У різкому попередженні для глобального фінансово-технологічного сектору фірма Google з кібербезпеки Mandiant викрила складну ескалацію північнокорейських атак на криптовалюту, розкривши, що хакери, підтримувані державою, тепер використовують AI-генеровані дипфейки та фальшиві відеозустрічі для проникнення в криптовалютні компанії. Цей тривожний розвиток подій, про який повідомлялося на початку 2025 року, означає небезпечний новий фронт у цифровому шпигунстві та фінансових злочинах. Відтак, вся екосистема криптовалют стикається з безпрецедентними загрозами з боку цих технологічно просунутих фішингових кампаній.
Північнокорейські атаки на криптовалюту еволюціонують разом з технологіями AI
Останній аналітичний звіт Mandiant детально описує значний тактичний зсув з боку північнокорейських хакерських груп, зокрема Lazarus Group та Kimsuky. Історично ці актори покладалися на традиційне шкідливе ПЗ та соціальну інженерію. Однак зараз їх операції включають штучний інтелект для створення надзвичайно переконливих дипфейкових відео та аудіо. Ці дипфейки імітують керівників, розробників та венчурних капіталістів під час сфабрикованих зустрічей у Zoom та Microsoft Teams. Основна мета залишається фінансове викрадення, фінансування програм озброєння режиму та обхід міжнародних санкцій. Отже, спільнота фахівців з кібербезпеки повинна негайно пристосувати свої захисні стратегії.
Звіт, який проаналізував нещодавні інциденти проти фінтех-фірм, підтверджує, що цілеспрямованість атак є комплексною. Зловмисники орієнтуються на весь ланцюг постачання криптовалют. Це широкий спектр, що включає:
- Компанії-розробники програмного забезпечення, які створюють гаманці та платформи обміну.
- Блокчейн-розробники, які працюють над основними протокольними рівнями.
- Венчурні фонди, що інвестують у стартапи цифрових активів.
- Співробітники та керівництво C-рівня усіх цих організацій.
Механізми дипфейк-фішингу у сфері криптовалют
Ланцюг атаки зазвичай починається з ретельної розвідки. Хакери збирають загальнодоступні дані з LinkedIn, відео з конференцій та корпоративних сайтів. Далі вони використовують інструменти AI для клонування голосу та синтезу відео, щоб створити цифрові копії цільових осіб. Співробітник може отримати запрошення в календарі на відеодзвінок, що виглядає легітимно, нібито з відомим колегою чи партнером. Під час зустрічі дипфейк-аватар дає термінові інструкції, як-от затвердити шахрайську транзакцію чи поділитися чутливими API-ключами. Психологічний ефект від сприйняття та прослуховування довіреної особи робить ці схеми надзвичайно ефективними.
Експертний аналіз зростаючого ландшафту загроз
Експерти з кібербезпеки наголошують, що ця еволюція є природним розвитком для добре профінансованих, підтримуваних державою акторів. “Північнокорейські хакерські підрозділи завжди були одними з перших, хто використовує нові вектори атак,” зазначає колишній аналітик NSA, спеціалізований на кіберзагрозах. “Їхній перехід до соціальної інженерії на основі AI був неминучим. Бар’єр для створення переконливих дипфейків суттєво знизився, а потенційна вигода — прямий доступ до резервів криптовалюти — залишається астрономічно високою.” Звіт Mandiant це підтверджує, відстежуючи викрадені кошти у складних блокчейн-сервісах з відмивання, часто змішуючи їх з доходами від атак програм-здирників.
Хронологія цих атак показує чітке прискорення. Перші експерименти з фішингом із застосуванням AI з’явилися наприкінці 2023 року. До середини 2024 року кілька невдалих спроб були спрямовані на менеджерів середньої ланки. Повноцінні кампанії з дипфейк-відео, задокументовані Mandiant, стали активними у першому кварталі 2025 року. Такий швидкий розвиток підкреслює гнучкість та адаптивність зловмисників. Для порівняння, у таблиці нижче наведено еволюцію їхніх тактик:
| До 2023 | Листи зі шкідливим ПЗ, фейкові пропозиції роботи | Співробітники бірж | Помірний |
| 2023-2024 | AI-генерований голосовий фішинг (вішинг) | Персонал фінансового відділу | Зростаючий |
| 2025 | Багатокористувацькі відеоконференції з дипфейками | Виконавчий рівень (C-suite) та розробники | Високий (за даними Mandiant) |
Ширші наслідки для фінтеху і безпеки криптовалют
Наслідки цих північнокорейських атак на криптовалюту сягають далеко за межі миттєвих фінансових втрат. Вони підривають фундаментальну довіру, необхідну для цифрової співпраці у фінтех-галузі. Компанії тепер повинні перевіряти кожну віртуальну взаємодію, що потенційно уповільнює інновації та формування партнерств. Крім того, регулятори, ймовірно, відреагують більш суворими вимогами до безпеки для кастодіанів криптовалюти та бірж. Це може підвищити операційні витрати та тягар дотримання вимог по всьому сектору. Страхові компанії, що покривають цифрові активи, вже переглядають премії та умови страхування з урахуванням загрози дипфейків.
Попередження Mandiant також вказує на критичну вразливість віддалених і гібридних робочих середовищ. Пандемія зробила відеоконференції основним бізнес-інструментом. Зловмисники експлуатують цю культурну зміну. Захисні заходи тепер повинні включати технічний контроль та суворі протоколи верифікації людини. Наприклад, компанії впроваджують системи кодових слів для транзакцій з високою вартістю та вимагають другого підтвердження через окремий, заздалегідь встановлений канал зв’язку. Реакція галузі визначить її стійкість на наступне десятиліття.
Проактивні стратегії захисту від загроз на основі AI
Боротьба з цією загрозою потребує багаторівневого підходу до безпеки. Технологічних рішень недостатньо. Групи безпеки рекомендують поєднання передових методів виявлення та навчання персоналу. Основні захисні стратегії включають впровадження інструментів на основі AI, розроблених для виявлення дипфейків шляхом аналізу цифрових відбитків у відео- та аудіофайлах. Крім того, регулярне проведення реалістичних тренувань із фішингу, що включають сценарії з дипфейками, навчає персонал розпізнавати маніпуляції. Встановлення суворої фінансової політики управління, наприклад, вимога кількох незалежних підтверджень для будь-якого переказу активів, додає важливий процедурний бар’єр. Нарешті, обмін інформацією про загрози по всій криптовалютній індустрії через ISAC (Інформаційно-аналітичні центри) допомагає організаціям випереджати нові тактики.
Висновок
Звіт Mandiant про північнокорейські атаки на криптовалюту із застосуванням AI-дипфейків є критичним сигналом для пробудження для глобальної спільноти криптовалют і фінтеху. Поєднання передового штучного інтелекту із традиційною соціальною інженерією створює потужну і масштабовану загрозу. Ця кампанія спрямована на всю інфраструктуру галузі — від розробників ПЗ до венчурних капіталістів. Зрештою, підтримка безпеки екосистеми вимагає постійної пильності, інвестицій у технології протидії AI та фундаментальної зміни способів перевірки цифрової довіри. Події початку 2025 року, ймовірно, залишаться в пам’яті як момент, коли боротьба за кібербезпеку перейшла у нову, складнішу фазу.
Поширені запитання
Q1: Яка основна мета цих дипфейк-атак із Північної Кореї?
Основна мета — фінансове викрадення. Хакери, підтримувані державою, прагнуть викрасти криптовалюту для фінансування діяльності північнокорейського режиму і обходу міжнародних економічних санкцій, конвертуючи цифрові активи у використовується іноземну валюту.
Q2: Як компанія може переконатися, що відеодзвінок є справжнім?
Впроваджуйте протоколи верифікації, наприклад, використання заздалегідь визначеної безпечної фрази на початку зустрічі, підтвердження деталей через окремий, відомий канал зв’язку (наприклад, перевірений чат у Signal чи Slack) та будьте підозрілими до термінових запитів на переказ коштів чи облікових даних під час незапланованих дзвінків.
Q3: Чи перебувають у зоні ризику лише великі криптовалютні біржі?
Ні. Звіт Mandiant зазначає, що атаки охоплюють всю індустрію. Це включає невеликі стартапи з розробки ПЗ, окремих блокчейн-розробників, венчурні фонди та великі біржі. Будь-який суб’єкт, пов’язаний із криптовалютною вартістю, може стати ціллю.
Q4: Чому AI-дипфейк-фішинг настільки ефективний?
Він експлуатує високий рівень соціальної довіри і залежність людського мозку від візуальних та аудіальних підказок. Бачити і чути, здавалося б, реальну особу, особливо знайомого колегу, різко знижує критичну підозрілість і обходить багато традиційних захистів фішингу на основі електронної пошти.
Q5: Що повинен робити співробітник, якщо підозрює, що став ціллю?
Він має негайно відключитися від дзвінка, не виконуючи жодних вимог, повідомити про інцидент внутрішній команді безпеки і зберегти всі докази (посилання на зустріч, імена учасників). Далі команда безпеки повинна ініціювати свій план реагування на інциденти і, можливо, залучити партнерів з обміну інформацією про загрози на рівні галузі.
