США конфискуют $7,74 миллиона криптовалюты у северокорейских IT-мошенников

Министерство юстиции США на прошлой неделе подало иск о конфискации 7,74 миллиона долларов в криптовалюте, полученной в результате мошенничества группой северокорейских IT-работников, которые обманом устроились на работу в компании США и за границей.

Правительство США изъяло средства в ходе операции против схемы северокорейцев по уклонению от санкций. В апреле 2023 года власти предъявили обвинение представителю Севера, Сим Хен Сопу, в связи с этой схемой.

Согласно данным Министерства юстиции, северокорейские IT-работники получили работу в американских криптокомпаниях, используя поддельные или незаконно полученные документы, а затем отмывали свои доходы через Сим в интересах режима в Пхеньяне.

В иске о конфискации также указано, что IT-работники работали в различных странах мира, включая Китай, Россию и Лаос.

Скрывая свои истинные личности и местоположения, они смогли получить работу в блокчейн-фирмах, которые обычно выплачивали им вознаграждение в стейблтокенах — USDC или Tether.

«На протяжении многих лет Северная Корея злоупотребляет глобальным удаленным IT-контрактингом и криптовалютной экосистемой, чтобы уклоняться от санкций США и финансировать свою программу вооружений», — отметила Сью Дж. Бай, руководитель отдела национальной безопасности Министерства юстиции.

Министерство юстиции также сообщает, что IT-работники использовали несколько способов для отмывания своих незаконно полученных доходов, включая создание обменных счетов с вымышленными документами, совершение многочисленных небольших переводов, обмен одного токена на другой, покупку NFT и смешивание средств.

После того как средства были фактически отмыты, они были отправлены в северокорейское правительство через Сим Хен Сопа и Кима Санг Мана, генерального директора компании, действующей под управлением Министерства обороны Северной Кореи.

Министерство юстиции предъявило обвинение Сим Хен Сопу по двум отдельным статьям в апреле 2023 года: первое — в заговоре с северокорейскими работниками для получения дохода через мошенническую работу, и второе — в заговоре с OTC-крипто трейдерами для использования мошеннически полученных средств для закупок для Северной Кореи.

Офис ФБР в Чикаго и подразделение по виртуальным активам ФБР расследуют дела, связанные с иском о конфискации, поданным в окружной суд США в округе Колумбия.

«Расследование ФБР выявило масштабную кампанию, осуществляемую северокорейскими IT-работниками для обмана американских компаний, получая работу, используя украденные личности американских граждан, всё это для того, чтобы северокорейское правительство могло уклоняться от санкций США и генерировать доход для своего авторитарного режима», — заявила Роман Рожавский, помощник директора Контрразведывательного дивизиона ФБР.

Хотя точный масштаб мошеннической деятельности северокорейских IT-работников еще не установлен, большинство экспертов согласны, что проблема становится все более значительной.

«Угроза, исходящая от северокорейских IT-работников, выдающих себя за законных удаленных сотрудников, растет значительно — и быстро», — объясняет Эндрю Фирман, глава отдела национальной безопасности Blockchain компании Chainalysis, в интервью Decrypt.

В качестве примера того, насколько «индустриализированной и совершенной» стала угроза, Фирман отмечает обвинение 14 северокорейцев, которое Министерство юстиции вынесло в декабре, которые, как утверждается, также действовали под ложными личностями и заработали 88 миллионов долларов за шесть лет.

«Хотя сложно точно указать процент незаконного кибердохода Северной Кореи, связанного с мошеннической IT-деятельностью, очевидно, что этот метод стал надежным источником дохода для режима — особенно в совокупности с целями шпионажа и последующими атаками», — говорит он.

Другие специалисты по безопасности согласны с тем, что угроза со стороны нелегальных северокорейских IT-работников становится все более распространенной. Майкл Барнхарт, главный следователь DTEX Systems, заявил Decrypt, что их тактики становятся все более сложными.

«Эти операторы не просто потенциальная угроза, они уже активно внедрились в организации, которые контролируют критическую инфраструктуру и уже нарушили глобальные цепочки поставок», — говорит он.

Барнхарт также сообщает, что северокорейские нарушители начали создавать «фронтальные компании, выдающие себя за надежных третьих лиц», или внедрялись в законные третьи стороны, которые могут не использовать такие же строгие меры безопасности, как другие, более крупные организации.

Интересно, что Барнхарт оценивает, что Северная Корея может зарабатывать сотни миллионов долларов в год на мошеннической IT-деятельности, и что любые зафиксированные цифры или суммы, вероятно, сильно занижены.

«Пословица «вы не знаете, что вы не знаете», как никогда актуальна, поскольку каждый день обнаруживается новая схема для получения денег», — объясняет он. «Кроме того, большая часть дохода скрыта так, чтобы выглядеть как элементы киберпреступных групп или совершенно легитимные усилия, что запутывает общую атрибуцию.

Несмотря на то что иск о конфискации подтверждает, что правительство США смогло лучше контролировать операции Северной Кореи, растущая сложность последних предполагает, что американские и международные органы власти могут продолжать отставать некоторое время.

Как говорит Эндрю Фирман, «особенно тревожно то, насколько незаметно эти работники могут сливаться: используя генеративный ИИ для создания поддельных персонажей, инструменты дипфейка для собеседований и даже системы поддержки для прохождения технических проверок».

В апреле группа Threat Intelligence компании Google сообщила, что северокорейские акторы расширили свои действия за пределы США и внедрились в криптопроекты в Великобритании, Германии, Португалии и Сербии.

Это включало проекты по разработке блокчейн-рынков, веб-приложений на базе AI и смарт-контрактов Solana, при этом сообщники в Великобритании и США помогали операторам обходить проверки удостоверений личности и получать платежи через TransferWise и Payoneer.

Отредактировано Стейси Эллиотт.