США конфіскували $7,74 млн криптовалюти, відмитої північнокорейськими IT-спеціалістами через шахрайство та ухилення від санкцій.

Міністерство юстиції США минулого тижня подало позов про цивільну конфіскацію на суму$7,74 мільйона в криптовалюті, яку відмивали північнокорейські працівники ІТ-сфери, які шахрайським шляхом отримали роботу в компаніях США та за кордоном.

Уряд США конфіскував ці кошти в рамках операції проти північнокорейської схеми ухилення від санкцій, звинувативши представника Північнокорейського зовнішньоторговельного банку,Сіма Хьон Сопа, у зв`язку зі схемою в квітні 2023 року.

Згідно з даними Міністерства юстиції, північнокорейські працівники ІТ-сфери отримали роботу в криптокомпаніях США, використовуючи фальшиві або шахрайським шляхом отримані ідентичності, перш ніж відмивати свій дохід через Сіма на користь режиму в Пхеньяні.

У позові про конфіскацію також детально описується, що працівники ІТ були розгорнуті в різних регіонах світу, включаючиКитай,Росію таЛаос.

Сховуючи свої справжні ідентичності та місцезнаходження, працівники змогли отримати роботу в блокчейн-компаніях, які зазвичай платили їм у стейблкоїнах—USDC абоTether.

«Протягом років Північна Корея експлуатувала глобальний віддалений ІТ-контрактинг і криптовалютні екосистеми, щоб уникнути санкцій США та фінансувати свої програми озброєнь»,— сказалаСю Джей Бай, керівник Національного управління безпеки Міністерства юстиції.

Міністерство юстиції також повідомляє, що працівники ІТ використовували кілька методів для відмивання свого шахрайського доходу, включаючи відкриття облікових записів на біржах за підробними ідентифікаційними даними, здійснення численних малих переказів, конвертацію з одного токена в інший, купівлю NFT та змішування своїх коштів.

Після нібито відмиття кошти були передані північнокорейській владі черезСіма Хьон Сопа таКіма Санг Мана, генерального директора компанії, що діє під егідою Міністерства оборони Північної Кореї.

Міністерство юстиції висунуло обвинувачення Сіму Хьон Сопу за двома окремими статтями в квітні 2023 року, включаючи змову з північнокорейськими працівниками для отримання доходів через шахрайське працевлаштування та, по-друге, змову з OTC криптотрейдерами для використання шахрайськи отриманих доходів для закупівлі товарів для Північної Кореї.

Офіс ФБР в Чикаго та підрозділ ФБР з віртуальних активів розслідують справи, пов`язані з позовом про конфіскацію, який Мін`юст подав доОкружного суду США у окрузі Колумбія.

«Розслідування ФБР виявило масивну кампанію північнокорейських працівників ІТ, що шахрайським шляхом обманюють бізнес США, отримуючи роботу, використовуючи вкрадені ідентичності американських громадян, щоб уряд Північної Кореї міг уникнути санкцій США та отримувати доходи для свого авторитарного режиму»,— сказавРоман Рожавський, заступник директора підрозділу контррозвідки ФБР.

Хоча точний обсяг шахрайської роботи північнокорейських ІТ-фахівців не встановлено, більшість експертів погоджуються, що проблема стає все більш значущою.

Зростаюча загроза з Північної Кореї

«Загроза, що походить від північнокорейських працівників ІТ, які є легітимними віддаленими співробітниками, зростає дуже швидко»,— пояснюєЕндрю Фірман, керівник національної безпеки Chainalysis, спілкуючись з Decrypt.

У приклад того, наскільки «індустріалізованою та складною» стала ця загроза, Фірман наводить приклад грудневого обвинувачення Міністерства юстиції щодо 14 північнокорейських громадян, які також нібито діяли під фальшивими ідентифікаційними даними та заробили$88 мільйонів протягом шестирічної схеми.

«Хоча важко визначити точний відсоток незаконного кібердоходу Північної Кореї, пов’язаного з шахрайською роботою в ІТ, очевидно з оцінок уряду та досліджень у сфері кібербезпеки, що цей метод еволюціонував у надійний потік доходу для режиму — особливо якщо його поєднати з цілями шпигунства та подальшими експлуатаціями», — додає він.

Інші фахівці з безпеки погоджуються, що загроза незаконних північнокорейських працівників ІТ стає більш поширеною, іМайкл Барнхарт, головний розслідувач i3 Insider в DTEX Systems, повідомив Decrypt, що їхні тактики стають все більш складними.

«Ці оперативники не просто потенційна загроза, вони вже активно вклалися в організації, тому критична інфраструктура та глобальні ланцюги постачання вже скомпрометовані», — зазначає він.

Барнхарт також повідомляє, що північнокорейські загрози почали створювати «фронтові компанії, що маскуються під надійних третіх осіб», або влаштовуватися в законні треті особи, які можуть не дотримуватися таких же строгих заходів безпеки, як інші, більші організації.

Цікаво, що Барнхарт оцінює, що Північна Корея може щорічно генерувати сотні мільйонів виручки від шахрайської роботи в ІТ, і що будь-які зафіксовані цифри або суми, мабуть, занижені.

«Вислів ‘ти не знаєш, що не знаєш’ тут має сенс, оскільки кожен день відкривається нова схема для заробітку грошей», — пояснює він. «Крім того, велика частина доходу замаскована під елементи кіберзлочинних банд або повністю легітимні на вигляд зусилля, що ускладнює загальну атрибуцію».

Хоча позов про конфіскацію в четвер свідчить про те, що уряд США зумів краще контролювати операції Північної Кореї, зростаюча складність останніх свідчить про те, що американські та міжнародні органи влади можуть продовжувати йти в ногу з ними ще деякий час.

Як зазначаєЕндрю Фірман, «Особливо тривожно, як гладко ці працівники здатні вписатися: використовуючи генеративний ШІ для фальшивих персонажів, технології Deepfake для інтерв`ю та навіть системи підтримки для проходження технічних перевірок».

В квітнігрупа загроз Google заявила, що північнокорейські актори розширилися за межі США, щоб проникнути в криптовалютні проекти у Великій Британії, Німеччині, Португалії та Сербії.

Це включало проекти, що розробляють блокчейн-ринкові платформи, веб-додатки на базі штучного інтелекту та смарт-контракти Solana, з спільниками у Великій Британії та США, які допомагають оперативникам обходити перевірки ідентифікації та отримувати платежі черезTransferWise таPayoneer.

Редаговано Стейсі Елліотт.