Как Северная Корея проникла в криптоиндустрию

Как опытный журналист-расследователь с многолетним опытом распутывания сложных историй, я все больше заинтригован этой сагой, в которой, кажется, переплетаются цифровой мир и тайная деятельность Северной Кореи. История Энтони Келлера, или многих псевдонимов, которые он мог взять на себя, увлекательна. Не каждый день вы натыкаетесь на персонажа, который выглядит как хамелеон в мире информационных технологий, оставляющий за собой след в различных проектах.

На ранних этапах 2023 года криптовалютная фирма Truflation обнаружила в своей команде неожиданное пополнение — гражданина Северной Кореи, который в то время был неизвестен основателю компании Стефану Русту.

Из своего дома в Швейцарии Раст часто искал опытных разработчиков. Неожиданно на месте появился застройщик.

Первоначально Рюхэй отправил свое резюме через Telegram, указав, что он житель Японии. Однако вскоре после приема на работу начали проявляться некоторые необычные несоответствия.

В какой-то момент «я разговаривал с кем-то, и он заявил, что пережил землетрясение», — вспоминал Раст. Однако недавнего землетрясения в Японии не было. Впоследствии этот человек начал игнорировать звонки, а когда они наконец появились, «это был уже другой человек», заявил Раст. «Это был кто-то другой». У пришедшего человека больше не было японского акцента.

Вскоре Руст обнаружил, что «Рюхэй» и почти треть его команды на самом деле были гражданами Северной Кореи вместе с четырьмя другими коллегами. К сожалению, Руст непреднамеренно стал частью тщательно спланированного плана Северной Кореи по предоставлению возможностей удаленной работы для своего народа и переводу доходов в Пхеньян.

Американские официальные лица все чаще выражают тревогу по поводу того, что северокорейские технические специалисты проникают в технологические отрасли, в том числе в криптовалютные компании, и используют доходы для финансирования программы ядерного вооружения своей страны-изгоя. По оценкам отчета Организации Объединенных Наций за 2024 год, эти ИТ-специалисты приносят режиму Ким Чен Ына до 600 миллионов долларов в год.

Как исследователь, я пришел к выводу, что непреднамеренный найм и выплата компенсации работникам потенциально могут нарушить санкции Организации Объединенных Наций и считаться незаконными в США и ряде других стран. Более того, это действие представляет собой значительную угрозу безопасности в связи с тем, что северокорейские хакеры продемонстрировали практику проникновения в компании через тайный персонал.

Как исследователь, углубляющийся в эту тему, мои недавние выводы свидетельствуют о тревожной тенденции: соискатели работы из Северной Кореи настойчиво и неустанно преследуют криптовалютные компании. Примечательно, что им удалось пройти собеседования, пройти проверку биографических данных и даже похвастаться впечатляющими показателями вкладов в программное обеспечение с открытым исходным кодом на GitHub.

Более дюжины криптовалютных компаний признались, что непреднамеренно наняли на работу специалистов в области информационных технологий родом из Северной Кореи, также известной как Корейская Народно-Демократическая Республика. CoinDesk провела переговоры с этими компаниями.

Из интервью с различными профессионалами в области криптографии, в том числе с основателями, исследователями блокчейна и экспертами, следует, что в криптовалютной индустрии задействовано большее количество северокорейских ИТ-специалистов, чем предполагалось ранее. Фактически, многие менеджеры по подбору персонала, с которыми CoinDesk консультировался при написании этой статьи, признались, что брали интервью у потенциальных северокорейских разработчиков, неосознанно нанимали их или знали других, кто это делал.

Проще говоря, Заки Маниан, известный деятель в области разработки блокчейнов, заявил, что количество соискателей работы или лиц, проявляющих интерес к криптоиндустрии, которые, вероятно, из Северной Кореи, превышает 50%. Он упомянул об этом после того, как в 2021 году непреднамеренно нанял двух ИТ-специалистов из Северной Кореи для работы над блокчейном Cosmos Hub. Он также отметил, что всем сложно отсеивать этих кандидатов.

Среди ничего не подозревающих работодателей из Северной Кореи, как выяснил CoinDesk, было несколько авторитетных блокчейн-предприятий, в том числе Cosmos Hub, Injective, ZeroLend, Fantom, Sushi и Yearn Finance. «Это происходит тайно», — сказал Маниан.

Впервые эти компании открыто признались, что по ошибке наняли работников информационных технологий из Северной Кореи.

В большинстве случаев северокорейские рабочие выполняли свои задачи так же, как обычные служащие. Следовательно, работодатели, как правило, получали сумму своей оплаты. Однако расследование CoinDesk выявило доказательства того, что эти работники позже переводили свои доходы на криптовалютные кошельки, связанные с администрацией Северной Кореи.

Согласно расследованию CoinDesk, было установлено, что несколько криптопроектов, нанявших северокорейских ИТ-специалистов, впоследствии подверглись взломам. В некоторых случаях CoinDesk может напрямую связать кражи с подозреваемыми северокорейскими ИТ-сотрудниками, получающими зарплату в компаниях. Одним из таких примеров является Sushi, известный протокол децентрализованных финансов, который в 2021 году подвергся взлому на сумму 3 миллиона долларов и, возможно, с участием ИТ-персонала из Северной Кореи.

В 2022 году Управление по контролю за иностранными активами (OFAC) Министерства финансов США и Министерства юстиции начало делать публичные заявления о попытках Северной Кореи проникнуть в американскую криптовалютную индустрию. Однако расследование CoinDesk показало, что северокорейские ИТ-специалисты уже работали в криптофирмах, используя поддельные личности еще в 2018 году.

Маниан заявил: «Многие, похоже, считают, что это недавнее событие является беспрецедентным. Однако, если вы заглянете в их учетные записи GitHub или другие связанные платформы, вы обнаружите, что они были активны еще с 2016, 2017 и даже 2018 годов. » (GitHub, платформа, принадлежащая Microsoft, — это место, где многочисленные организации-разработчики программного обеспечения размещают код для совместной работы разработчиков.)

1) По данным CoinDesk, они связали северокорейских ИТ-специалистов с различными компаниями с помощью различных средств, таких как записи транзакций блокчейна, публичные материалы по кодированию GitHub, электронные письма от правительственных чиновников США и интервью с самими целевыми компаниями. Одна из крупнейших северокорейских платежных систем, тщательно изучаемых CoinDesk, была первоначально обнаружена ZachXBT, исследователем блокчейнов, который в августе опубликовал список подозреваемых разработчиков из КНДР.

Ранее работодатели предпочли не высказываться из-за опасений негативной огласки или возможных юридических последствий. Однако, столкнувшись с обширными финансовыми отчетами и другими доказательствами, обнаруженными CoinDesk, некоторые из этих организаций решили впервые раскрыть свой опыт, раскрывая масштабное вторжение Северной Кореи в сектор криптовалют.

Поддельные документы

После прихода Рюхея, казалось бы, японского члена команды, компания Rust Truflation столкнулась с притоком заявок на работу. Всего за несколько месяцев Раст, сам того не зная, нанял еще четырех разработчиков из Северной Кореи, которые утверждали, что базируются в Монреале, Ванкувере, Хьюстоне и Сингапуре.

Криптовалютная сфера представляет собой уникальную возможность для кибератак квалифицированных ИТ-специалистов из Северной Кореи. Учитывая глобальный характер этого сектора, криптобизнес часто открыт для найма удаленных или даже анонимных программистов, что делает их потенциально уязвимыми целями.

CoinDesk изучил заявления о приеме на работу, поданные Корейской Народно-Демократической Республикой (КНДР), которые были получены из нескольких источников, таких как приложения для обмена сообщениями, такие как Telegram и Discord, специализированные криптовалютные платформы вакансий, такие как Crypto Jobs List, и общие веб-сайты по найму, такие как Indeed.

По словам Тейлора Монахана, менеджера по продукту приложения криптовалютного кошелька MetaMask, который часто делится мыслями о криптовалютной деятельности Северной Кореи, наиболее успешными в поиске работы являются молодые инновационные стартапы. Эти стартапы, как правило, не имеют установленных процедур найма, требующих проверки биографических данных. Вместо этого они часто платят своим сотрудникам в криптовалюте.

Проще говоря, Руст заявил, что они лично проводили процессы проверки каждого нового сотрудника в Truflation. Это включало получение их паспортов и документов, удостоверяющих личность, предоставление нам их проектов на GitHub, прохождение теста и, наконец, приветствие их в команде.

Неопытному наблюдателю многие поддельные документы кажутся идентичными настоящим паспортам и визам. Однако специалисты в этой области предположили, что эти фейки могли быть обнаружены тщательно проверяющими агентствами.

Хотя стартапы реже полагаются на профессиональных проверщиков биографических данных, нередко можно найти северокорейских ИТ-специалистов в более крупных корпорациях. Их можно нанимать напрямую или нанимать в качестве подрядчиков. Такое заявление сделал Монахан.

Скрытие на виду

Исследователи CoinDesk часто обнаруживали, что северокорейские ИТ-специалисты используют информацию блокчейна с открытым исходным кодом в различных компаниях.

В прошлом году, работая аналитиком блокчейна в Iqlusion, мне понадобилась помощь в проекте, направленном на обновление широко используемого блокчейна Cosmos Hub. В поисках опытных программистов-фрилансеров мне посчастливилось встретить двух талантливых людей, которые оказались ценными дополнениями к нашей команде. Вместе мы успешно справились с поставленной задачей.

У Маниана не было возможности физически встретиться с «Джун Каем» и «Саравутом Санитом». До встречи они сотрудничали в проекте программного обеспечения с открытым исходным кодом, который THORChain, тесно связанная сеть блокчейнов, поддерживала финансово. Они сообщили Маниану, что их базой операций является Сингапур.

Маниан упомянул, что регулярно беседовал с ними почти каждый день в течение целого года. Проще говоря, они справились со своими обязанностями, и, честно говоря, он был вполне доволен результатом.

Примерно через два года после завершения проекта фрилансеров Маниан получил электронное письмо от агента ФБР, который тщательно исследовал транзакции с токенами, которые, по-видимому, исходили от Iqlusion и направлялись к подозрительным северокорейским криптовалютным счетам, связанным с адресами кошельков. Расследуемые транзакции оказались платежами, осуществленными Iqlusion Каю и Sanit.

Хотя ФБР не подтвердило Маниану, что его нанятые разработчики были представителями Северной Кореи (КНДР), проверка CoinDesk блокчейн-кошельков Кая и Санита показала, что в 2021 и 2022 годах они переводили свои доходы двум лицам из Управления иностранных активов. Санкционный список Управления (OFAC): Ким Сан Ман и Сим Хён Соп.

По данным OFAC, Сим признан представителем Kwangson Banking Corp, северокорейского банка, известного отмыванием средств ИТ-специалистов. Сообщается, что эта деятельность способствует финансированию программ КНДР по созданию оружия массового уничтожения (ОМУ) и баллистических ракет. Похоже, что Саравут переводил все свои доходы Симу и различным связанным с ним кошелькам на блокчейне.

В другом случае Кай перевел примерно 8 миллионов долларов прямо Киму. Стоит отметить, что согласно рекомендации OFAC от 2023 года, Ким является представителем компании Chinyong Information Technology Corporate, связанной с Северной Кореей. Эта компания через подконтрольные ей компании и их представителей направляет команды северокорейских ИТ-специалистов, которые работают в России и Лаосе.

Денежный перевод Иклузиона Каю был значительно ниже 50 000 долларов по сравнению с почти 8 миллионами долларов, которые он перевел Киму, а остальную часть составили некоторые дополнительные средства, полученные от других криптовалютных компаний.

По данным CoinDesk, платежи были отслежены от Fantom Foundation, создателя популярного блокчейна Fantom, до «Джун Кая» и другого разработчика, связанного с Северной Кореей.

Как исследователь, я бы перефразировал это так: «В своих прошлогодних результатах я обнаружил двух человек, не входящих в нашу команду, которые имели связи с Северной Кореей. Эти люди были связаны с внешним проектом, который остался незавершенным и неразвернутым.

Как заявил Фонд Fantom: «Два человека, о которых идет речь, были уволены, они никогда не писали никакого вредоносного кода и не получили доступа к нашей кодовой базе Fantom. Ни один пользователь Fantom не пострадал». Однако один из работников из Северной Кореи якобы предпринял попытку атаки на серверы Fantom, но безуспешно из-за недостаточных прав доступа, как пояснил представитель.

Как сообщает база данных OpenSanctions, только в мае 2023 года какое-либо правительство публично связало адреса блокчейна Кима, связанные с КНДР; прошло более двух лет после того, как Iqlusion и Fantom обработали свои транзакции.

Свобода действий предоставлена

США и ООН санкционировали прием на работу ИТ-специалистов КНДР в 2016 и 2017 годах соответственно.

Платить северокорейским работникам в США незаконно, независимо от того, знаете ли вы, что делаете это, или нет — юридическая концепция называется «строгой ответственностью».

Независимо от местонахождения компании, она может столкнуться с потенциальными юридическими последствиями при приеме на работу работников из Корейской Народно-Демократической Республики (КНДР), поскольку такие действия могут противоречить торговым санкциям, введенным некоторыми странами, которые ведут с ними бизнес.

Тем не менее, ни одна криптофирма не была привлечена к ответственности ни в США, ни в каких-либо других государствах-членах ООН за использование северокорейских ИТ-специалистов.

Именно Министерство финансов США инициировало проверку компании Iqlusion, расположенной на территории США. Однако, по заявлениям Маниана, это расследование закончилось никакими санкциями и штрафами.

Официальные лица США проявили определенную степень понимания и гибкости, не выдвигая сразу же обвинения против этих компаний, поскольку они, судя по всему, попали в ловушку либо исключительно сложной и продвинутой формы мошенничества с личными данными, либо того, что можно было бы считать затяжной и глубоко постыдной аферой.

Проще говоря, Монахан из MetaMask заявил, что, хотя юридические вопросы могут и не иметь прямого отношения к делу, выплата компенсаций ИТ-работникам КНДР может быть проблематичной, поскольку они, по сути, эксплуатируются своим режимом.

Согласно 615-страничному докладу Совета Безопасности ООН, ИТ-специалисты в Корейской Народно-Демократической Республике сохраняют скромную часть своей зарплаты. В частности, в отчете указывается, что люди с более низкими доходами сохраняют около 10%, в то время как люди с самыми высокими доходами могут сохранить до 30%.

Проще говоря, Монахан выразился так: «Не имеет значения, где работают эти люди, но если я им плачу, и они вынуждены передавать весь свой заработок своему руководителю, которым оказывается правительство Северной Кореи — меня это беспокоило бы еще больше, если бы этим руководителем был сам северокорейский режим.

В ходе расследования мы попытались связаться с несколькими людьми, предположительно ИТ-работниками КНДР, однако ответа от них получено не было.

Выдвижение вперед

CoinDesk обнаружил более двух десятков фирм, которые, возможно, нанимали северокорейских технических специалистов, исследуя транзакции блокчейна, связанные с организациями, находящимися под санкциями США. Двенадцать из этих компаний признались CoinDesk, что они действительно обнаружили подозреваемых северокорейских ИТ-специалистов в своих прошлых платежных ведомостях.

Другие предпочли хранить молчание из-за возможных юридических последствий, однако некоторые были готовы рассказать свои истории, надеясь, что их рассказы могут помочь другим справиться с аналогичными ситуациями.

Во многих случаях сотрудников КНДР оказалось легче идентифицировать после того, как они были приняты на работу.

Эрик Чен, генеральный директор Injective — проекта, посвященного сфере децентрализованных финансов, — я нанял разработчика-фрилансера еще в 2020 году. Однако из-за неудовлетворительной работы я счел необходимым расстаться с этим человеком на раннем этапе.

Чен заметил: «Его срок пребывания в должности был недолгим», указав на то, что этот человек создавал код низкого качества, который часто давал сбои. Лишь недавно, в прошлом году, благодаря контакту правительственного агентства США с Injective, Чен обнаружил, что этот сотрудник имеет связи с Северной Кореей.

Несколько фирм сообщили CoinDesk, что они уже уволили сотрудника до того, как обнаружили какие-либо связи с КНДР, обычно из-за плохой работы.

«Зарплата за молоко за несколько месяцев»

Однако ИТ-специалисты КНДР похожи на типичных разработчиков в том смысле, что их способности могут различаться.

По словам Маниана, с одной стороны, некоторые сотрудники могут ходить на собеседования, получать зарплату в течение нескольких месяцев, не внося при этом существенного вклада. И наоборот, есть люди, чьи технические навыки во время собеседования действительно блестят.

Раст упомянул, что в Truflation был выдающийся разработчик, который утверждал, что родом из Ванкувера, но на самом деле был из Северной Кореи. Он описал этого человека как довольно молодого человека, только что окончившего колледж, но с оттенком неопытности, но при этом страстно желающего и с энтузиазмом относящегося к возможности трудоустройства.

Кроме того, сообщалось, что Cluster, компания, специализирующаяся на децентрализованном финансировании, уволила двух своих разработчиков в августе после обвинений ZachXBT относительно их связи с правительством Северной Кореи (КНДР).

Z3n, анонимный создатель Cluster, поделился с CoinDesk, что его поразительно, насколько обширными знаниями обладают эти люди. Оглядываясь назад, можно увидеть явные предупреждающие знаки. Например, они меняли свой платежный адрес каждые две недели и иногда ежемесячно меняли имя пользователя Discord или Telegram.

Веб-камера выключена

В ходе обсуждений с CoinDesk многие работодатели указали на необычное поведение, которое стало яснее, когда они обнаружили, что их сотрудники могут быть северокорейского происхождения.

Как исследователь, я время от времени сталкивался с тонкими индикаторами, которые казались странными. Например, заявленные графики работы некоторых сотрудников существенно отличались от заявленных ими мест, что указывает на потенциальные несоответствия или нетрадиционные схемы работы.

На других предприятиях, таких как Truflition, начали наблюдать признаки того, что одним работником на самом деле может быть несколько человек, притворяющихся одним человеком — факт, который они пытались скрыть, отключив свою веб-камеру. (Обычно этой практикой занимались мужчины).

Сотрудник одной фирмы появлялся на утренних собраниях, но, похоже, не мог вспомнить обсуждения на этих заседаниях в течение дня — особенность, которая стала яснее, когда выяснилось, что этот человек разговаривал с несколькими людьми в течение дня.

Когда Раст поделился своими опасениями по поводу Рюхея, своего сотрудника японского происхождения, с инвестором, который был осведомлен о мониторинге незаконных финансовых транзакций, инвестор быстро обнаружил еще четырех человек из ИТ-сектора Северной Кореи, которые также работали в Truflation.

Поняв необходимость, мы оперативно разорвали все связи, — пояснил Руст. Впоследствии наша команда провела тщательную проверку нашего кода в целях безопасности, усилила процедуры проверки данных и внесла некоторые изменения в существующие политики. Одним из этих изменений стало требование использования камер удаленными работниками.

Взлом на 3 миллиона долларов

Несколько компаний, опрошенных CoinDesk, ошибочно полагали, что ИТ-специалисты КНДР действуют автономно от хакерского подразделения Северной Кореи; однако данные блокчейна и обсуждения со специалистами позволяют предположить частую связь между хакерскими операциями режима и его ИТ-специалистами.

Еще в сентябре 2021 года платформа для запуска криптовалютных токенов MISO, разработанная Sushi, подверглась краже на сумму 3 миллиона долларов. Этот громкий инцидент широко освещался CoinDesk. Их расследование выявило потенциальные связи между атакой и двумя разработчиками, нанятыми Sushi, чьи прошлые транзакции были связаны с платежами через блокчейн, происходящими из Северной Кореи.

Во время кибератаки Sushi была одной из наиболее часто обсуждаемых платформ в быстро растущей сфере децентрализованных финансов (DeFi). Активы на сумму более 5 миллиардов долларов уже хранились в SushiSwap, который в основном функционировал как «децентрализованная торговая платформа», где люди могли обменивать криптовалюты без необходимости использования каких-либо посредников.

Джозеф Делонг, который в то время был техническим директором Sushi, обнаружил, что ограбление MISO было осуществлено двумя независимыми программистами, которых во время разработки называли Энтони Келлер и Сава Груич. Теперь Делонг считает, что эти разработчики, которые, как он подозревает, были одним человеком или группой, внедрили вредоносный код в систему MISO, перенаправив средства на кошелек, которым они управляли.

Присоединившись к Sushi DAO, децентрализованной автономной организации, управляющей протоколом Sushi, Келлер и Груйич представили стандартную для младших разработчиков квалификацию и оказались даже заслуживающими внимания.

В своей общественной жизни Келлер носил псевдоним «eratos1122». Однако, когда он подал заявку на работу в MISO, он представился Энтони Келлером. В резюме, предоставленном CoinDesk Делонгом, место жительства Келлера указано как Гейнсвилл, штат Джорджия, а его образование — степень бакалавра компьютерной инженерии в Университете Феникса. (В университете не проверяли, существует ли такой выпускник.)

В резюме Келлера есть реальные упоминания о предыдущих местах работы. Одним из примечательных примеров является Yearn Finance, широко используемый протокол инвестирования в криптовалюту, который позволяет пользователям зарабатывать проценты с помощью различных заранее определенных инвестиционных стратегий. Примечательно, что Бантег, ключевой разработчик Yearn, подтвердил, что Келлер внес свой вклад в Coordinape, приложение, разработанное Yearn для совместной работы и обработки платежей. Важно отметить, что Бантег упомянул, что работа Келлера ограничивалась Coordinape, и у него не было доступа к основной кодовой базе Yearn Finance.

Как исследователь, я делюсь интересным выводом из своего расследования: Келлер познакомил Груича с MISO, и, по словам Делонга, они представили себя друзьями. Интересно, что, как и Келлер, Груич подал резюме под заявленным настоящим именем, а не под онлайн-псевдонимом «АристоК3». Он назвал себя выходцем из Сербии и имеющим степень бакалавра компьютерных наук в Белградском университете. Его учетная запись GitHub была активной, а в его резюме указывался опыт работы с различными небольшими криптовалютными проектами и инициативами игровых стартапов.

Еще до взлома Рэйчел Чу — бывший ключевой сотрудник Sushi, часто сотрудничавшая с Келлером и Груичем, — уже выразила по отношению к ним чувство беспокойства или подозрения.

Хотя Груич и Келлер предположительно были родом из разных мест по всему миру, они, как упомянул Чу, имели один и тот же акцент и стиль текстовых сообщений. Во время разговоров они часто слышали фоновый шум, намекающий на то, что они находятся на производстве, отметила она далее. Чу вспомнила, что узнала лицо Келлера, но не лицо Груича, и она объяснила, что камера Келлера была увеличена достаточно близко, чтобы она не могла видеть что-либо за ним.

Примерно в тот же момент, на пике кризиса Covid-19, Келлер и Груич прекратили свое участие в MISO. Делонг предположил, что это может быть одно и то же лицо, что привело к решению не продолжать выплачивать им компенсации из-за возможности удаленных разработчиков криптовалюты притворяться несколькими людьми, чтобы обеспечить дополнительный доход от заработной платы в течение этого периода.

После ухода Келлера и Груича летом 2021 года команде Sushi не удалось удалить свои разрешения из кодовой базы MISO.

2 сентября Aristok3 (псевдоним Груича) загрузил вредоносное ПО на платформу MISO. В результате этого действия около 3 миллионов долларов были перенаправлены в недавно созданный цифровой кошелек, о чем свидетельствует скриншот, представленный CoinDesk.

Основываясь на анализе записей транзакций блокчейна, проведенном CoinDesk, похоже, существует возможная связь между Келлером, Гружичем и Северной Кореей. В марте 2021 года Келлер поделился адресом блокчейн-кошелька в твите, который впоследствии был удален. CoinDesk обнаружил многочисленные транзакции между этим адресом, хакерской учетной записью, связанной с Груичем, и зарегистрированными адресами, связанными с Keller by Sushi. В ходе внутреннего расследования Суши установила, что адрес кошелька действительно был связан с Келлером, как заявил Делонг.

CoinDesk обнаружила, что подозрительный аккаунт в основном переводил свои средства на адрес, связанный с «Джун Каем», разработчиком Iqlusion, который ранее отправлял деньги лицу по имени Ким Сан Ман, на которое наложены ограничения OFAC. Кроме того, среди получателей был еще один кошелек, предположительно действовавший в качестве северокорейского прокси-сервера, поскольку он тоже осуществлял платежи Киму.

Внутреннее расследование, проведенное Sushi, дополнительно подтверждает гипотезу о том, что Келлер и Груич имеют северокорейское происхождение. Расследование показало, что эти люди часто работали, используя IP-адреса в России — регионе, где OFAC предполагает временное размещение ИТ-специалистов Северной Кореи. (Стоит отметить, что номер телефона, указанный Келлером в его резюме, теперь отключен, а его учетные записи «eratos1122» на GitHub и Twitter удалены.)

Более того, CoinDesk обнаружил признаки того, что у Sushi был еще один предполагаемый ИТ-подрядчик из КНДР, работавший одновременно с Келлером и Груйчем. Этот разработчик, известный ZachXBT как Гэри Ли, использовал псевдоним LightFury и перевел свои доходы на «Джун Кай» и другой адрес, связанный с Кимом, выступая в качестве прокси.

Как исследователь, углубляющийся в этот интригующий сценарий, я оказался в ситуации, когда Суши, открыто задействуя псевдоним «eratos1122», связанный с Келлером, даже намекая на причастность ФБР, привел к неожиданному повороту событий. Груйич, ИТ-специалист КНДР, о котором идет речь, вернул украденные средства. Может показаться странным, что северокорейский ИТ-специалист уделяет приоритетное внимание защите вымышленной личности, но похоже, что эти люди склонны повторно использовать определенные имена и со временем повышать свой авторитет, участвуя в многочисленных проектах. Это может быть метод, который они используют, чтобы завоевать доверие потенциальных будущих работодателей, укрепляя репутацию, основанную на доверии и надежности.

Вполне возможно, что кто-то увидел большую финансовую выгоду в сохранении личности Энтони Келлера, поскольку это произошло почти через два года после инцидента в «Суши», когда человек, использовавший это имя, подал заявку в Truflation, компанию, принадлежащую Стефану Русту, в 2023 году.

Попытки связаться с «Энтони Келлером» и «Саввой Груичем» для получения комментариев не увенчались успехом.

Ограбления в стиле КНДР

ООН сообщила, что Северная Корея незаконно приобрела криптовалюту на сумму более 3 миллиардов долларов в результате хакерской деятельности за последние семь лет. По данным аналитической компании Chainaанализ, около половины взломов, которые они отследили в первой половине 2023 года и которые предположительно связаны с Северной Кореей, связаны с кражами, совершенными ИТ-специалистами. Такое заявление сделала Мадлен Кеннеди, представитель фирмы.

Вместо изображений в голливудских фильмах, где персонажи в толстовках взламывают огромные системы со сложным кодированием и монохромными компьютерными экранами, северокорейские кибератаки обычно значительно отличаются от таких изображений.

Атаки, исходящие из КНДР, как правило, носят менее изощренный характер. Обычно они используют тактику социальной инженерии, которая предполагает завоевание доверия человека, имеющего доступ к системе. Как только доверие завоевано, злоумышленник манипулирует этими отношениями, чтобы получить доступ к системе с помощью таких простых средств, как нажатие на вредоносную ссылку в электронном письме.

По словам Монахана, до сих пор создается впечатление, что Северная Корея (КНДР) занималась такой деятельностью, как социальная инженерия, только для получения доступа к устройствам и, как следствие, к закрытым ключам. Они не продемонстрировали никаких признаков прямой кибератаки или эксплойта.

Специалисты в области информационных технологий могут сыграть значительную роль в кибератаках на Корейскую Народно-Демократическую Республику (КНДР), либо получая конфиденциальные данные, которые можно использовать для разрушения возможных целей, либо путем проникновения в программные системы, богатые цифровыми средствами.

Серия совпадений

25 сентября, как раз перед публикацией этой статьи, состоялась запланированная видеоконференция между CoinDesk и Rust из Truflation. Целью звонка была проверка некоторых фактов, которые он ранее предоставил.

Взволнованный Раст присоединился к разговору с опозданием на 15 минут. Его только что взломали.

CoinDesk связался с более чем двумя дюжинами проектов, которые, по всей видимости, по ошибке наняли северокорейских ИТ-специалистов. За последние две недели расследования два из этих проектов пострадали от хакерских атак: Truflation и приложение для кредитования в криптовалюте, известное как Delta Prime.

Остается неясным, связаны ли взломы со случайной вербовкой северокорейского ИТ-персонала.

16 сентября первоначально сообщалось, что компания Delta Prime подверглась взлому. Предыдущие расследования CoinDesk выявили связи между Delta Prime и Наоки Мурано, одним из разработчиков, связанных с Северной Кореей, которых разоблачил ZachXBT, анонимный детектив по блокчейну.

Проект понес финансовые потери, превышающие 7 миллионов долларов, в первую очередь из-за взлома конфиденциального цифрового кода. Несмотря на многочисленные попытки, Дельта Прайм отказалась предоставить комментарии по этому поводу.

Через две недели после взлома Truflation средства начали утекать из криптовалютного кошелька Раста, что привлекло его внимание примерно за два часа до звонка в CoinDesk. Только что после поездки в Сингапур он озадачился ошибкой, которую мог совершить. «Я просто не могу понять, как это произошло», — признался он. «Мои блокноты надежно хранились в сейфе отеля, а телефон все время был при мне.

Пока он говорил, большие суммы денег утекали из индивидуальных блокчейн-кошельков Раста, что прискорбно, поскольку они представляют собой средства на обучение его детей и пенсионные расходы.

Truflation и Rust в конечном итоге потеряли около 5 миллионов долларов. Официальной причиной стал украденный закрытый ключ.