Нову північнокорейську групу хакерів санкціоновано через крадіжки крипто в США

Ключові висновки:

• Уряд США щойно санкціонував двох осіб та чотири російські суб'єкти, пов'язані з кібер-крипто кампанією.
• Оперативники кібернападів Північної Кореї все більше віддають перевагу інфільтрації замість грубого злому.
• Вони несли відповідальність за мільярди, вкрадені з крипто-простору в кількох випадках лише цього року.

Сполучені Штати наклали нові санкції на нову кіберактивність, підтримувану Північною Кореєю. Ця група нібито використовувала заявки на дистанційну роботу для перекачування вкрадених криптофондів у програму ядерної зброї Кім Чен Ина.

Останні події тепер показують, що кібернапади Північної Кореї ескалюють з грубих кібернападів у проникнення та крадіжку коштів зсередини. Ось деталі.

Проникнення через працевлаштування, а не лише криптохакінг

Кібератаки Північної Кореї неодноразово потрапляли в заголовки новин через руйнівні зломи, включаючи відомий зв’язок групи Lazarus з деякими з найбільших крадіжок криптовалюти на сьогодні.

Однак, згідно з нещодавніми даними Міністерства фінансів США та аналітичної компанії з блокчейну TRM Labs, режим наразі інвестує значні кошти в інші методи. Одним із найтривожніших з них є використання висококваліфікованих ІТ-спеціалістів, які видають себе за віддалених підрядників.

Ці підрядники використовуються для забезпечення зайнятості в американських компаніях, що працюють у сфері блокчейну та криптовалют, і не просто крадуть дані:

Натомість вони видають себе за справжніх співробітників, приймаючи особи громадян США. Вони використовують доступ до компаній, встановлюють шкідливе ПЗ та отримують зарплатні, які перераховуються назад до уряду Північної Кореї.

Згідно з повідомленнями, їхня робота охоплює такі сектори, як бізнес-програмне забезпечення, додатки для здоров'я та фітнесу, соціальні мережі, спорт, розваги та криптобіржі.

Санкції націлені на окремих осіб та підставні компанії

8 липня Офіс контролю за іноземними активами Міністерства фінансів США (OFAC) оголосив санкції проти двох осіб та чотирьох російських суб'єктів, пов'язаних із кіберкампанією у сфері криптовалют.

Серед названих був Сон Кюм Хьок, північнокорейський агент і член хакерської групи Andariel. Для контексту, хакерська група Andariel є частиною військової розвідки Кім Чен Ина, відомої як Генеральне управління розвідки.

Сонга звинувачують у masterminding величезної кампанії крадіжки особистості, яка почалася ще в 2022 році. Потім він вкрадав імена, номери соціального страхування та іншу особисту інформацію американських громадян.

Ці вкрадені особистості були використані для маскування північнокорейських ІТ-працівників під виглядом справжніх претендентів на роботу

Працівники, після найму, ділилися доходом з Суном та іншими працівниками. У деяких випадках вони навіть йшли настільки далеко, що вставляли шкідливе ПЗ в системи компанії.

Іншою санкціонованою особою був Гайк Асатрян, громадянин Росії, який нібито підписав 10-річну угоду з північнокорейськими торговими компаніями у 2024 році.

Він створив мережу в рамках цієї угоди. Вона називалася «Мережа ІТ-спеціалістів Асатряна» і могла вмістити до 30 північнокорейських ІТ-спеціалістів у Росії. Він допомагав їм з кількома завданнями, зокрема допомагав їм отримати роботу в західних технологічних компаніях.

І до цього часу чотири особи, які підпадають під санкції і пов'язані з Асатряном, тепер позбавлені доступу до будь-яких активів у США. Вони також зіткнуться з кримінальними покараннями за будь-які поточні чи майбутні угоди з американськими компаніями.

Все для фінансування зброї масового знищення

Американські чиновники вважають, що остаточною метою цієї схеми кіберзлочинності, що триває роками, є підтримка розробки озброєнь Північної Кореї. Заступник міністра фінансів Майкл Фолкендер заявив, що тисячі північнокорейських ІТ-робітників, переважно розташованих у Росії та Китаї, активно націлюються на криптовалютні компанії в багатших країнах.

Їхній дохід, часто отриманий під фальшивими ідентичностями, перекачується назад до режиму для оплати його арсеналу та ядерних боєголовок.

“Режим Кіма вирішив уникнути санкцій, використовуючи всі цифрові лазівки, які тільки може знайти,” підкреслив Фолкендер. “Від крадіжки цифрових активів до фальшивих заявок на роботу, їхні тактики еволюціонують. Ми використовуємо всі доступні інструменти, щоб порушити ці мережі.”

Великі втрати в криптосекторі

Хоча зломи бірж все ще залишаються ризиком, інші стратегії, такі як інфільтрація IT-робітників, стають все більш популярними. Це пов'язано з їхньою нижчою видимістю та високою віддачею.

Аналогічно, 30 червня чотирьох громадян Північної Кореї було звинувачено у шахрайстві з використанням електронних засобів зв'язку та відмиванні грошей. Це сталося після того, як вони нібито вдавали із себе віддалених працівників у блокчейн-компаніях США та Сербії.

Раніше, 5 червня, Міністерство юстиції США подало клопотання про конфіскацію 7,74 мільйона доларів у замороженій криптовалюті, пов'язаної з ІТ-робітниками Північної Кореї. За даними ФБР, вся операція з отримання прибутку може коштувати сотні мільйонів доларів. Це пов'язано з тим, що кошти надсилаються режиму через Росію, Китай і навіть США.