Maxfiy suratga olingan videoda soxta noutbukdan Shimoliy Koreya josuslari xavfsizlik jamoangizni qanday aldab o‘tayotgani fosh etildi

Koreyalik operativlar xavfsizlik tadqiqotchilari ularni tuzoqqa tushirilgan “dasturchi noutbuki”ga jalb qilganidan so‘ng, jonli kamerada qo‘lga tushdi va Lazarus bilan bog‘liq guruh AQSh kripto ish o‘rinlari zanjiriga haqiqiy AI yollash vositalari va bulut xizmatlari orqali qanday kirishga harakat qilganini qayd etdi.

Davlat homiyligidagi kiberjinoyatchilikdagi bu evolyutsiya BCA LTD, NorthScan va ANY.RUN zararli dastur tahlil platformasi tadqiqotchilari tomonidan real vaqt rejimida qayd etilgan.

Koreyalik hujumchini qo‘lga olish

Hacker News xabariga ko‘ra, muvofiqlashtirilgan maxsus operatsiyada jamoa Lazarus Groupni jalb qilish uchun “honeypot” — haqiqiy dasturchi noutbuki sifatida niqoblangan kuzatuv muhiti — joylashtirgan.

Olingan videoyozuv sanoatga Shimoliy Koreya bo‘linmalari, xususan, Famous Chollima bo‘limi, an’anaviy xavfsizlik devorlarini qanday qilib oddiygina maqsad kompaniyaning inson resurslari bo‘limi tomonidan ishga olinib aylanib o‘tayotganini eng aniq ko‘rsatib berdi.

Operatsiya tadqiqotchilar dasturchi shaxsini yaratib, “Aaron” nomi bilan tanilgan yollovchi orqali suhbatga rozilik berganidan so‘ng boshlandi. Standart zararli dastur yuklamasini yuborish o‘rniga, yollovchi maqsadni Web3 sohasida keng tarqalgan masofaviy ishga yo‘naltirdi.

Tadqiqotchilar “noutbuk”ga — aslida AQShda joylashgan ish stantsiyasini taqlid qiluvchi, kuchli nazorat ostidagi virtual mashinaga — kirish huquqini berganlarida, operativlar kod zaifliklaridan foydalanishga harakat qilmadi.

Buning o‘rniga, ular o‘zlarini namunali xodim sifatida ko‘rsatishga e’tibor qaratdi.

Ishonchni shakllantirish

Boshqariladigan muhitga kirgach, operativlar buzib kirish emas, balki aralashib ketish uchun optimallashtirilgan ish jarayonini namoyish etdi.

Ular Simplify Copilot va AiApply kabi haqiqiy ish avtomatlashtirish dasturlaridan foydalanib, intervyu javoblarini ishlab chiqdi va ariza shakllarini ommaviy to‘ldirdi.

G‘arbiy unumdorlik vositalaridan foydalanish davlat aktorlari korporativ yollash jarayonini soddalashtirish uchun yaratilgan AI texnologiyalaridan aynan ularni mag‘lub etish uchun foydalanayotganini ko‘rsatadi.

Tergov natijasida aniqlanishicha, hujumchilar o‘z joylashuvini yashirish uchun Astrill VPN orqali trafikni yo‘naltirgan va o‘g‘irlangan shaxslarga bog‘langan ikki faktorli autentifikatsiya kodlarini brauzer asosidagi xizmatlar orqali boshqargan.

Ularning asosiy maqsadi darhol zarar yetkazish emas, balki uzoq muddatli kirish imkoniyatini qo‘lga kiritish edi. Operativlar Google Remote Desktop’ni PowerShell orqali doimiy PIN bilan sozlab, xost imtiyozlarni bekor qilmoqchi bo‘lsa ham, mashinani boshqarishda davom etishlari uchun sharoit yaratdi.

Shunday qilib, ularning buyruqlari ma’muriy bo‘lib, tizim diagnostikasini o‘tkazib, apparatni tekshirishga qaratilgan edi.

Aslida, ular darhol wallet’ga kirishga harakat qilmagan.

Buning o‘rniga, shimoliy koreyaliklar o‘zlarini ishonchli ichki xodim sifatida ko‘rsatib, ichki repozitoriylar va bulut boshqaruv panellariga kirish imkoniyatini qo‘lga kiritishga harakat qilgan.

Bir milliard dollarlik daromad oqimi

Ushbu hodisa sanksiyalangan rejim uchun ishga joylashish firibgarligini asosiy daromad manbaiga aylantirgan yirik sanoat tizimining bir qismi hisoblanadi.

Multilateral Sanctions Monitoring Team yaqinda Pxenyanga bog‘liq guruhlar 2024-yildan 2025-yil sentabrigacha taxminan 2.83 milliard dollar raqamli aktivlarni o‘g‘irlaganini baholadi.

Bu raqam Shimoliy Koreyaning xorijiy valyuta daromadining taxminan uchdan bir qismini tashkil etadi va kiber-o‘g‘irlik davlat iqtisodiy strategiyasiga aylanganini ko‘rsatadi.

Ushbu “insoniy qatlam” hujum vektori samaradorligi 2025-yil fevral oyida Bybit birjasiga bo‘lgan hujumda halokatli tarzda isbotlandi.

O‘sha voqeada TraderTraitor guruhiga mansub hujumchilar ichki ma’lumotlarni buzib, tashqi transferlarni ichki aktiv harakatlari sifatida ko‘rsatib, oxir-oqibatda cold-wallet smart kontraktini boshqarib olishdi.

Muvofiqlik inqirozi

Ijtimoiy muhandislikka o‘tish raqamli aktivlar sanoati uchun jiddiy javobgarlik inqirozini yuzaga keltirmoqda.

Joriy yil boshida Huntress va Silent Push kabi xavfsizlik firmalari BlockNovas va SoftGlide kabi old kompaniyalar tarmog‘ini hujjatlashtirdi, ular haqiqiy AQSh korporativ ro‘yxatidan o‘tgan va ishonchli LinkedIn profillariga ega.

Bu subyektlar dasturchilarni texnik baholash niqobi ostida zararli skriptlarni o‘rnatishga muvaffaq bo‘lmoqda.

Muvofiqlik bo‘yicha mas’ullar va Axborot xavfsizligi bo‘yicha bosh mutaxassislar uchun muammo o‘zgardi. An’anaviy Know Your Customer (KYC) protokollari mijozga qaratilgan, biroq Lazarus ish jarayoni qat’iy “Know Your Employee” standartini talab qiladi.

Department of Justice allaqachon bu IT sxemalariga bog‘liq 7.74 million dollarni musodara qilishni boshladi, biroq aniqlashda kechikish yuqori bo‘lib qolmoqda.

BCA LTD maxsus operatsiyasi ko‘rsatganidek, bu aktorlarni qo‘lga olishning yagona yo‘li passiv himoyadan faol aldovga o‘tish, tahdid aktorlarini xazina kalitlari topshirilishidan oldin o‘z usullarini fosh qilishga majbur qiladigan boshqariladigan muhitlar yaratish bo‘lishi mumkin.

Ushbu maqola birinchi bo‘lib CryptoSlate’da “Secret footage from a rigged laptop exposes how North Korean spies are slipping past your security team” nomi ostida chop etilgan.