Новая северокорейская Хакерская группа санкционирована за кражи Крипто в США

Ключевые моменты:

• Правительство США только что наложило санкции на двух физических лиц и четыре российских субъекта, связанные с кибер-крипто-кампанией.
• Оперативники кибератак из Северной Кореи все больше предпочитают внедрение открытым атакам.
• Они несут ответственность за кражу миллиардов в криптопространстве в нескольких событиях только в этом году.

Соединенные Штаты наложили новые санкции на новую кибероперацию, поддерживаемую Северной Кореей. Эта группа якобы использовала удаленные заявки на работу для направления украденных криптофондов в программу ядерного оружия Ким Чен Ына.

Последние события показывают, что кибератаки Северной Кореи эскалируют из грубой силы в проникновение и кражу средств изнутри. Вот детали.

Проникновение через трудоустройство, а не только крипто-взлом

Кибератаки Северной Кореи не раз попадали в заголовки новостей из-за разрушительных взломов, включая участие печально известной группы Lazarus в некоторых из крупнейших краж криптовалют на сегодняшний день.

Однако, согласно недавним данным Министерства финансов США и аналитической компании TRM Labs по блокчейну, режим теперь активно инвестирует в другие методы. Один из самых тревожных из них - это использование высококвалифицированных IT-специалистов, которые выдают себя за удалённых подрядчиков.

Эти подрядчики используются для обеспечения занятости в основанных в США компаниях в области блокчейна и криптовалют и не только крадут данные:

Вместо этого они выдают себя за настоящих сотрудников, принимая личности граждан США. Они используют доступ к компании, устанавливают вредоносное ПО и получают зарплаты, которые направляются обратно в северокорейское правительство.

Согласно отчетам, их работа охватывает такие сектора, как бизнес-программное обеспечение, приложения для здоровья и фитнеса, социальные сети, спорт, развлечения и криптобиржи.

Целевые санкции против отдельных лиц и подставных компаний

8 июля Управление по контролю за иностранными активами Министерства финансов США (OFAC) объявило о санкциях против двух физических лиц и четырех российских организаций, связанных с крипто-киберкампанией.

Среди названных был Сонг Кум Хёк, северокорейский оперативник и член хакерской группы Андариэль. Для справки, хакерская группа Андариэль является частью военной разведывательной службы Ким Чен Ына, известной как Главное разведывательное управление.

Сонг обвиняется в организации масштабной кампании по похищению личных данных, начиная с 2022 года. Затем он украл имена, номера социального обеспечения и другую личную информацию американских граждан.

Эти украденные личности затем использовались для маскировки северокорейских ИТ-работников под реальных соискателей.

Рабочие, после найма, делили доход с Суном и другими операторами. В некоторых случаях они даже доходили до того, что вставляли вредоносное ПО в системы компании.

Еще одним санкционированным лицом был Гайк Асатрян, российский гражданин, который предположительно подписал 10-летнее соглашение с северокорейскими торговыми компаниями в 2024 году.

Он создал сеть в рамках этой сделки. Она называлась "Сеть IT-специалистов Асатряна" и могла разместить до 30 северокорейских IT-специалистов в России. Он помогал им с несколькими задачами, включая помощь в трудоустройстве в западные технологические компании.

И на данный момент четыре санкционированных лица, связанные с Асатряном, теперь лишены доступа к любым активам в США. Они также подлежат уголовным наказаниям за любые текущие или будущие сделки с американскими компаниями.

Все для финансирования оружия массового уничтожения

Американские чиновники считают, что конечной целью этой схемы кибератак, которая продолжается уже несколько лет, является поддержка разработки оружия Северной Кореи. Заместитель министра финансов Майкл Фолкендер заявил, что тысячи северокорейских ИТ-работников, в основном находящихся в России и Китае, активно нацеливаются на криптокомпании в более богатых странах.

Их доход, часто получаемый под ложными именами, направляется обратно к режиму для финансирования его арсенала и ядерных боеголовок.

“Режим Кима полон решимости уклоняться от санкций, используя все цифровые лазейки, которые он может найти,” подчеркнул Фолкендер. “От кражи цифровых активов до поддельных заявлений о приеме на работу, их тактика эволюционирует. Мы используем все доступные инструменты для разрушения этих сетей.”

Огромные убытки в крипто-секторе

Хотя взломы бирж все еще представляют собой риск, другие стратегии, такие как внедрение IT-работников, становятся все более предпочтительными. Это связано с их низкой заметностью и высокой доходностью.

Аналогичным образом, 30 июня четверо граждан Северной Кореи были обвинены в мошенничестве с использованием электронных средств и отмывании денег. Это произошло после того, как они, по утверждениям, выдавали себя за удаленных работников в блокчейн-компаниях в США и Сербии.

Ранее, 5 июня, Министерство юстиции США подало ходатайство о конфискации 7,74 миллиона долларов в замороженной криптовалюте, связанной с IT-работниками из Северной Кореи. По данным ФБР, вся операция по зарабатыванию денег может стоить сотни миллионов долларов. При этом средства направляются режиму через Россию, Китай и даже США.