Киберпреступники из Северной Кореи за этот год украли 3 триллиона вон... ИИ начал отслеживать отпечатки пальцев

В этом году объем виртуальных активов, похищенных Северной Кореей, достиг примерно 3 триллионов вон, что вновь привлекло внимание к киберугрозам на государственном уровне. Особенно стоит отметить, что хотя количество атак снизилось, ущерб от них стал значительно больше, а технологии отслеживания на базе искусственного интеллекта становятся основным средством выявления следов хакеров из Северной Кореи.

По данным глобальной компании по анализу блокчейн-данных Chainalysis, связанные с Северной Кореей хакерские организации за 2025 год похитили виртуальных активов на сумму не менее 20,2 миллиарда долларов (около 3 триллионов вон). Это на 51% больше по сравнению с предыдущим годом, главным образом из-за повышения точности методов атаки. В числе украденных средств доля Северной Кореи составляет около 60% от общего ущерба от криптовалютных хакерских атак.

Хакеры из Северной Кореи изменили свою стратегию: они больше не проводят безразличные атаки, как раньше, а сосредотачиваются на нескольких высокоценных целях. Они проводят долгосрочную разведку централизованных бирж или мостовых платформ с низкой прозрачностью (средств, соединяющих разные виртуальные активы), а затем осуществляют однократные атаки для вывода крупных сумм. После этого они делят эти средства и переводят их через тысячи кошельков, этот процесс называется «剥皮链» (цепочка очистки). Это метод отмывания денег, при котором средства разбиваются на мелкие части и переводятся повторяющимися малыми суммами, скрывая их происхождение, подобно очистке лука.

Интересно, что даже в таких сложных маскировках потока средств технологии искусственного интеллекта могут выявлять определённые «модели поведения». ИИ не фокусируется на отдельных транзакциях, сделанных так, чтобы оставить следы, а анализирует десятки факторов — время, частоту, структуру переводов, способы отправки и т.д., чтобы выявить «подписные признаки поведения» определённых групп. Например, если после нескольких месяцев скрытной деятельности в определённое время происходит концентрированный перевод или суммы транзакций регулярно делятся, вероятность связи с организациями, связанными с Северной Кореей, значительно возрастает.

Эксперты отмечают, что системы противодействия отмыванию денег в традиционных финансовых структурах обычно отслеживают транзакции только выше определённой суммы, тогда как искусственный интеллект склонен считать подозрительными мелкие, но повторяющиеся и закономерные транзакции. Это означает, что по сравнению с одной крупной переводом, повторяющиеся мелкие операции оставляют более чёткий «отпечаток». Такой тщательный расчёт со стороны северокорейских хакеров в условиях искусственного интеллекта наоборот выявляет их слабые стороны.

Атаки на виртуальные активы уже превзошли чисто экономический ущерб и могут перерасти в угрозу безопасности, что вызывает всё больший интерес международного сообщества. Министерство финансов США и Комитет по санкциям ООН предупреждают, что доходы от киберпреступлений Северной Кореи фактически используются для финансирования разработки ядерного оружия и баллистических ракет. В конечном итоге, с ростом роли искусственного интеллекта как основного инструмента мониторинга виртуальных активов, ожидается, что в области кибербезопасности роль цифровых технологий станет всё более важной.