
В наглядном примере пересечения киберпреступности и международного шпионажа четыре гражданина КНДР обвиняются в похищении у расположенного в Атланте криптостартапа почти $1 000 000. Об этом 1 июля 2025 года объявило Минюст США в рамках инициативы DPRK RevGen: Domestic Enabler Initiative, подчеркнув изощрённость тактик, которые государственные хакеры применяют для эксплуатации быстрорастущей индустрии криптовалют. В этой статье разберём детали схемы, её контекст, другие приёмы северокорейских хакеров и последствия для всего криптосектора.
Детали схемы
Обвиняемые — Ким Кван Чжин, Канг Тэ Бок, Чонг Пон Джу и Чан Нам Иль — предстанут по обвинениям в компьютерном мошенничестве и отмывании денег за участие в операциях против американского блокчейн‑стартапа и сербской криптокомпании. Используя поддельные и похищенные документы, они скрывали своё северокорейское происхождение и устраивались удалёнными IT‑специалистами. Названия затронутых компаний не разглашаются, чтобы не мешать расследованию.
«Обвиняемые применяли поддельные и похищенные личности, чтобы скрыть своё гражданство КНДР, выдать себя за удалённых IT‑работников и завоевать доверие жертв для хищения сотен тысяч долларов», — заявил прокурор США Теодор С. Херцберг.
Группа координировала работу из ОАЭ, используя так называемые «фермы ноутбуков» — сети ПК, имитирующие подключение из США, чтобы избежать подозрений. Внедрившись в компании, злоумышленники получили доступ к критическим системам и подменили код смарт‑контрактов. В феврале 2022 года Чонг Пон Джу похитил $175 000, а в марте того же года Ким Кван Чжин украл ещё $740 000, изменив исходный код контрактов. Похищенные средства отмывались через миксеры криптовалют и переводились на счета сообщников с использованием фальшивых малайзийских документов.
Ключевые факты инцидента:
Описание | Детали |
Обвиняемые | Ким Кван Чжин, Канг Тэ Бок, Чонг Пон Джу, Чан Нам Иль |
Обвинения | Компьютерное мошенничество, отмывание денег |
Суммы краж | $175 000 (февраль 2022), $740 000 (март 2022) |
Методы | Манипуляция кодом смарт‑контракта, «фермы ноутбуков» |
Отмывание | Криптомиксеры, поддельные малайзийские ID |
Другие приёмы северокорейских хакеров
Этот инцидент — часть более широкой стратегии КНДР по таргетированию криптоиндустрии. Ещё один метод — создание фиктивных компаний в США, чтобы привлечь разработчиков и внедрить вредоносное ПО через «собеседования». Например, хакеры регистрировали Blocknovas LLC и Softglide LLC, распространяя софт для кражи данных и получения несанкционированного доступа к сетям. Эти приёмы угрожают как индивидуальным специалистам, так и целым организациям, эксплуатируя зависимость отрасли от удалённой работы.
Общий контекст северокорейских краж криптовалют
КНДР активно нацеливается на крипторынок для финансирования режима и военных программ. По отчёту ООН, с 2017 по 2023 год северокорейские хакеры совершили 58 крупных краж на сумму около $3 млрд. Только в 2023 году 17 кибератак принесли им $750 млн, включая атаки на Atomic Wallet ($120 млн) и Poloniex ($114 млн).
За этим стоит знаменитая группировка Lazarus Group, известная своими сложными техниками — от программ-вымогателей до инсайдерских атак. Например, в сотрудничестве с южнокорейской компанией они распространяли рансомварь, заработав $2,6 млн от более чем 700 жертв.
США также активно противодействуют этим схемам: в июне 2025 года конфисковано $7,74 млн криптовалюты, связанной с IT‑работниками КНДР. Эти средства отмывались через посредников, таких как Сим Хён-Соп, что подчёркивает масштаб операций.
Последствия для криптоиндустрии
Внедрение государственных хакеров в стартапы выявило уязвимости в удаленном найме. Культура криптосферы, ориентированная на удалёнку и экономию на проверках, создаёт лазейки для злоумышленников. По словам Эндрю Фиермана из Chainalysis, северокорейские IT‑специалисты «встраиваются в компании, собирают разведданные, обходят протоколы безопасности и осуществляют инсайдерские взломы».
Чтобы снизить риски, криптокомпании должны усилить меры безопасности:
- Тщательная проверка кандидатов: видеособеседования, проверка рекомендаций.
- Многофакторная аутентификация: для доступа к критическим системам.
- Регулярные аудиты безопасности: особенно смарт‑контрактов.
- Обучение сотрудников: методам кибербезопасности и социального инжиниринга.
- Обмен информацией об угрозах: совместно с профилирующими компаниями.
Как отметил Владимир Соболев из Hexens, стремление отрасли экономить и избегать личных встреч — ключевая проблема, требующая разрешения.
Заключение
Обвинение четырёх граждан КНДР в краже $900 000 у американского стартапа подчёркивает постоянную угрозу со стороны государственно‑спонсируемых киберопераций. Поскольку Северная Корея продолжает нацеливаться на криптоиндустрию и похищает миллиарды долларов, компаниям необходимо укреплять защиту. Ужесточение протоколов найма, многоуровневая аутентификация и регулярные аудиты помогут снизить риски и сохранить доверие к криптосектору. Этот случай служит предупреждением: пора устранить уязвимости и защитить будущее отрасли.