Эстонская криптокомпания потеряла десятки миллионов из-за взлома, след ведет в КНДР

«О том, что взлом произошел, мы узнали в ночь с пятницы на субботу, 22 июля. Увидев несанкционированный доступ, специалисты по безопасности и разработчики сразу заглушили все сервера. Из-за этого сервис ушел на даунтайм, который не могли не заметить клиенты», – рассказал ДВ сооснователь и руководитель CoinsPaid Максим Крупышев. По его словам, сервис был недоступен в течение суток с лишним, перезапустить его удалось во второй половине дня в воскресенье: «Считаю, что нам удалось восстановить работу достаточно быстро, пересобрав систему. Клиенты переехали на новые кошельки, сгенерировали новые адреса».

При этом в CoinsPaid подчеркивают, что средства клиентов не пострадали, взлом затронул операционные деньги самой криптофирмы.

«Всем клиентам мы все, что должны, обязательно отдаем. Брешь в финансах была полностью закрыта за счет собственных средств владельца компании. Потерял средства лично акционер. Но все мы знаем, что такое упорная работа, собственно, так и будем действовать теперь – hard work», – отмечает Крупышев.

Потери, понесенные из-за взлома, не изменят стратегии компании, но заставят ее сконцентрироваться на операционной эффективности, рассчитывает Крупышев. В частности, фирма сэкономит, свернув финансирование экспериментальных проектов.

По характеру дальнейшего движения средств после вывода CoinsPaid удалось отследить, что автором атаки была северо-корейская Lazarus Group, стоящая за рядом крупных цифровых ограблений последних лет. Аналогично деньги перемещались, например, при взломе сервиса криптокошельков Atomic Wallet пару недель назад, знает Крупышев: «Мы сразу поняли, что работали профессионалы, не школьник случайно нашел дыру в безопасности. Нет, это четко спланированная операция». По словам руководителя CoinsPaid, сейчас компания изучает журналы и «логи системы», чтобы установить все обстоятельства взлома.

В фирме не исключают, что CoinsPaid была выбрана в качестве цели в том числе из-за украинского происхождения соснователя, а также позиции фирмы по отношению к российскому вторжению в Украину.

«Не секрет, что Северная Корея, как и Россия, сейчас относится к группе стран-агрессоров. Потому я бы не исключал, что мы стали приоритетной целью в том числе из-за поддержки Украины, которую мы оказываем частью публично, частью не публично. Но однозначно мы пока не можем это подтвердить», – говорит Крупышев.

По его словам, сейчас расследование взлома ведет и эстонская полиция. Хотя сами правоохранители не могут оперативно отследить все движения средств, у местной киберполиции есть возможность по линии Europol и Interpol связаться с коллегами, которые уже давно охотятся за Lazarus Group, в том числе спецслужбами США. Сама CoinsPaid тоже связалась с международными расследователями и другими жертвами атак Lazarus Group для обмена опытом.

В компании говорят, что после взлома CoinsPaid увеличат инвестиции во внутреннюю безопасность, а также привлекут сторонних секьюрити-аудиторов для оценки своих протоколов. При этом конкретной суммы, в которую обойдется совершенствование безопасности, в криптофирме пока не называют.