Ключевые выводы
- Группа «Famous Chollima» отвечает за 47 % всех атак «hands‑on‑keyboard» на технологический сектор США в период апрель 2025 – май 2026.
- Хакеры маскируются под удалённых IT‑специалистов, используют AI‑генерированные deepfake‑изображения и поддельные документы.
- Помимо кражи интеллектуальной собственности, они целятся в разработчиков блокчейна, вывозя криптовалюту, которая финансирует ядерную программу Пхеньян.
Сейчас киберугрозы стали гораздо более «человеческими»: вместо автоматических червей хакеры лично проникают в офисы, получают зарплаты и отправляют деньги в Пхеньян. Этот отчёт показывает, насколько важна проверка личности и контроль за привилегированным доступом.
Что такое «hands‑on‑keyboard» атаки и почему они опасны
Термин «hands‑on‑keyboard» (HoK) используется, когда в киберинциденте задействованы реальныe люди, а не автоматизированный вредоносный код. Такие атаки часто начинаются со скомпрометированных учётных записей, после чего злоумышленник использует уже установленные в системе админ‑инструменты.
Поскольку традиционные антивирусы в первую очередь ищут известные сигнатуры, HoK‑атаки остаются незамеченными до тех пор, пока злоумышленник не начнёт эксплуатировать свои привилегии.
CrowdStrike мониторит эти инциденты, потому что они свидетельствуют о целенаправленном шпионажном поведении, а не о случайных вредоносных скриптах.
В отчёте за период апрель 2025 – май 2026 года HoK‑интрузии в технологический сектор США составили ≈ 300 случаев, из которых почти половина приписывается группе «Famous Chollima».
Кто такие «Famous Chollima» и как они работают
«Famous Chollima» – это внутреннее название, данное CrowdStrike северокорейской хакерской группе, получившей своё прозвище от легендарного быстрого коня «Чоллима». Группа считается частью государственной кибершпионской инфраструктуры Пхеньян.
Основная тактика – вёрстка под внешних IT‑специалистов. Хакеры создают фальшивые профили в LinkedIn, подбирают вакансии удалённого программирования и поступают на работу, получая официальную зарплату.
Для увеличения правдоподобия они используют AI‑модели, генерирующие реальное время deepfake‑фото, и подкрепляют их поддельными паспортами, водительскими удостоверениями и другими документами.
После приёма на работу они получают доступ к корпоративным сетям, устанавливают бекдоры и начинают копировать исходный код, дизайн‑документацию и прототипы.
Как хакеры превращают кражу данных в финансирование ядерной программы
Становясь штатными сотрудниками, киберпреступники одновременно получают зарплату, часть которой переводится в Северную Корею. Оставшуюся часть используют для покупки криптовалюты.
Блокчейн‑разработчики, работающие над смарт‑контрактами и кошельками, особенно привлекательны: украденные токены часто конвертируются в «миксер» и выводятся в анонимные кеш‑адреса.
По разным оценкам, в 2025 году северокорейские группы вывели более 2 млрд USD в криптовалюте; часть этой суммы напрямую пополняет фонд развития ядерного арсенала, подпадающего под международные санкции.
Когда злоумышленники попадаются, часто следует угроза обнародовать украденные данные, если компания не заплатит выкуп.
Что может сделать компания, чтобы противостоять такой угрозе
Первый шаг – строгая верификация всех новых удалённых сотрудников. Попросите оригиналы документов, проведите видеосовещание в реальном времени и проверьте биометрические данные.
Второй – мониторинг привилегированных действий. Любой запрос от нового сотрудника к критически важным репозиториям должен проходить двойную аутентификацию и запись в журнал.
Третий – внедрение AI‑исследований, которые способны выявлять аномалии в поведении: странные входы в систему, использование обычных административных утилит в нерабочее время и т.д.
Наконец, необходимо обучать персонал распознавать фишинговые письма, поддельные предложения о работе и подозрительные запросы доступа.
Справка
CrowdStrike – американская кибер‑компания, основанная в 2011 году Джорданом Микаеллом. Она известна своими облачными платформами Falcon, которые используют машинное обучение для обнаружения угроз. Компания регулярно публикует ежегодные отчёты о киберугрозах, которые становятся отраслевыми бенчмарками. За годы работы CrowdStrike помогла более чем 7 000 организациям укрепить защиту. В 2023 году фирма провела IPO, оценка которой превысила 40 млрд USD.
Famous Chollima – условное название группы, связываемой с Северной Кореей. Она действует в рамках государства и финансирует ядерную программу Пхеньян. Хакеры используют AI‑генерацию deepfake‑изображений и поддельные документы. Основная цель – кража интеллектуальной собственности и криптовалюты. По оценкам аналитиков, их деятельность принесла Северной Корее несколько миллиардов долларов.
Deepfake‑технология – метод искусственного создания видеоматериалов и изображений, которые выглядят реалистично, но полностью сгенерированы алгоритмами. Применяется и в киберпреступности для подделки лиц в профилях. Технология основана на нейронных сетях типа GAN (Generative Adversarial Networks). За последние годы deepfake‑инструменты стали доступнее и требуют новых методов детекции. Их использование в кибератаках усложняет традиционную проверку личности.
Blockchain‑разработчики – специалисты, пишущие смарт‑контракты, разрабатывающие децентрализованные приложения и поддерживают инфраструктуру криптовалют. Их код часто хранится в открытом репозитории, но доступ к управлению кошельками требует привилегий. Хакеры, притворяясь сотрудниками, могут получить контроль над крупными фондами токенов. Потери в криптовалюте трудно отследить из‑за анонимности блокчейна. Поэтому защита аккаунтов разработчиков становится приоритетом.
Кибершпионаж – процесс тайного сбора конфиденциальной информации правительствами или их агентствами. В случае Северной Кореи кибершпионаж часто направлен на добычу финансовых ресурсов и технологических ноу‑хау. Инструменты включают фишинг, вредоносные вложения и социальную инженерию. Часто операции поддерживаются государственными ресурсами и финансируются из бюджета. В международном праве такие действия рассматриваются как агрессия.
Сейчас киберугрозы требуют больше, чем просто антивирус. Нужно проверять людей, их документы и постоянно следить за поведением в сети. Иначе «Famous Chollima» и дальше будут превращать ваши данные в деньги для Пхеньяна.
