Представьте себе страну, где владение биткоином может закончиться тюрьмой или кое-чем похуже, но при этом само государство является одним из самых агрессивных игроков на крипторынке. Это парадокс Северной Кореи (КНДР). Пока внутри страны действует жесточайший запрет на использование цифровых валют для граждан, правительство Ким Чен Ына превратило киберпреступность в полноценную государственную индустрию. Зачем? Чтобы финансировать ядерную программу, обходя международные санкции, которые отрезали страну от традиционной мировой банковской системы.
Рекорды 2025 года: почему кражи стали масштабнее
Если вы думали, что хакеры из КНДР просто «щелкают по мелочи», то цифры за 2025 год заставят вас передумать. Всего за первую половину года северокорейские группировки украли более 2,17 миллиарда долларов из криптосервисов. Для сравнения: весь 2024 год принес им около 1,3 миллиарда. Это не просто рост - это качественный скачок в эффективности.
Центральным событием стал взлом биржи ByBit 21 февраля 2025 года. ФБС присвоила этой операции кодовое имя «TraderTraitor». Итог - пропажа примерно 1,5 миллиарда долларов. Что самое пугающее, хакерам удалось взломать «холодный» кошелек. Раньше считалось, что хранилища, отключенные от интернета, практически неуязвимы. Этот случай показал, что Пхеньян либо нашел новый способ обхода аппаратной защиты, либо глубоко внедрился в инфраструктуру управления ключами.
Три столпа выживания: как работает схема Пхеньяна
Государственные хакеры не просто воруют деньги и переводят их на один счет. Это сложная машина, состоящая из трех основных элементов.
Во-первых, это социальная инженерия и внедрение. КНДР нанимает тысячи IT-специалистов, которые работают на западные компании под видом фрилансеров из Китая, России или Юго-Восточной Азии. Они создают фальшивые профили, используют VPN и софт для удаленного управления, чтобы скрыть свое местоположение. Получая доступ к внутренним сетям компаний, они ищут уязвимости или крадут данные для последующих атак.
Во-вторых, это отмывание через «серые» хабы. Камбоджа стала одним из главных центров по очистке криптоактивов. Например, группа Huione Group была признана FinCEN серьезной угрозой. Через их дочерние структуры, такие как Huione Crypto, Северная Корея выпускала стейблкоины, которые невозможно заморозить. Это позволяло превращать украденный биткоин в «чистые» деньги, которые можно тратить на закупку технологий для ракет.
В-третьих, это инфраструктура миксеров и мостов. После кражи активы дробятся на тысячи адресов в разных блокчейнах. Хакеры используют DeFi-протоколы и кросс-чейн мосты, чтобы запутать след аналитиков, прежде чем окончательно конвертировать крипту в фиатные деньги через подставные фирмы.
| Метод | Основной инструмент | Цель | Масштаб (примерно) |
|---|---|---|---|
| Прямые взломы | Эксплойты, атаки на холодные кошельки | Быстрый захват крупных сумм | $2,17 млрд в 2025 г. |
| IT-шпионаж | Фейковые личности, VPN, удаленка | Доход и доступ к сетям | До $600 млн ежегодно |
| Отмывание | Стейблкоины, казино, подставные фирмы | Конвертация в реальные деньги | Миллионы через Huione |
Международная охота: кто и как пытается остановить Пхеньян
США и их союзники перешли от простого наблюдения к активным действиям. Министерство финансов США через OFAC ввело санкции против таких структур, как Korea Sobaeksu Trading Company. Эта фирма служила прикрытием для IT-команд, которые помогали режиму обходить финансовые ограничения.
ФБР теперь работает напрямую с криптобиржами, RPC-операторами и аналитическими компаниями. Их цель - создать «черный список» адресов, связанных с операцией TraderTraitor, чтобы любой перевод с них автоматически блокировался. Однако здесь кроется проблема: криптомир децентрализован. Пока часть бирж соблюдает правила, другие продолжают работать с сомнительными клиентами, что дает хакерам лазейки.
Политики в Вашингтоне, включая сенаторов Элизабет Уоррен и Джека Рида, открыто признают: старые методы санкций больше не работают. Когда страна может украсть миллиард долларов за одну ночь, традиционные торговые эмбарго становятся лишь фоном. Сейчас обсуждаются более жесткие меры по мониторингу стейблкоинов и усилению кибербезопасности критической инфраструктуры.
Чего ждать дальше и как защититься
Скорее всего, атаки не прекратятся, а станут еще тоньше. Мы увидим больше попыток внедрения в команды разработки DeFi-проектов и использования искусственного интеллекта для создания идеальных фейковых личностей IT-работников. Для обычных пользователей и компаний это означает одно: стандартной двухфакторной аутентификации уже недостаточно.
Если вы управляете активами или нанимаете удаленных сотрудников, стоит внедрить строгие проверки (KYC/KYB) и использовать аппаратные кошельки с многосигнатурной проверкой (Multi-sig). Помните, что для северокорейских хакеров ваш бизнес - это не просто цель, а ресурс для государственного военного бюджета.
Почему в Северной Корее запрещена крипта для людей, но разрешена для государства?
Режим Ким Чен Ына боится потери контроля над финансами. Криптовалюты позволяют гражданам переводить деньги за границу и получать доход в обход государственного надзора, что подрывает власть. В то же время для государства крипта - это идеальный инструмент для обхода международных санкций и тайного наполнения бюджета.
Что такое атака TraderTraitor?
Это крупнейшая в истории кража криптовалюты, совершенная хакерами из КНДР 21 февраля 2025 года. В результате взлома биржи ByBit было похищено около 1,5 миллиарда долларов. Особенностью атаки стал взлом «холодного» хранилища, которое считалось максимально защищенным.
Как КНДР нанимает IT-специалистов в западные компании?
Они используют подложные документы и создают фейковые профили в LinkedIn или на фриланс-биржах, выдавая себя за жителей других стран (например, Китая или России). С помощью VPN и удаленного софта они скрывают реальный IP-адрес, чтобы работодатель думал, что разработчик находится в Европе или США.
Какую роль играет Камбоджа в этих схемах?
Из-за слабого финансового регулирования Камбоджа стала хабом для отмывания денег. Компании вроде Huione Group помогали конвертировать украденные токены в стейблкоины и фиатные деньги, создавая цепочки транзакций, которые сложно отследить международным органам.
Могут ли санкции OFAC реально остановить такие кражи?
Санкции усложняют жизнь хакерам, блокируя их счета в легальных банках и на крупных биржах. Однако они не могут остановить сам процесс взлома. Единственный эффективный путь - это повышение технической защиты криптосервисов и глобальное сотрудничество всех бирж по блокировке подозрительных адресов.
