Исследователь в области блокчейна ZachXBT обнаружил сеть разработчиков из Северной Кореи, которая зарабатывает до $500 000 в месяц, работая над проектами в криптовалютной индустрии. ZachXBT предполагает, что за деятельностью специалистов стоит Северная Корея.
По заявлению ZachXBT, группа разработчиков состоит как минимум из 21 сотрудника, которые работают над более чем 25 криптопроектами. Исследователь также сообщил, что недавно к нему обратился один из проектов с просьбой о помощи. Проект забил тревогу после того, как из бюджета было украдено $1,3 миллиона из-за внедрения вредоносного кода. Как оказалось, пострадавшая команда, не подозревая об этом, наняла нескольких северокорейских ИТ-работников, которые использовали поддельные личности.
Поддельные документы северокорейских IT-специалистов
Дальнейшее расследование показало, что украденные $1,3 миллиона были отмыты через цепочку транзакций, которая включала перевод средств на адрес злоумышленников и завершилась переводом 16,5 ETH на 2 разных обменника. ZachXBT заключил, что разработчики являются частью гораздо более широкой сети.
Анализируя несколько платежных адресов, исследователь обнаружил группу разработчиков, которая получила $375 000 за последний месяц, а общая сумма транзакций за период с июля 2023 года до начала 2024 года составила $5,5 миллиона. Средства поступили на депозитный адрес на криптовалютной бирже, что еще больше укрепило подозрения ZachXBT в причастности северокорейских ИТ-работников.
Расследование также привело к выявлению связей с неким Сим Хён Сопом, находящимся под санкциями США за координацию финансовых переводов, которые направлены на финансирование программы вооружений Северной Кореи. Другие платежные адреса были связаны с еще одним подсанкционным лицом – Сан Ман Кимом, которого связывают с киберпреступлениями КНДР.
Некоторые из разработчиков были наняты через рекрутинговые агентства и иногда рекомендовали друг друга для работы. Исследователь также отметил, что разработчиков наняли несколько опытных команд, поэтому несправедливо возлагать вину только на них.
Примером тому стал случай, когда представитель одного из криптопроекта обнаружил, что нанял разработчика из Северной Кореи по имени Наоки Мурано. После того, как информация об этом распространилась в рабочем чате, Мурано покинул чат и удалил свой профиль на GitHub в течение двух минут.
Компании, связанные с КНДР, на протяжении последних лет подозреваются в многочисленных кибератаках и мошеннических схемах. Напомним, что в начале августа в США был арестован 38-летний Мэттью Айзек Кнут по обвинению в помощи северокорейским IT-специалистам в получении удаленной работы в американских компаниях. Арестованный создавал условия, чтобы специалисты из Северной Кореи, используя поддельные данные, выдавали себя за граждан США. Наиболее известная группа, связанная с КНДР – Lazarus Group, которая украла свыше $2 миллиардов в криптовалютных активах за 6 лет (по состоянию на апрель).