundă a infrastructurilor DeFi [finanțe descentralizate] și tehnici de persistență avansată pentru a executa unul dintre cele mai îndrăznețe jafuri cibernetice de până acum», descrie Hervé Lambert, director de operațiuni globale la Panda Security.

Cheia succesului hackerilor nord-coreeni este că au reușit să intercepteze un portofel rece (cold wallet), cele care nu au conexiune la internet, considerate până acum cele mai sigure pentru păstrarea criptomonedelor. De aceea, Bybit stoca în unul dintre acestea rezervele sale mari de Ethereum. Cum au reușit să acceseze acele fonduri? Bybit trebuia să transfere periodic criptomonede din portofelul rece într-un portofel fierbinte (hot wallet - conectat la internet) pentru a gestiona operațiunile zilnice. Asta a făcut de acasă Ben Zhou pe 21 februarie.

Sau, mai bine zis, asta a crezut că face. Hackerii Lazarus au reușit să intercepteze transferurile și să le redirecționeze către mai multe conturi aflate sub controlul lor. Pentru a reuși acest lucru, au atacat o terță parte: furnizorul portofelului folosit de exchange, platforma Safe{Wallet}. Lazarus a reușit să preia controlul asupra computerului unuia dintre dezvoltatorii de software ai Safe{Wallet} și, odată ajunși în infrastructura acelei platforme, au inserat un cod malițios ascuns în aplicația sa. Este ceea ce în jargon se numește un supply chain attack (atac asupra lanțului de aprovizionare), un atac asupra unui partener tehnologic al victimei.

«Acest malware de precizie chirurgicală a fost conceput să se activeze doar în condiții specifice, trecând neobservat de apărările obișnuite», explică Lambert. Când Zhou a inițiat transferurile de rutină din portofelul rece, codul malițios s-a executat, manipulând tranzacțiile pentru a le trimite către portofelele atacatorilor în loc de cele legitime. «Imediat după efectuarea tranzacției, hackerii și-au șters urmele: în două minute au încărcat noi versiuni curate ale codului JavaScript în depozitul Safe{Wallet} din [cloud-ul] AWS, eliminând ușa din spate pe care o folosiseră. Întregul atac a avut loc cu o rapiditate și subtilitate atât de mari încât, până când Bybit a detectat scurgerea anormală a fondurilor sale, era deja prea târziu: etherii erau controlați de Lazarus».

Studenți nord-coreeni folosind calculatoare la Complexul Sci-Tech din Phenian, în iunie 2017.

Bybit a lansat o serie de recompense pentru cei care reușesc să blocheze criptomonedele furate, împiedicând schimbul acestora. «Acest tip de program este obișnuit, de exemplu, în găsirea vulnerabilităților în software sau hardware (bug bounty), dar aplicarea sa ca răspuns la un incident de securitate este, cel puțin, curioasă», opinează José Rosell, CEO al S2Grupo. Nu au obținut mare lucru pe această cale: la cinci zile după atac, «deja fuseseră spălați 400 de milioane prin transferuri prin multiple portofele intermediare, conversia în diferite criptomonede și utilizarea schimburilor descentralizate și a punților între lanțuri pentru a ascunde urma», estimează un raport al firmei de consultanță specializate TRM Labs. Tocmai anonimatul și lichiditatea rapidă oferite de criptomonede, comparativ cu banii bancari tradiționali, le fac atât de atractive pentru activitățile ilicite.

Furt pentru gloria regimului

Deși niciuna nu recunoaște oficial, multe țări finanțează și sprijină grupuri de hackeri de elită, cunoscute sub numele de APT (amenințări avansate persistente). Acestea sunt organizații foarte bine structurate, cu profesioniști de prim rang, ale căror capacități sunt adesea la egalitate cu cele ale serviciilor secrete ale marilor puteri. Cu o diferență: acționează, presupus, fără steag. De obicei, se dedică spionajului industrial, sabotajului sau obținerii de documente militare sau de valoare strategică.

Abordarea Coreei de Nord este diferită. Echipele sale de hackeri sunt concentrate în principal pe obținerea de fonduri pentru regim. Și au găsit în criptomonede o sursă importantă de venituri. Recenta lovitură de la Bybit (1,5 miliarde de dolari) și cea de la Axie Infinity (660 de milioane) sunt o dovadă bună în acest sens. Portalul specializat TRM Labs calculează că hackerii nord-coreeni au obținut cel puțin 5 miliarde de dolari în criptomonede doar din 2021. Iar un raport al Consiliului de Securitate al Națiunilor Unite estimează că fondurile aduse de aceste grupuri reprezintă jumătate din valuta care ajunge în Coreea de Nord.

A fost Kim Jong-un, nepotul fondatorului dinastiei de dictatori, cel care a dedus că regimul poate profita mult de pe urma spațiului cibernetic. Potrivit jurnalistei Anna Fifield în cartea sa «Marele succesor» (Capitán Swing, 2021), a pariat pe asta imediat ce a preluat conducerea țării, în 2009. «Studenții care arată aptitudini posibile [pentru informatică], unii de doar 11 ani, sunt trimiși la școli speciale și apoi la Universitatea de Automatizare din Phenian», unde «de-a lungul a cinci ani sunt învățați să spargă sisteme și să creeze viruși informatici», scrie Fifield.

Serviciile secrete din SUA și Regatul Unit, precum și Microsoft, atribuie grupului Lazarus lansarea în 2017 a WannaCry 2.0, cel mai mare atac ransomware din istorie. Acest virus informatic a sechestrat aproximativ 300.000 de computere din 150 de țări, inclusiv cele ale sistemului sanitar din Regatul Unit, și a cerut o răscumpărare în schimbul eliberării lor. A fost foarte mediatizat și atacul cibernetic împotriva Sony Pictures din 2014, producător pe care l-a atacat pentru realizarea unui film care îl ironiza pe «Liderul Iubit și Respectat», una dintre formele oficiale de adresare către Kim Jong-un. Mai recent, s-a aflat că au reușit să-și plaseze hackerii ca angajați în aproximativ o sută de companii tehnologice pentru a fura informații sensibile și bani.

«Echipa noastră de cercetare a identificat noi campanii care arată un nivel de sofisticare al acestui grup», spune Marc Rivero, responsabil de cercetarea securității la Kaspersky. «Un exemplu este operațiunea DreamJob, cunoscută și sub numele de DeathNote, în care au folosit malware avansat pentru a compromite angajații unei companii nucleare din Brazilia».