Северная Корея и киберпреступность
Северная Корея украла 2,84 миллиарда долларов в криптовалюте с января 2024 года, согласно новому отчету Многосторонней группы мониторинга санкций. Эта группа отвечает за контроль за нарушениями санкций ООН против Корейской Народно-Демократической Республики.
Методы кражи и нарушения санкций
В отчете указано, что КНДР похитила по меньшей мере 1,65 миллиарда долларов в период с января по сентябрь этого года. Большая часть этих средств была получена в результате взлома биржи Bybit в феврале.
МГМС сообщает, что Северная Корея расширяет использование удаленной IT-работы. Размещение IT-работников за границей нарушает резолюции Совета Безопасности ООН 2375 и 2397, которые запрещают трудоустройство работников из Северной Кореи. Однако это не остановило КНДР от участия на рынках труда как минимум восьми стран, включая Китай, Россию, Лаос, Камбоджу, Экваториальную Гвинею, Гвинею, Нигерию и Танзанию.
Киберсилы Северной Кореи
Отчет подробно описывает, что от 1000 до 1500 работников КНДР находились в Китае, и что Пхеньян планировал отправить до 40 000 работников в Россию. Несмотря на то, что МГМС приходит к выводу, что киберсилы Северной Кореи «являются национальной программой полного спектра, работающей на уровне, приближающемся к киберпрограммам Китая и России», участники отчета также отмечают, что западные агентства и компании все больше адаптируются к этой проблеме.
«Хотя хакеры, связанные с Северной Кореей, представляют собой значительную угрозу, способность правоохранительных органов, национальных служб безопасности и частного сектора выявлять связанные риски и противодействовать им растет», — сказал Эндрю Фирман, глава разведки национальной безопасности в Chainalysis.
Ответные меры и сотрудничество
В интервью Decrypt Фирман привел пример из августа, когда Управление по контролю за иностранными активами США (OFAC) наложило санкции на мошенническую сеть IT-работников, связанную с КНДР. Он объяснил:
«Эти лица были обозначены за их участие в схемах, которые направляют доходы, полученные от IT-работников КНДР, для поддержки программ массового уничтожения и баллистических ракет КНДР.»
Фирман также отметил, что десятки миллионов долларов в криптовалюте были возвращены после взлома Bybit в феврале, в то время как Decrypt сообщал в июне, что часть средств была отслежена до греческой криптобиржи.
Рекомендации по безопасности
Фирман рекомендовал увеличить сотрудничество между государственными и частными структурами, что является результатом отчета МГМС, учитывая участие Chainalysis, Mandiant от Google Cloud, DTEX, Palo Alto Networks, Upwork и Sekoia.io. Он сказал:
«Инициативы по обмену данными, правительственные рекомендации, решения по безопасности в реальном времени, современные инструменты отслеживания и целенаправленное обучение могут дать возможность заинтересованным сторонам быстро выявлять и нейтрализовать злонамеренные действия, одновременно создавая устойчивость, необходимую для защиты криптоактивов.»
Используя блокчейн-разведку и традиционные меры кибербезопасности, пострадавшие стороны смогут выявлять и замораживать украденные средства до их отмывания, а также картировать финансовые сети Северной Кореи. На основе этого Фирман и Chainalysis рекомендуют организациям:
- внедрять комплексный мониторинг блокчейна,
- разрабатывать улучшенные процедуры должной осмотрительности для найма IT-подрядчиков,
- развертывать современные системы обнаружения угроз,
- поддерживать регулярные аудиты безопасности,
- устанавливать четкие протоколы для крупных транзакций.
