В резком предупреждении для мирового финансово-технологического сектора компания Mandiant, занимающаяся кибербезопасностью и принадлежащая Google, раскрыла сложную эскалацию северокорейских атак на криптовалюту, сообщив, что поддерживаемые государством хакеры теперь используют сгенерированные ИИ дипфейки и поддельные видеоконференции для проникновения в криптовалютные компании. Это тревожное развитие событий, о котором сообщили в начале 2025 года, знаменует опасный новый рубеж в цифровом шпионаже и финансовых преступлениях. В результате вся экосистема криптовалют сталкивается с беспрецедентными угрозами со стороны этих технологически продвинутых фишинговых кампаний.
Северокорейские криптоатаки эволюционируют с помощью технологий ИИ
Последний аналитический отчет Mandiant подробно описывает значительный тактический сдвиг со стороны северокорейских хакерских группировок, в частности Lazarus Group и Kimsuky. Исторически эти акторы полагались на традиционные вредоносные программы и социальную инженерию. Однако теперь их операции интегрируют искусственный интеллект для создания крайне убедительных дипфейков с видео и аудио. Эти дипфейки выдают себя за руководителей, разработчиков и венчурных капиталистов во время инсценированных встреч в Zoom и Microsoft Teams. Главная цель остается прежней — финансовое хищение, финансирование оружейных программ режима и обход международных санкций. Поэтому сообществу специалистов по кибербезопасности необходимо немедленно адаптировать свои защитные стратегии.
В отчете, в котором анализируются недавние инциденты против финтех-компаний, подтверждается, что атаки носят комплексный характер. Злоумышленники нацелены на всю цепочку поставок в сфере криптовалют. Этот широкий охват включает:
- Разработчиков программного обеспечения, создающих кошельки и биржевые платформы.
- Блокчейн-разработчиков, работающих над основными слоями протоколов.
- Венчурные фонды, инвестирующие в стартапы цифровых активов.
- Сотрудников и руководителей высшего звена всех этих организаций.
Механика дипфейк-фишинга в криптовалютах
Цепочка атаки обычно начинается с тщательной разведки. Хакеры собирают общедоступные данные из LinkedIn, видео с конференций и корпоративных сайтов. Затем они используют инструменты ИИ для клонирования голоса и синтеза видео, чтобы создать цифровые копии выбранных лиц. Сотрудник может получить приглашение в календаре на видеозвонок, который выглядит вполне легитимно — якобы с известным коллегой или партнером. Во время встречи дипфейк-аватар отдает срочные указания, например, одобрить мошенническую транзакцию или поделиться конфиденциальными API-ключами. Психологический эффект от визуального и аудиального присутствия доверенного лица делает такие схемы исключительно эффективными.
Экспертный анализ нарастающего ландшафта угроз
Эксперты по кибербезопасности подчеркивают, что эта эволюция является естественным развитием для хорошо финансируемых государственных акторов. «Северокорейские хакерские подразделения всегда были ранними последователями новых векторов атак», — отмечает бывший аналитик NSA по киберугрозам. «Их переход к социальным атакам на основе ИИ был неизбежен. Барьер для создания убедительных дипфейков резко снизился, а потенциальная выгода — прямой доступ к криптовалютным резервам — остается астрономически высокой». Отчет Mandiant подтверждает это, отслеживая украденные средства до сложных сервисов отмывания на блокчейне, часто смешивая их с доходами от атак программ-вымогателей.
Хронология этих атак демонстрирует явное ускорение. Первые эксперименты с фишингом, поддерживаемым ИИ, появились в конце 2023 года. К середине 2024 года были зафиксированы несколько неудачных попыток, нацеленных на менеджеров среднего звена. Полноценные дипфейк-видеокампании, задокументированные Mandiant, начали работать в первом квартале 2025 года. Такое быстрое развитие подчеркивает гибкость и адаптивность злоумышленников. Для сравнения ниже приведена таблица с эволюцией их тактик:
| До 2023 | Письма с вредоносным ПО, фейковые предложения о работе | Сотрудники бирж | Средний |
| 2023-2024 | Голосовой фишинг на основе ИИ (вишинг) | Сотрудники финансовых отделов | Растущий |
| 2025 | Многопользовательские видеоконференции с дипфейками | Топ-менеджеры и разработчики | Высокий (по данным Mandiant) |
Более широкие последствия для финтеха и безопасности криптовалют
Последствия этих северокорейских криптоатак выходят далеко за пределы непосредственных финансовых потерь. Они разрушают фундамент доверия, необходимого для цифрового взаимодействия в финтех-индустрии. Теперь компаниям необходимо проверять каждое виртуальное взаимодействие, что может замедлить инновации и создание партнерств. Кроме того, регулирующие органы, скорее всего, отреагируют введением более строгих стандартов безопасности для кастодианов и бирж криптовалют. Это может привести к росту операционных расходов и увеличению бремени соблюдения требований по всему сектору. Страховые компании, работающие с цифровыми активами, уже пересматривают страховые премии и условия покрытия в свете угрозы дипфейков.
Предупреждение Mandiant также подчеркивает критическую уязвимость в условиях удаленной и гибридной работы. Пандемия сделала видеоконференции основным инструментом делового общения. Злоумышленники эксплуатируют этот культурный сдвиг. Защитные меры теперь должны включать технические средства контроля и строгие протоколы человеческой верификации. Например, компании внедряют системы кодовых слов для транзакций с высокой стоимостью и требуют вторичного подтверждения через отдельный, заранее установленный канал связи. Реакция отрасли определит ее устойчивость на следующее десятилетие.
Проактивные стратегии защиты от угроз на базе ИИ
Борьба с этой угрозой требует многоуровневого подхода к безопасности. Одних только технологических решений недостаточно. Службы безопасности рекомендуют сочетание передовых средств обнаружения и обучения сотрудников. Ключевые защитные стратегии включают внедрение инструментов на базе ИИ, предназначенных для выявления дипфейков путем анализа цифровых отпечатков в видео- и аудиофайлах. Кроме того, регулярное проведение реалистичных фишинговых симуляций с учетом сценариев дипфейков обучает персонал распознавать манипуляции. Установление строгих финансовых процедур, таких как требование нескольких независимых одобрений для любой передачи активов, добавляет важный процессуальный барьер. Наконец, обмен информацией об угрозах через ISACs (Центры обмена и анализа информации) помогает организациям опережать появляющиеся тактики.
Заключение
Отчет Mandiant о северокорейских атаках с использованием дипфейков на базе ИИ служит важным сигналом тревоги для глобального криптовалютного и финтех-сообщества. Сочетание передового искусственного интеллекта с традиционной социальной инженерией создает мощную и масштабируемую угрозу. Эта кампания нацелена на всю инфраструктуру отрасли — от разработчиков ПО до венчурных капиталистов. В конечном итоге поддержание безопасности экосистемы требует постоянной бдительности, инвестиций в контртехнологии ИИ и фундаментального пересмотра способов проверки цифрового доверия. События начала 2025 года, вероятно, войдут в историю как момент, когда битва за кибербезопасность перешла на новый, более сложный этап.
Часто задаваемые вопросы
В1: Какова основная цель этих северокорейских дипфейк-атак?
Основная цель — финансовое хищение. Поддерживаемые государством хакеры стремятся украсть криптовалюту для финансирования деятельности северокорейского режима и обхода международных экономических санкций, конвертируя цифровые активы в используемую иностранную валюту.
В2: Как компания может проверить легитимность видеозвонка?
Внедрите протоколы проверки, например использование заранее согласованной секретной фразы в начале встречи, подтверждение данных через отдельный, проверенный канал связи (например, проверенный чат в Signal или Slack), а также будьте подозрительными к срочным запросам о переводе средств или предоставлении учетных данных во время незапланированных звонков.
В3: Только ли крупные криптовалютные биржи находятся в зоне риска?
Нет. В отчете Mandiant говорится, что атаки охватывают всю индустрию. Это включает небольшие стартапы, отдельных блокчейн-разработчиков, венчурные фонды и крупные биржи. Любая организация, связанная с криптовалютными ценностями, является потенциальной целью.
В4: Почему дипфейк-фишинг на базе ИИ настолько эффективен?
Он эксплуатирует высокий уровень социального доверия и склонность человеческого мозга полагаться на визуальные и аудиальные сигналы. Визуальный и аудиальный контакт с, казалось бы, реальным человеком, особенно с известным коллегой, резко снижает критичность восприятия и обходит многие традиционные защиты от фишинга по электронной почте.
В5: Что должен сделать сотрудник, если подозревает, что стал целью атаки?
Следует немедленно отключиться от звонка, не выполняя никаких требований, сообщить о происшествии своей внутренней службе безопасности и сохранить все доказательства (ссылки на встречи, имена участников). Служба безопасности должна затем инициировать свой план реагирования на инциденты и, при необходимости, привлечь партнеров по обмену информацией об угрозах.
