" В июне 2025 года Министерство юстиции США предъявило обвинения четырем лицам в рамках инициативы RevGen в отношении КНДР, направленной против внутренних пособников и иностранных агентов, помогающих Северной Корее совершать криптовалютные преступления.
Удалённый найм сотрудников и отсутствие должной осмотрительности делают криптостартапы крайне уязвимыми для внутренних угроз и спонсируемых государством взломов.
Более строгие проверки личности, контроль доступа к смарт-контрактам, соблюдение правил FATF о поездках и моделирование угроз для внутренних рисков являются важнейшими мерами защиты от сложных атак.
В ходе масштабного киберпреступления с геополитическим подтекстом четверо граждан Северной Кореи проникли в американский блокчейн-стартап и сербскую компанию, занимающуюся разработкой виртуальных токенов, выдавая себя за удалённых IT-специалистов, используя украденные и поддельные удостоверения личности. Внедрившись в систему, они злоупотребили своими полномочиями и похитили криптовалюту на сумму более 900 000 долларов.
Как сообщается это была не типичная кража, а часть более масштабного плана северокорейского правительства по тайному финансированию своих незаконных программ по производству оружия посредством криптовалютных операций. Этот инцидент выявляет недостатки в процессах удалённого найма и подчёркивает, как страны, находящиеся под санкциями, всё чаще используют цифровые валюты в качестве инструментов экономической войны.
Здесь рассматривается, как северокорейские агенты смогли присоединиться к мировому сообществу, как Министерство юстиции США пресекло деятельность сети, стоящей за кражей криптовалют, и как Северная Корея уклоняется от экономических санкций.
Кто стоит за кражей криптовалюты?
Кражу криптовалюты совершили четверо граждан Северной Кореи — Ким Кван Джин, Кан Тхэ Бок, Чон Пон Чжу и Чан Нам Иль. Они выдавали себя за внештатных IT-специалистов, используя вымышленные имена, такие как «Брайан Чо» и «Питер Сяо», чтобы скрыть свою настоящую личность и северокорейское гражданство.
Их схема была тщательно спланирована на протяжении многих лет, начиная с 2019 года, когда они прибыли в Объединённые Арабские Эмираты (ОАЭ) по северокорейским документам. Они сформировали скоординированную кибергруппу и начали атаковать криптовалютные компании в США и Сербии.
Внедрение в глобальную удалённую рабочую силу дало им надёжный доступ к легальным предприятиям, что позволило им совершать высокотехнологичные цифровые кражи. Их действия были частью более масштабных усилий Северной Кореи по финансированию государственных программ в сфере кибербезопасности и вооружений посредством криптовалютного мошенничества.
На заметку: Microsoft Threat Intelligence идентифицировала Sapphire Sleet как северокорейскую хакерскую группировку, активно занимающуюся кражей криптовалюты и проникновением в бизнес.
Как северокорейские агенты проникли в криптовалютные компании
В октябре 2019 года четверо северокорейских агентов прибыли в ОАЭ, используя северокорейские документы, и сформировали скоординированную кибергруппу. Их целью было проникновение в зарубежные криптовалютные компании для доступа к ценным цифровым активам.
В декабре 2020 года Ким Кван Джин, используя украденные личные данные гражданина США, известного как «PS», был нанят в качестве разработчика базирующейся в Атланте компанией по исследованию блокчейнов.
В мае 2021 года Чон Пон Чжу присоединился к сербской компании, занимающейся виртуальными токенами, под псевдонимом «Брайан Чо».
Оба скрывали своё северокорейское происхождение, предоставляя поддельные документы, удостоверяющие личность, успешно обманывая своих работодателей. Это открывало им доступ к критически важным бэкэнд-системам. Позже Чон Пон Чжу рекомендовал «Питера Сяо», который на самом деле был их сообщником Чан Нам Илем, на должность в сербской фирме.
В 2022 году агенты совершили кражу: Чон Пон Чжу похитил 175 000 долларов в феврале, а Ким Кван Джин – 740 000 долларов в марте, модифицировав код смарт-контракта. Похищенная криптовалюта была отмыта через миксеры и переведена на счета, контролируемые Кан Тхэ Боком и Чан Нам Илем, которые были открыты с использованием поддельных малайзийских паспортов.
Хронология кражи средств северокорейскими агентами
Ниже представлена хронология ключевых случаев, когда спонсируемые северокорейским государством агенты занимались сложными киберограблениями:
Октябрь 2019 г.: четверо северокорейских агентов отправились в ОАЭ и сформировали скоординированную кибергруппу для атаки на криптовалютные компании с целью получения доступа к цифровым активам.
Декабрь 2020 г.: Ким Кван Джин, используя украденные личные данные гражданина США, известного как «PS», был нанят в качестве удаленного разработчика базирующейся в Атланте компанией по исследованию и разработке блокчейнов, получив доступ к критически важным внутренним системам.
Май 2021 г.: Чон Пон Чжу под псевдонимом «Брайан Чо» устраивается на работу в сербскую компанию, занимающуюся виртуальными токенами, и получает доступ к внутренним системам компании.
Где-то в 2021 году: Чон Пон Чжу рекомендует «Питера Сяо», то есть Чан Нам Иля, на должность в сербской фирме, что еще больше укрепляет связи между сотрудниками и компанией.
Февраль 2022 г.: Чон Пон Чжу крадет криптовалюту на сумму 175 000 долларов у сербской компании виртуальных токенов.
Март 2022 г.: Ким Кван Джин крадет криптовалюту на сумму 740 000 долларов у блокчейн-компании из Атланты, изменив код смарт-контракта.
После кражи (2022 г.): украденная криптовалюта на общую сумму 915 000 долларов США отмывается через миксеры и переводится на счета, контролируемые Канг Тхэ Боком и Чанг Нам Илем, которые были созданы с использованием поддельных малайзийских удостоверений личности.
На заметку: Северная Корея отправляет тысячи IT-специалистов по всему миру, в том числе в Россию и Китай, чтобы заработать деньги для своего режима. Эти работники используют профили, созданные искусственным интеллектом, и украденные идентификационные данные, чтобы получить высокооплачиваемую работу в сфере технологий. Получив работу, они крадут интеллектуальную собственность, вымогают деньги у своих работодателей и отправляют деньги обратно в Северную Корею.
Министерство юстиции США проводит рейды против сети, стоящей за масштабными кражами криптовалют
24 июня 2025 года федеральные прокуроры Северного округа Джорджии предъявили обвинения четырем северокорейским агентам по пяти пунктам в мошенничестве с использованием электронных средств связи и отмывании денег, что стало важным шагом в их усилиях по борьбе с киберпреступностью, спонсируемой государством.
Обвинения были выдвинуты в рамках инициативы Министерства юстиции КНДР RevGen: Domestic Enabler Initiative, начатой в 2024 году с целью пресечения незаконной деятельности Северной Кореи по получению доходов, особенно направленной против американских предприятий и инфраструктуры.
4 северокорейских шпиона, выдававших себя за IT-специалистов
В марте 2024 года Управление национальной безопасности и Отдел кибербезопасности и контрразведки Федерального бюро расследований (ФБР) совместно запустили эту инициативу. Эта программа предписывает федеральным прокурорам и агентам сосредоточиться на высокоприоритетных, стратегических и скоординированных операциях. Эти усилия направлены на пресечение незаконных методов получения доходов Северной Кореей и выявление в США лиц, способствующих этой деятельности.
Расследование кражи криптовалюты на сумму 900 000 долларов положило начало масштабной операции по обеспечению безопасности в 16 штатах США. Федеральные агенты конфисковали 29 финансовых счетов, 21 мошеннический веб-сайт и около 200 компьютеров, использовавшихся в «фермах ноутбуков», которые позволяли северокорейским IT-специалистам выдавать себя за американских разработчиков и удалённо внедряться в компании.
Министерство юстиции США заявляет, что эта деятельность напрямую финансирует северокорейские программы по разработке ядерного оружия и ракет. Используя уязвимости криптовалютного сектора, среди которых удалённый наём персонала, верификация личности и децентрализованное финансирование, Северная Корея остаётся серьёзной и сложной угрозой глобальной цифровой безопасности.
Роль криптовалюты в уклонении от санкций Северной Кореей
Криптовалюта стала ключевым инструментом Северной Кореи для обхода международных санкций и финансирования своих программ по разработке оружия. Отчеты Группы разработки финансовых мер борьбы с отмыванием денег (ФАТФ) и аналитической компании Chainalysis, специализирующейся на блокчейне, свидетельствуют о том, что Северная Корея умело использует цифровые активы для обхода традиционных финансовых ограничений. Режим использует анонимность криптовалют, их глобальный охват и отсутствие централизованного контроля для перевода и отмывания крупных сумм без обнаружения.
Характерным примером является взлом криптовалютной биржи Bybit на сумму 1,46 миллиарда долларов, связанный с Lazarus Group, хакерским подразделением, спонсируемым северокорейским государством. Эти хакеры часто используют криптомиксеры, криптовалюты, ориентированные на анонимность, и плохо регулируемые криптобиржи, чтобы скрыть источник похищенных средств. После отмывания эти активы используются для финансирования незаконной деятельности Северной Кореи, включая разработку ядерного оружия.
ФАТФ подчёркивает, что растущая зависимость Северной Кореи от криптовалюты представляет собой серьёзную и растущую угрозу. В условиях ужесточения ограничений традиционных финансовых систем Северная Корея рассматривает криптовалюту не только как способ обойти санкции, но и как важнейший инструмент своего экономического выживания и геополитической стратегии.
На заметку: На счету Lazarus Group целая серия ограблений криптовалютных компаний, включая Bybit, WazirX, Stake.com, CoinEx, Ronin Bridge и Atomic Wallet.
Какие криптостартапы становятся легкой добычей хакеров?
Криптовалютные стартапы с их ценными цифровыми активами и децентрализованными системами являются излюбленными целями киберпреступников. Их инновационные, но зачастую уязвимые структуры делают их уязвимыми для изощрённых атак, особенно со стороны спонсируемых государством групп, таких как северокорейская Lazarus Group. Эта уязвимость обусловлена несколькими факторами, обнажающими пробелы в операционных методах и методах обеспечения безопасности стартапов:
Удалённый наём сотрудников и отсутствие должной осмотрительности в отношении разработчиков: криптостартапы часто используют удалённый наём сотрудников для быстрого формирования команд, но недостаточная проверка биографических данных позволяет злоумышленникам внедряться в качестве разработчиков. Поддельные удостоверения личности, подобные тем, что использовали северокорейские агенты при краже 900 000 долларов, используют эту уязвимость для доступа к конфиденциальным системам.
Сокращение расходов приводит к найму непроверенных ИТ-специалистов: чтобы сократить расходы, стартапы часто нанимают более дешёвых офшорных разработчиков с неподтверждённой квалификацией. Такая практика увеличивает риск найма лиц со злым умыслом, как это было в случаях, подобных взлому Bybit на сумму 1,46 млрд долларов.
Культурное предпочтение асинхронной работы снижает необходимость личной проверки: акцент криптоиндустрии на асинхронной удаленной работе сводит к минимуму личное взаимодействие, что позволяет хакерам выдавать себя за законных сотрудников, не проходя строгую личную проверку.
Слабая безопасность смарт-контрактов: многие криптостартапы используют плохо проверенные смарт-контракты, которые хакеры используют с помощью таких методов, как атаки повторного входа или уязвимости кода.
Чему можно научиться из северокорейского хакерского инцидента
Кража криптовалюты на сумму 900 000 долларов, совершенная северокорейскими террористами, — серьёзное предупреждение для всей криптоиндустрии. Вот основные уроки для стартапов и всего сектора:
Для криптостартапов
Усильте проверку личности и биографических данных: прием простых документов без проверки открывает возможности для изощренного мошенничества.
Не полагайтесь исключительно на удаленное взаимодействие: полагаясь на удаленные собеседования для кандидатов на важные должности, а именно разработчики или DevOps, особенно тех, кто имеет доступ к основным системам, вы можете подвергнуть риску свою кибербезопасность.
Внедрите строгий контроль доступа: строгий контроль доступа к смарт-контрактам и системам кошельков гарантирует разработчикам ограниченные привилегии и пристальный контроль.
Для более широкой сферы применения
Улучшить соблюдение тревел рул: усилить соблюдение тревел рул и внедрить тщательные протоколы «Знай своего клиента» (KYC), чтобы не допустить злоумышленников к использованию недостатков регулирования.
Проводите регулярные аудиты сети: проводите регулярные аудиты сети для выявления подозрительных движений средств до того, как они нанесут значительный ущерб.
Разработайте модели угроз для внутренних рисков: создайте модели угроз для устранения рисков, которые могут возникнуть из-за ваших сотрудников, особенно в условиях удаленной и гибридной работы.
В отрасли, основанной на технологиях, не требующих доверия, доверие к персоналу остаётся критически важным. Этот инцидент подтверждает, что строгая кибергигиена, тщательная проверка личности и постоянный мониторинг имеют решающее значение для выживания.
