Всередині $900K Крипто Викрадення: Як Північнокорейські Агенти Впровадилися в Блокчейн Компанії Без Виявлення

Основні висновки:

• Чотири північнокорейських агенти видавали себе за віддалених ІТ-робітників, щоб отримати доступ і вкрасти понад 900 000 доларів США в криптовалюті.
• Вони проникли в блокчейн-компанії в США та Сербії, використовуючи вкрадені особистості та підроблені документи.
• Кошти були відмивані через змішувачі та фальшиві рахунки, при цьому слідчі пов'язують цю операцію з зусиллями КНДР щодо фінансування своїх програм озброєнь.

Чотирьом громадянам Північної Кореї федеральні прокурори висунули звинувачення в участі в крадіжці валюти, яка вкрала майже 1 мільйон доларів у криптовалюті у двох компаній з криптовалюти в складній, постійній серії онлайн-атак. Прокурори стверджують, що обвинувачені скористалися зростанням дистанційної роботи та розвитку криптовалюти, щоб уникнути санкцій і направити цифрові активи до уряду Північної Кореї.

!

Віддалена робота як задній вхід у блокчейн-компанії

Акт об обвинуваченні, поданий у Північному окрузі Джорджії 30 червня 2025 року, детально описує шахрайство, яке тривало принаймні з 2019 року до десь 2022 року, з численними крипто-крадіжками за цей період. Відповідачі — Кім Кван Джин, Канг Тей Бок, Чонг Понг Джу та Чанг Нам Іл — використовували фальшиві та вкрадені особистості, щоб отримати роботу розробниками в блокчейн-компаніях, розташованих у США та Сербії.

Судові записи свідчать про те, що Кім і Чонг були найняті як розробники компанією з розробки блокчейн-технологій, що базується в Джорджії, та сербською фірмою віртуальних токенів відповідно. Вони подавали заявки під вигаданими профілями, які містили шахрайську документацію, змішуючи справжні та вкрадені дані особи. Жодна з компаній не знала про справжню північнокорейську національність заявників на момент найму.

Операція, за повідомленнями, розпочалася з того, що група працювала разом в Об'єднаних Арабських Еміратах у 2019 році, де вони вперше скоординували свої навички та спланували, як націлитися на криптоплатформи за кордоном.

Скоординоване викрадення та відмивання цифрових активів

Експлуатація смарт-контрактів та доступ зсередини

Потрапивши на ці посади, агенти отримали доступ до чутливих внутрішніх систем та крипто-гаманець компанії. Чонг Понг Чу, відомий також як "Брайан Чо", вивів приблизно 175 000 доларів у цифровій валюті з банківського рахунку свого роботодавця в лютому 2022 року. Через місяць Кім Кван Чжин скористався недоліками в коді смарт-контракту компанії, викравши майже 740 000 доларів криптоактивів.

Прокурори заявили, що обидва крадіжки були сплановані заздалегідь і використовували модифікації коду та внутрішні дозволи для приховування несанкціонованих транзакцій. Викрадені гроші були відмивані через службу змішування цифрової валюти, щоб приховати їх походження, після чого вони були переведені на рахунки біржі, відкриті за підробленими малайзійськими документами особи.

Ці рахунки біржі управлялися Каном Тей Боком і Чаном Нам Ілом, іншими співучасниками, які також відмивали доходи від вкрадених грошей. Усі четверо були названі в обвинуваченні з п’яти пунктів, включаючи звинувачення у шахрайстві з використанням електронних засобів зв’язку та відмиванні грошей.

Влада США попереджає про розширення кібертактик Північної Кореї

Прокурор США Теодор С. Херцберг підкреслив, що справа відображає зростаючу та розраховану загрозу з боку Корейської Народно-Демократичної Республіки (DPRK), яка використовує ІТ-операторів по всьому світу, щоб обійти санкції та зібрати кошти для державних програм, включаючи розробку ядерної зброї.

«Ці особи приховали свої справжні особистості, використали довіру роботодавців і вкрали майже мільйон доларів — все для підтримки авторитарного режиму», — сказав Херцберг. «Ми будемо продовжувати переслідувати будь-якого актора, як внутрішнього, так і іноземного, хто націлений на бізнес США.»

Атлантське відділення ФБР, яке очолювало розслідування, підтвердило ці побоювання. Спеціальний агент, відповідальний за справу, Пол Браун зазначив, що використання Північної Кореї шахрайських особистостей для проникнення в блокчейн-компанії висвітлює особливу взаємозв'язок між кібербезпекою, національною безпекою та фінансовою злочинністю.

Шаблон ухилення від санкцій, підживлюваний криптовалютою

Цей випадок не ізольований. Він є частиною більш широкого патерну використання криптоінфраструктури операторами Північної Кореї для обходу міжнародних контролів. На внутрішньому фронті, де Міністерство юстиції є посередником у конфлікті, Міністерство юстиції займається публічною діяльністю, відомою як DPRK RevGen: Ініціатива внутрішніх посередників, наступальною кампанією, розпочатою в березні 2024 року Національним управлінням безпеки Міністерства юстиції, ініціативою з метою припинення цих онлайн-шляхів відмивання грошей на основі віртуальної валюти як за кордоном, так і в США.

!

Влада заявила, що шахрайство є частиною ширшої кампанії зі створення "мереж генерування доходу", які в кінцевому підсумку сприяють стратегічному бюджету Північної Кореї. До них відносяться високопрестижні кібератаки, розгортання програм-вимагачів і тепер—пряме проникнення в корпоративні команди через дистанційне працевлаштування.

Ендрю Фірман, голова національної безпеки в компанії з блокчейн-судової експертизи Chainalysis, прокоментував, що актори КНДР все більше вбудовуються в цільові компанії:

«Вони збирають внутрішні знання, маніпулюють системами зсередини і навіть організовують внутрішні порушення.»

Ця модель інсайдерів ускладнює виявлення, особливо в поєднанні з передовими техніками відмивання, такими як змішування токенів і використання протоколів децентралізованих фінансів (DeFi) для накладення транзакцій.

Читати далі: Засновник Manta Network уникнув зламу Zoom групи Lazarus, використовуючи тактику дипфейків та шкідливого ПЗ

Криптоіндустрія стикається з новою перевіркою

Інцидент ставить перед криптоіндустрією кілька складних питань, зокрема щодо перевірки особи, найму працівників віддалено та контролю доступу. Хоча компанії на базі блокчейну ставлять в пріоритет децентралізацію та найм талановитих співробітників по всьому світу, негативною стороною є підвищена уразливість до складних шахрайств.

Викрадені кошти, вартість яких на той момент становила приблизно 915 000 доларів, все ще відстежуються через біржі, згідно з джерелами, знайомими з розслідуванням. Міністерство юстиції США та ФБР співпрацюють з міжнародними правоохоронними органами та приватними аналітичними компаніями з блокчейну для відновлення активів.

Читати більше: ZachXBT ідентифікує групу Lazarus як хакерів Bybit на $1.4B, виграє нагороду Arkham