В современном мире цифровых технологий и криптовалют киберпреступность приобретает все более изощренные формы. Одним из последних громких дел стало обвинение, выдвинутое Министерством юстиции США в отношении четырех граждан Северной Кореи, подозреваемых в краже почти миллиона долларов в криптовалюте из американского блокчейн-стартапа. Эта преступная группа сумела проникнуть в технические команды американских и сербских криптокомпаний, используя фальшивые и украденные документы для устройства на работу под видом удаленных IT-специалистов. После получения доступа к критически важным системам злоумышленники применили уязвимости в смарт-контрактах, чтобы вывести большие суммы цифровых активов. Данная операция особо выделяется не только масштабом хищений, но и уровнем организованности и технической сложности.
Северокорейские агенты начали свою деятельность еще в 2019 году из Объединённых Арабских Эмиратов, а позднее, в период с конца 2020 до середины 2021 года, успешно проникли в структуры компаний в Атланте и Сербии. Поддельные и украденные идентификационные документы были ключевым элементом их маскировки, позволяя им скрывать свое истинное гражданство и намерения. Эксперты из Министерства юстиции отмечают, что подобные методы представляют собой уникальную угрозу для компаний, нанимающих удаленных IT-работников. В эпоху массового перехода на удаленную работу и внедрения гибких моделей занятости растет риск появления внутри организаций агентов влияния, использующих доверительные отношения для осуществления кибератак и краж. Примеры из этого дела наглядно демонстрируют, как критически важно применять многоуровневую систему проверки личности и безопасности для новых сотрудников, особенно тех, кто получает привилегированный доступ к корпоративным цифровым активам.
В феврале и марте 2022 года злоумышленники совершили два крупных хищения криптовалюты. Первый эпизод осуществил один из обвиняемых, похитив около $175 000. Однако последующее использование исходного кода смарт-контрактов позволило совершить гораздо более значительный перевод на сумму $740 000. Общий ущерб составил приблизительно $915 000. Этот случай иллюстрирует особую уязвимость, связанную с кодом смарт-контрактов, в которых, несмотря на автоматизацию процессов, при допущении ошибок или наличии недостатков обоснована высокая вероятность потери средств.
После получения украденных активов злоумышленники активировали сложную схему отмывания через криптовалютные миксеры. Эти сервисы перемешивают средства, чтобы затруднить отслеживание их происхождения. Впоследствии средства переводились на обменные аккаунты, зарегистрированные на жителей Малайзии с использованием поддельных документов. Эта сеть позволяла не только скрыть преступные доходы, но и создать масштабную павутину цифровых финансовых потоков, серьезно усложняющую работу правоохранительных органов в выяснении обстоятельств кражи. Министерство юстиции приступило к расследованию, включающему масштабную операцию с обысками и изъятием доказательств в 16 штатах США.
Были конфискованы 29 финансовых счетов, 21 вебсайт и около 200 компьютеров, использовавшихся в так называемых "лэптоп-фермах". Эти фермы представляли собой инфраструктуру для удаленной работы, позволяющую злоумышленникам создавать иллюзию присутствия и деятельности на территории США при фактическом контроле со стороны Северной Кореи. Расследование также выявило, что недобросовестные IT-специалисты из КНДР смогли внедриться в более чем сотню американских компаний, получая доступ к конфиденциальным данным и военной информации. По оценкам экспертов, добыча средств через такие преступные схемы служит важным источником финансирования северокорейской программы по производству оружия. Судебные органы в Северной Джорджии уже предъявили обвинения четырем подозреваемым — Ким Кван Чжину, Кан Тэ Боку, Чон Пон Джу и Чан Нам Илю.
За ними числятся серьезные преступления, включая мошенничество с использованием проводных коммуникаций и отмывание денежных средств. Министерство юстиции также инициировало несколько дел по гражданской конфискации криптовалюты на сумму более $7,7 миллиона, заработанной с помощью аналогичных схем. Этот случай привлек внимание не только правоохранителей, но и отраслевых аналитиков. Представители Chainalysis подчеркнули, что подобные агенты глубоко интегрируются в организации под чужими личностями, что позволяет им не только похищать средства, но и собирать разведывательную информацию. Международные санкции, направленные против Северной Кореи, затрудняют прямой доступ к крупным финансовым ресурсам, поэтому страны подобные КНДР все чаще прибегают к интеллектуальному и технологическому саботажу, ориентированному на цифровую экономику.
Успешное выявление и пресечение деятельности этой группы стало частью инициативы Министерства юстиции США под названием DPRK RevGen: Domestic Enabler Initiative, запущенной в 2024 году. Эта программа нацелена на выявление и блокировку нелегальных источников доходов Северной Кореи на территории США, а также расследование деятельности лиц и организаций, способствующих обходу санкций и финансированию вооружений. Представители Министерства юстиции отмечают, что современные цифровые угрозы требуют свернутого взаимодействия между государственными ведомствами, частным сектором и международными партнерами. Только совместные усилия по выявлению фальшивых личностей и контролю доступа к чувствительным ресурсам позволят существенно снизить риски цифрового шпионажа и финансовых потерь. В контексте бизнеса в сфере блокчейн и криптовалют подчеркивается необходимость усиления мер безопасности, включая многофакторную аутентификацию, аудит смарт-контрактов, регулярные проверки персонала и использование передовых технологий идентификации.
В случае удаленной работы особенно важна система верификации и мониторинга активностей удаленных сотрудников. Следует учитывать, что киберпреступники из северной Кореи не ограничиваются только кражей криптовалюты; они массово вовлечены в другие виды киберпреступности, включая атаки программ-вымогателей, фишинговые операции и проникновения в государственные структуры. Их деятельность направлена на сбор разведданных, саботаж и обход международных санкций. В итоге, история с северокорейской группой, похитившей около миллиона долларов из американского блокчейн-стартапа, становится примером новой реальности цифровой безопасности. Она служит предупреждением для компаний по всему миру о том, что рост числа удаленных сотрудников несет в себе дополнительные риски, которые необходимо осознавать и активно предотвращать.
Адекватная система кибербезопасности и внимательное отношение к найму и управлению персоналом становятся ключевыми элементами защиты современных цифровых бизнесов. Комплексность этой преступной операции показывает, что борьба с международной киберпреступностью требует постоянных инноваций и скоординированных усилий всех заинтересованных сторон. Понимание и изучение подобных кейсов помогает лучше подготовиться к вызовам времени и сохранить безопасность цифровых активов и данных, находящихся в распоряжении компаний и пользователей по всему миру.
