Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Кто и как украл у Drift 285 миллионов долларов? Ответ уже известен, и он точно вас удивит

leer en español

Drift UNC4736 КНДР CrowdStrike DomainTools криптовалюта социальная инженерия
Кто и как украл у Drift 285 миллионов долларов? Ответ уже известен, и он точно вас удивит
Drift UNC4736 КНДР CrowdStrike DomainTools криптовалюта социальная инженерия

План атаки вынашивали так долго, что успех был неизбежен.

image

Недавняя атака на криптоплатформу Drift, в результате которой злоумышленники похитили 285 миллионов долларов, оказалась не внезапным взломом, а итогом тщательно выстроенной операции, растянутой почти на полгода. За внешне обычными деловыми контактами скрывалась сложная схема внедрения, где доверие стало главным инструментом.

Drift, работающая на базе Solana, связала инцидент с северокорейской группой UNC4736, известной также под именами AppleJeus и Golden Chollima. По данным компании, подготовка атаки началась ещё осенью 2025 года. Люди, выдававшие себя за представителей трейдинговой фирмы, знакомились с участниками экосистемы на профильных конференциях и постепенно выстраивали рабочие отношения.

Контакты выглядели убедительно. Участники демонстрировали глубокое понимание рынка, имели проработанные легенды с опытом работы и активными профессиональными профилями. После первых встреч появилась группа в Telegram, где обсуждались интеграции и торговые стратегии. В декабре злоумышленники подключили собственный vault, вложив более миллиона долларов — шаг укрепил доверие и позволил закрепиться внутри экосистемы.

К началу 2026 года общение перешло к обмену инструментами и кодом. По одной из версий, один из разработчиков скомпилировал проект из переданного репозитория, где в конфигурации Visual Studio Code скрывался механизм автоматического запуска вредоносного кода. Другой участник загрузил тестовую версию криптокошелька через TestFlight. Оба сценария могли открыть доступ к инфраструктуре.

После атаки следы быстро исчезли: переписки и вредоносные файлы удалили почти сразу. Drift отмечает, что операция выглядела как полноценная разведывательная кампания с заранее подготовленными персонами и продуманной логистикой.

Аналитики из CrowdStrike ранее связывали Golden Chollima с серией атак на финтех-компании в разных странах. Группа действует системно и регулярно, обеспечивая приток средств для государственных программ КНДР.

Параллельно DomainTools зафиксировала изменения в структуре северокорейских киберопераций. Вместо единой системы сформировалась распределённая экосистема, где разные группы отвечают за шпионаж, кражу средств и разрушительные атаки. Такой подход снижает риск раскрытия всей сети при провале одной операции.

Социальная инженерия остаётся ключевым инструментом. Кампании вроде Contagious Interview и схемы с фиктивными IT-специалистами позволяют получать доступ к компаниям через найм или тестовые задания. При этом используется международная сеть посредников и подставных кандидатов, а зарплаты часто переводятся в криптовалюте.

История с Drift показывает, как далеко зашли подобные методы. Вместо взлома снаружи злоумышленники предпочли медленно встроиться в систему, используя доверие и профессиональные связи как главный вектор атаки.