Көпжақты санкцияларды бақылау тобының (MSMT) есебіне сәйкес, Солтүстік Кореямен байланысы бар хакерлер 2024 пен 2025 жылдың қыркүйек айы аралығында 2,83 млрд доллар көлемінде виртуалды активтерді ұрлаған.
Есепте Пхеньянның тек ұрлықта ғана емес, сонымен қатар заңсыз табыстарды өткізу үшін күрделі әдістерге ие екендігі атап өтілген.
Хакерлік табыс елдің шетел валютасының үштен бірін құрайды
MSMT құрамына АҚШ, Оңтүстік Корея және Жапония сияқты 11 ел кіретін көпұлтты коалиция болып табылады. Ол Солтүстік Кореяға қарсы БҰҰ Қауіпсіздік Кеңесінің санкцияларын жүзеге асыруды қолдау үшін 2024 жылдың қазан айында құрылған.
MSMT мәліметінше, 2024 пен 2025 жылдың қыркүйек айы аралығында ұрланған 2,83 млрд доллар маңызды көрсеткіш болып табылады.
«Солтүстік Кореяның 2024 жылғы виртуалды активтерді ұрлаудан түскен табысы елдің жалпы шетел валютасындағы кірісінің шамамен үштен бірін құрады», – деп атап өтті топ.
Ұрлық ауқымы айтарлықтай өсті, тек 2025 жылы 1,64 млрд доллар ұрланған, бұл 2024 жылғы 1,19 млрд доллардан 50%-дан астамға өскенін көрсетеді, 2025 жылғы көрсеткіш соңғы тоқсанды қоспағанда.
Bybit бұзу және TraderTraitor синдикаты
MSMT 2025 жылдың ақпан айында әлемдік Bybit биржасының бұзылуын 2025 жылғы заңсыз табыстың өсуіне негізгі себеп ретінде анықтады. Шабуыл Солтүстік Кореяның ең күрделі хакерлік ұйымдарының бірі TraderTraitor-ға тиесілі болды.
Тергеу барысында топтың Bybit қолданған көп қолтаңбалы әмиян провайдері SafeWallet-ке қатысты ақпарат жинағаны анықталды. Олар фишингтік электрондық хаттар арқылы рұқсатсыз қол жеткізді.
Олар сыртқы аударымдарды ішкі актив қозғалысы ретінде жасырып, ішкі желіге қол жеткізу үшін зиянды кодты пайдаланды. Бұл оларға суық әмиянның смарт келісімшартының бақылауын басып алуға мүмкіндік берді.
MSMT соңғы екі жылдағы ірі бұзуларда Солтүстік Кореяның жиі биржаларға қосылған үшінші тарап қызмет провайдерлерін нысанаға алуды жөн көретінін атап өтті. Бұл биржалардың өздеріне шабуыл жасаудан гөрі.
Тоғыз қадамдық жылыстату механизмі
MSMT Солтүстік Кореяның ұрланған виртуалды активтерді фиат валютасына айналдыру үшін қолданатын мұқият тоғыз қадамдық жылыстату процесін егжей-тегжейлі сипаттады:
1. Шабуылдаушылар ұрланған активтерді орталықтандырылмаған биржада (DEX) ETH сияқты криптовалюталарға айырбастайды.
2. Олар Tornado Cash, Wasabi Wallet немесе Railgun сияқты қызметтерді пайдаланып қаражатты «араластырады».
3. Олар ETH-ті BTC-ке көпір қызметтері арқылы айырбастайды.
4. Олар орталықтандырылған биржа есепшоттарынан өткеннен кейін қаражатты суық әмиянға аударады.
5. Екінші рет араластырғаннан кейін активтерді әртүрлі әмияндарға таратады.
6. Олар BTC-ті TRX (Tron) көпір және P2P саудасы арқылы айырбастайды.
7. Олар TRX-ті стейблкоин USDT-ке айырбастайды.
8. Олар USDT-ті биржадан тыс (OTC) брокерге аударады.
9. OTC брокері активтерді жергілікті фиат валютасына айналдырады.
Жаһандық желі қолма-қол ақша шығаруды жеңілдетеді
Криптовалютаны қолдануға жарамды фиатқа айналдыру ең қиын кезең болып табылады. Бұл Қытай, Ресей және Камбоджа сияқты үшінші тарап елдеріндегі OTC брокерлері мен қаржы компанияларын пайдалану арқылы жүзеге асырылады.
Есепте нақты адамдар аталды. Олардың ішінде Шэньчжэнь Chain Element Network Technology компаниясынан қытайлық азаматтар Е Динронг пен Тан Йонгжи және P2P трейдері Ван Ицонг бар.
Олар Солтүстік Корея субъектілерімен жалған куәліктерді ұсыну және активтерді жылыстатуды жеңілдету үшін ынтымақтасқан деп айыпталуда. Ресейлік делдалдар Bybit бұзылуынан шамамен 60 млн долларды жоюға қатысқан.
Сонымен қатар, Камбоджаның Huione Group құрамындағы қаржылық қызмет көрсетуші Huione Pay жылыстату үшін пайдаланылған.
«Солтүстік Корея азаматы Huione Pay серіктестерімен жеке қарым-қатынаста болып, 2023 жылдың соңында виртуалды активтерді қолма-қол ақшаға айналдыру үшін олармен ынтымақтасқан», – деп мәлімдеді MSMT.
MSMT 2024 жылдың қазан және желтоқсан айларында Камбоджа үкіметіне Huione Pay-дың БҰҰ тағайындаған Солтүстік Кореяның кибер хакерлерін қолдау қызметіне қатысты алаңдаушылық білдірді. Нәтижесінде, Камбоджа Ұлттық банкі Huione Pay-дың төлем лицензиясын жаңартудан бас тартты, алайда компания елде жұмысын жалғастыруда.
