В последние годы криптовалютный рынок не только стал одним из ведущих направлений финансовых технологий, но и приобрел особое внимание со стороны государств с рисковыми и скрытными стратегиями. Одним из наиболее ярких и тревожных примеров является масштабное проникновение Северной Кореи в сектор блокчейн и криптовалют. Несмотря на международные санкции и усилия правоохранительных органов, IT-специалисты из КНДР все активнее проникают в криптоиндустрию, нередко принимая участие в крупных хакерских акциях и обеспечивая финансирование ядерных программ режима. История проникновения Северной Кореи в криптоиндустрию уходит как минимум к 2016-2018 годам. Многие компании, особенно стартапы и молодые проекты, по наивности приглашали на работу IT-специалистов, которые использовали поддельные документы и фальшивые биографии.
Сотрудники из КНДР успешно проходили собеседования, ссылки и даже могли продемонстрировать поддельные профили с реальными участиями в популярных open-source проектах на GitHub, что существенно облегчало их легализацию в команде. Криптоиндустрия, будучи по своей природе глобальной и ориентированной на удаленную работу, оказалась крупнейшей уязвимостью для подобного вмешательства. Многие компании не практикуют серьезные проверки контрагентов, а частая оплата в криптовалюте предоставляет идеальное прикрытие для скрытого перевода средств. В дополнение, разнообразие международных платформ для поиска фрилансеров, таких как Discord, Telegram, Crypto Jobs List и Indeed, стали своеобразным золотым рудником для КНДР в поисках талантливых, но невнимательных к вопросам безопасности работодателей. Расследования, проведенные независимыми медиа и аналитиками, показывают, что более двух десятков криптопроектов по всему миру были жертвами такого скрытого найма.
Среди них известные блокчейн-проекты и децентрализованные финансовые протоколы, в том числе Injective, ZeroLend, Fantom, Sushi, Yearn Finance и Cosmos Hub. Во многих случаях сторонние подрядчики из Северной Кореи выполняли работы наравне с остальными сотрудниками и зачастую их профессиональные навыки не вызывали сомнений. Однако проблема заключается в том, что заработанные ими средства автоматически направлялись в криптовалютные кошельки, связанные с официально санкционированными лицами и организациями КНДР. Такие переводы приносят режиму деньги, которые могут быть использованы для финансирования разработки ядерного оружия и ракетных программ. Несмотря на то, что сами работники видели лишь часть своей зарплаты, львиная доля суммы уходила под контроль режима.
Опасность проникновения кибершпионов из Северной Кореи выходит далеко за рамки незаконной работы. Известно, что именно эти работники были замешаны в крупнейших хакерских операциях, направленных против криптофондов и платформ. Так, в 2021 году SushiSwap потеряла более трех миллионов долларов в результате взлома, который впоследствии удалось связать с двумя бывшими сотрудниками, подозреваемыми в связях с Северной Кореей. Эти разработчики внедрили вредоносный код, перенаправлявший средства пользователей на подконтрольные злоумышленникам адреса. Взломы криптопроектов происходили не только в крупных платформах, но и в относительно небольших стартапах, что свидетельствует о систематическом и долгосрочном характере деятельности кибершпионов и их проникновения с использованием различных поддельных личностей.
Уникальные случаи, такие как множественные изменения анонимных ников, IP-адреса, постоянные смены криптокошельков и отсутствие видеокамер на видеозвонках, давали косвенные сигналы об инкогнито работниках. Правительственные и международные органы контролируют ситуацию достаточно плотно, но из-за глобального характера индустрии криптовалют и относительной новизны технологий многие компании не имеют необходимых инструментов и опыта для предотвращения подобных угроз. Хотя юридически сотрудничество с гражданами Северной Кореи запрещено в большинстве стран из-за санкций, до сих пор не было случаев суровых наказаний криптоигроков, которые, как правило, являются жертвами мошенничества или тщательно спланированных схем. Санкции против найма северокорейских IT-специалистов были введены еще в 2016-2017 годах, однако реалии рынка зачастую опережают регуляторные меры. Многие стартапы, стремясь расти и развиваться, отдают предпочтение быстрому набору сотрудников без глубоких проверок, поощряя оплату в криптовалюте, что делает ситуацию особенно уязвимой.
По мере роста внимания к данной проблеме компании ужесточают контроль: среди новых мер - обязательное включение видеокамер во время онлайн-переговоров, регулярные проверки IP-адресов и использование профессиональных служб по проверке персонала. Кибервойна, развязанная Северной Кореей в криптовалютном пространстве, имеет широкие последствия для всей отрасли. Помимо прямых финансовых потерь, она наносит репутационный удар, подрывает доверие пользователей и инвесторов, а также стимулирует регуляторы к ужесточению правил в области криптобизнеса. В результате многие компании вынуждены вкладываться в безопасность, усиливая защиту инфраструктуры и совершенствуя кадровую политику. Интересно отметить, что среди большинства северокорейских сотрудников в криптоиндстрии можно встретить как поддельные личности, так и реальные, способные люди, которые технически соответствуют уровню требуемой работы.
Иногда их подлинные навыки оказывались даже на высоком уровне, что делало обнаружение и удаление из команды еще более непростой задачей. Кроме того, сценарии взломов, осуществляемых с участием северокорейских IT-работников, нередко строятся на социальном инженерстве и использовании доверия. Для достижения своих целей злоумышленники стремятся завоевать доверие коллег, получая доступ к критически важным системам и приватным ключам, что значительно облегчает кражи. Глобальная криптоиндустрия стоит на пороге важных преобразований, в которых безопасность и проверка персонала станут ключевыми направляющими. Опыт борьбы с северокорейскими кибершпионами стал уроком для всех: необходимо применять комплексные меры, объединять усилия с правоохранителями и международными организациями, а также повышать осведомленность внутри самих компаний.
Итогом становится понимание, что в мире цифровых активов уязвимость одной компании влечет за собой риски для всей отрасли. Только за счет совместных мер по безопасности и просвещению можно противостоять новым вызовам и сохранить доверие к технологии, которая предназначена для рассекречивания, децентрализации и открытости, а не для использования в геополитической игре с участием самых непрозрачных режимов.
