Журналіст журналу Forbes: Навіть знаючи про безчинства північнокорейських хакерів, я все одно потрапив у їхню пастку

Автор: Ben Weiss, журнал Fortune

Переклад: Luffy, Foresight News

У другій половині березня я отримав тривожне повідомлення від IT-адміністратора журналу Fortune. «Є процес, який експлуатує вразливість системи», — писав він, — «можливо, хтось уже проник у мій комп’ютер. Мені потрібно його зупинити». У ту ж мить я злякався.

Згідно з логами, які IT-відділ перевірив згодом, того ж дня о 11:04 ранку я завантажив файл, який умів здійснювати кейлогінг, запис екрана, крадіжку паролів і надавати доступ до моїх різноманітних застосунків.

Я миттєво закрив ноутбук, вискочив із квартири в Брукліні й побіг до найближчої станції метро. Поки їхав до редакції, я написав редактору: «Схоже, мене “вудили” північнокорейські хакери, смішно».

Я давно висвітлюю новини про Північну Корею і знаю, що ця країна спеціально націлена на американських інвесторів. Але я аж ніяк не очікував, що ця ганебна банда хакерів візьме в роботу й мене — та ще й змусить на власному досвіді відчути, наскільки витончено вони вміють обманювати.

Схоже на шахрайство

Оцей «королівський притулок відлюдників» роками дедалі активніше дошкуляє криптовалютній індустрії. Через санкції Північна Корея фактично відрізана від глобальної фінансової системи, тож їй доводиться підтримувати роботу завдяки державним криптовалютним крадіжкам.

За даними аналітичної компанії з криптоданих Chainalysis, лише протягом 2025 року пов’язані з Північною Кореєю хакери викрали криптовалюти на 2 мільярди доларів — приблизно на 50% більше, ніж у попередньому році.

У Північної Кореї вже склалася відпрацьована схема виманювання: вона включає переконання компаній наймати їх на посади IT-працівників — і цього разу використали саме цей сценарій, щоб обдурити мене.

Північнокорейські хакери розставили пастку ще в середині березня. Зачіпкою стала Telegram-історія (повідомлення) від одного інвестора, який працює з хедж-фондами; сам застосунок — один із найпоширеніших месенджерів у криптовалютній індустрії. Ім’я цього інвестора я не можу розголошувати: раніше він був моїм анонімним інформатором у матеріалах, які я готував.

Він запитав, чи хочу я познайомитися з людиною на ім’я Adam Swick — колишнім головним стратегом MARA Holdings, біткоїн-майнінгової компанії. Я відповів, що так — він завжди був дуже доброзичливим і надійним. Після цього мене додали в груповий чат.

Він сказав, що Swick готує створення нового цифрового «скарбничного» фонду для цифрових активів: «вже є потенційний великий seed-інвестор». Проєкт звучав підозріло, але я все ж вирішив вислухати, що саме він має сказати.

Він запропонував зателефонувати в Telegram. Через тиждень цей інформатор надіслав мені посилання, яке виглядало як для зустрічі в Zoom. Я відкрив його.

Інтерфейс стартової програми виглядав майже так само, як Zoom, яким я користуюся щодня, але в деталях дизайну було щось не так, а аудіо взагалі не працювало. Система повідомила, що потрібно оновити програму, щоб виправити проблему зі звуком, а паралельно Swick надіслав повідомлення: «Схоже, у тебе з Zoom щось не так». Я натиснув, щоб завантажити пакет оновлення.

Коли я помітив, що посилання в браузері не збігається з тим, яке надіслав Telegram, я одразу насторожився. Я запропонував перенести зустріч у Google Meet. «Мені здається, це шахрайство», — написав я в групі Swick та тому інформатору.

Swick продовжував наполягати: «Не хвилюйся, я щойно перевірив у себе на комп’ютері — усе працює».

Я не запустив той скрипт на Mac і без вагань вийшов із Zoom-зустрічі. «Хочеш поговорити — робімо в Google Meet», — відповів я в Telegram. Мій інформатор одразу ж видалив мене з групи.

Вірусне ланцюгове проникнення

Я вибіг із квартири й побіг у бік IT-відділу, паралельно написавши старшому досліднику з безпеки Taylor Monahan. Вона є членом організації SEAL 911 — волонтерської спільноти, яка допомагає потерпілим від крадіжок криптовалют. Я надіслав їй завантажений скрипт і посилання на відеодзвінок.

«Це зробили північнокорейські хакери», — відповіла вона за кілька секунд.

Якби тоді я запустив той скрипт, хакери вкрали б мої паролі, акаунт у Telegram і всі мої криптовалюти, які я тримав. На щастя, у мене було лише трохи біткоїнів і кілька інших криптоактивів.

Характер атаки визначає, що складно на 100% встановити виконавця, але в моєму випадку Monahan сказала, що всі зачіпки — посилання, скрипт, навіть підроблений акаунт, що видавав себе за Swick — вказують на Північну Корею. Дослідники поєднають кілька типів доказів, зокрема аналіз блокчейну, щоб прив’язати інцидент до Північної Кореї. Ще два дослідники з безпеки, які давно відстежують північнокорейських хакерів, після того як я надіслав їм скрипт і посилання, також підтвердили це припущення.

«Передай йому від мене привіт, ха-ха», — сказала Monahan, маючи на увазі північнокорейського хакера, який націлився на мене.

Monahan і інші дослідники з безпеки вже опрацьовували сотні кейсів із фішингом під фальшиві відеодзвінки в криптовалютній індустрії. Схема шаблонна, але дуже ефективна.

Хакери спершу беруть під контроль реальний акаунт користувача в Telegram, а потім виходять на людей із його контактів. Жертву просять приєднатися до відеодзвінка, але під час розмови аудіо завжди не працює належним чином. Потім жертву підштовхують запустити «оновлення для виправлення аудіо». Щойно скрипт виконують, хакери отримують доступ до криптоактивів жертви, її паролів і акаунта в Telegram.

Фактично, в опублікованому в середу звіті Google зазначено, що ці північнокорейські хакери, які націлилися на мене, також планують атаку проти широкого кола розробників програмного забезпечення.

Я не біткоїн-багатій із Ламборджіні, але Monahan розповіла, що північнокорейські хакери не обмежуються лише багатими людьми. Вона з’ясувала, що дедалі більше журналістів у криптовалютній індустрії стають мішенню, імовірно тому, що в їхніх Telegram-каналах зібрано багато контактів. Серед цих контактів, за дуже великою ймовірністю, ховаються чимало біткоїн-криптовалютних багатіїв.

Як і вірус, що захоплює здорові клітини, хакери отримують доступ до цих акаунтів, а тоді атакують контакти, що зберігаються в них. Саме так я ледь не попався. Я вважав, що спілкуюся з знайомим, тож розслабився.

«Підроблений я»

Після того як я повністю відформатував комп’ютер, змінив усі паролі й багаторазово подякував IT-адміністратору, я зрештою подзвонив тому інформатору. Як і очікувалося, його акаунт у Telegram було викрадено ще на початку березня.

«У моєму Telegram багато контактів, але на телефоні й комп’ютері я їх не зберігав», — сказав він. «Але ще гірше те, що хтось видає себе за мене й, використовуючи мою особу, обманює людей. Відчуття порушення просто жахливе».

І хоча він за ці три тижні неодноразово звертався в Telegram по допомогу, відповіді так і не було. У заяві один із речників Telegram сказав мені: «Хоча Telegram робить усе можливе, щоб захистити акаунти, жодна платформа не може повністю зупинити користувачів від того, щоб їх обманули». Далі він додав, що після того, як я зв’язався з ними, платформа заморозила акаунт цього інвестора з хедж-фонду.

Я також зв’язався з справжнім Adam Swick. Починаючи від початку лютого, хтось у Telegram видавав себе за нього: колишній топменеджер MARA отримував безліч повідомлень і дзвінків із питаннями, чому він призначає зустріч. У кожному випадку йому лишалося лише вибачатися.

«Але дехто інколи запитує мене: “Брате, за що ти вибачаєшся?”» — сказав Swick. «Тоді я можу тільки відповісти: “Я не знаю. Я вибачаюся від імені підробного мене… Дуже шкода, що таке сталося”.»

Swick не знає, навіщо хакерам потрібне його ім’я, а мій інформатор не розуміє, як саме вкрали його акаунт у Telegram. Але майже перед завершенням дзвінка ми обоє раптом знайшли можливу відповідь.

Серед останніх, хто зв’язувався з цим інвестором у Telegram перед тим, як викрали його акаунт, виявився й підроблений Swick. «Я зробив із ним зустріч у Zoom — а в нього не підключалося аудіо», — каже мій інформатор. «Я пригадую, що тоді я щось завантажував».

Іншими словами, мій інформатор, імовірно, також став мішенню тієї ж групи хакерів. Як тільки ми усвідомили, що його комп’ютер, можливо, теж інфікований, інвестор із хедж-фонду одразу поклав слухавку й відформатував свій комп’ютер.

У Telegram я написав підробленому Adam Swick повідомлення: «Цей акаунт контролюють північнокорейські хакери?»

Поки що я не отримав жодної відповіді.