Северная Корея покупает военные секреты за биткоины! Сотрудник южнокорейской биржи приговорен к 4 годам за раскрытие сделок

Верховный суд Южной Кореи постановил, что сотрудник криптобиржи был приговорён к 4 годам за продажу военных секретов Северной Корее. Северокорейские хакеры заплатили $487,000 в биткоинах за вербовку капитана армии для кражи данных из совместных разведывательных систем между Южной Кореей и США, и капитан получил $33,500 в биткоинах. Жандармерия перехватила камеры часов и USB-устройства перед вторжением, и капитана приговорили к 10 годам. Северокорейские киберпреступники за последние три года украли более 30 миллиардов долларов в криптоактивах для финансирования ядерного оружия.

Полная преступная цепочка из транзакций биткоина на $487,000

По данным южнокорейской Maeil News, судебные документы показывают, что дело началось, когда северокорейские хакеры связались с сотрудниками криптовалютных бирж через Telegram. Хакеры сначала заплатили сотруднику биржи в биткоине на сумму 487 000 долларов, попросив её завербовать южнокорейского военного офицера с доступом к конфиденциальной военной информации. Сотрудники биржи затем посадили 30-летнего капитана армии и пообещали выплатить 33 500 долларов в биткоине взамен.

Уголовные методы чрезвычайно профессиональны. Сотрудники биржи последовали указаниям хакера и отправили капитану скрытую камеру в форме часов и USB-устройство для взлома. Назначение этих устройств — перехват и передача информации из Совместной системы командования и управления Южной Кореи (KJCS), ключевой платформы для обмена разведданными между США и Южной Кореей, связанной с строго секретной информацией, такой как военные развертывания, шифрование коммуникаций и стратегическая координация.

KJCS имеет большую стратегическую ценность. Будучи командным центром альянса США и Южной Кореи, система содержит разведданные в реальном времени, планы боевых действий и информацию о системах вооружения от двух военных сил. Если эти данные попадут в руки Северной Кореи, это позволит Пхеньяну точно понять оборонительные лазейки и возможности реагирования юга, а также может поставить под угрозу размещение военных сил США на Корейском полуострове. Это также объясняет, почему судья подчеркнул в решении: «Это преступное действие может поставить под угрозу всю страну.»

К счастью, южнокорейская жандармерия перехватила устройства до того, как произошло любое вторжение. Это говорит о том, что контрразведывательные возможности южнокорейской армии работают эффективно, возможно, через мониторинг подозрительных коммуникаций или внутренних сообщений. Если эти устройства действительно будут размещены на военных объектах, последствия будут катастрофическими. Камеры часов могут непрерывно захватывать конфиденциальные документы или экраны в повседневной работе офицера, а USB-устройства могут автоматически красть файлы или внедрять вредоносное ПО при подключении к военным компьютерам.

Судья строго осудил в вердикте: «Подсудимый должен знать, что пытается украсть военные секреты для страны, враждебной Южной Корее, и целью этого является добиться личной экономической выгоды.» Капитан по фамилии Ким был приговорён к 10 годам лишения свободы и штрафу на 35 000 долларов за нарушение Закона о защите военных тайн — срок значительно выше, чем 4 года для сотрудников обмена, что отражает принцип судебной системы ужесточения наказаний за военные утечки.

Биткоин стал центральным инструментом в финансовой сети Северной Кореи

Это дело проливает свет на то, как Северная Корея систематически использует криптовалюты для обхода международных санкций. За последние три года киберпреступники, связанные с Северной Кореей, использовали вредоносное ПО, вымогатели и тактики социальной инженерии для атаки на банки, биржи и другие платформы, похищая более 30 миллиардов долларов средств, в основном цифровые активы. Министерство финансов США заявило, что средства помогают финансировать ядерные и ракетные программы Пхеньяна.

Биткоин играет ключевую роль в этой преступной экосистеме. Во-первых, псевдонимный характер биткоина позволяет обеим сторонам транзакции завершить платеж, не раскрывая их истинных личностей. Хотя записи о транзакциях на блокчейне доступны публично, связывание конкретных адресов кошельков с реальными лицами или организациями требует профессионального анализа на блокчейне и сотрудничества с правоохранительными органами через границы. Во-вторых, глобальная ликвидность биткоина облегчает его монетизацию, и северокорейские хакеры могут обменивать биткоин на фиатную валюту или другие активы через внебиржевые (OTC) рынки в России или Китае.

Министерство финансов США ввело санкции против восьми физических лиц и двух организаций, связанных с киберпреступной деятельностью Северной Кореи, 4 ноября, с целью перекрыть поток криптовалют, украденных северокорейскими хакерами. Среди подвергшихся санкциям были банкиры Чжан Гочжэ и Хэ Чжон-сун, которые управляли криптовалютами на сумму более 5 300 000 долларов, связанными с атаками вымогателей. В неё также входят северокорейские ИТ-специалисты за рубежом, южнокорейская компания Mangyongdae Computer Technology Co., Ltd., управляющая зарубежными ИТ-учреждениями, а также её президент О Ён-су, а также Ryuzong Credit Bank в Пхеньяне и пять представителей северокорейских банков в Китае и России.

Три основных метода криптовалютных преступлений в Северной Корее

Атаки вредоносного ПО и программы-вымогателей: Использовать вымогатель-вымогатели против бирж, банков и бизнесов, требовать выплаты выкупа в биткоинах или напрямую воровать приватные ключи горячих кошельков для кражи активов.

Социальная инженерия и внутренняя инфильтрация: Набор сотрудников или техников биржи с помощью крипто-коммуникационных инструментов, таких как Telegram, чтобы заставить их создавать уязвимости в системе или помогать в атаках с помощью Биткоина.

Зарубежная сеть трудовых работников IT: Отправка северокорейских IT-специалистов для удалённой работы для международных компаний в Китае и России, а доходы возвращаются обратно в Пхеньян через криптовалюту для обхода санкций.

ФБР предупреждает: Северная Корея нацелилась на американские криптоETF

В сентябре 2024 года Федеральное бюро расследований США (ФБР) выпустило предупреждение, что северокорейские хакеры нацеливаются на американские криптовалютные ETF с целью украсть цифровые активы. Агентство заявило, что злоумышленники использовали сложные методы социальной инженерии для проникновения в компании, связанные с этими финансовыми продуктами. Это предупреждение стало ещё более актуальным после того, как стало известно дело с корейским биржевым сотрудником.

Почему Северная Корея нацеливается на ETF? Во-первых, американские крипто-ETF управляют активами на десятки миллиардов долларов, и потенциальная прибыль от одной успешной атаки чрезвычайно значительна. Во-вторых, эмитенты и хранители ETF часто сотрудничают с несколькими поставщиками технологий и сервисами, и эта сложная цепочка поставок обеспечивает множество точек входа для атак социальной инженерии. В-третьих, институциональная работа ETF означает, что вовлечено большое количество сотрудников, а люди — самое слабое звено в цепочке безопасности.

Методы атаки, раскрытые ФБР, включают: выдачу себя за инвесторов для связи с сотрудниками эмитента ETF, установление доверия и запрос доступа к внутренним системам; поддельные объявления о работе для привлечения техников из компаний, связанных с ETF, внедрение вредоносного ПО в процессе собеседования; а также использование профессиональных социальных платформ, таких как LinkedIn, для выявления ключевых сотрудников и кражи учетных данных для входа через сложные фишинговые атаки.

Случай с сотрудниками Корейской биржи служит конкретным примером. Как инсайдер криптобиржи, сотрудник теоретически глубоко понимает механизмы движения и безопасности цифровых активов. Северокорейские хакеры выбрали именно его вместо прямых атак на системы обмена, воспользовавшись привилегированным доступом инсайдеров и знаниями о системе. Если этот метод проникновения будет применён к эмитентам или кастодианам ETF в США, последствия будут крайне серьёзными.

Хотя санкции Министерства финансов США перекрыли некоторые каналы отмывания денег, сеть криптопреступности Северной Кореи проявила большую гибкость. Когда группа банкиров и отмывателей денег была наказана, новые посредники быстро заполняли пробелы. Эта постоянная угроза требует от мировой криптоиндустрии повышения стандартов безопасности, особенно в проверке биографии сотрудников, контроле внутреннего доступа к системам и аномального мониторинга транзакций.

Для криптобирж и бизнеса, связанных с ETF, этот случай даёт суровый урок. Необходимо установить строгие механизмы мониторинга коммуникации сотрудников, особенно для должностей, связанных с управлением чувствительными активами. Регулярно проводите тренинги по безопасности для обучения сотрудников распознаванию атак социальной инженерии. Внедрить архитектуру нулевой доверия, которая ограничивает доступ к системе одним сотрудником. Создать систему обнаружения аномального поведения для своевременного выявления подозрительных средств или потоков данных. Только многоуровневая система обороны может защититься от киберугрозы государственного уровня, такой как Северная Корея.