Украденные токены, теперь оценивается в 1,47 триллиона вон, представляет собой одно из крупнейших ограблений криптовалюты, приписываемых Северной Корее.
Раскрыто участие Северной Кореи
Согласно отчету, 21 ноября Национальный следственный штаб Национального полицейского агентства Южной Кореи объявил, что атака была организована двумя северокорейскими хакерскими группами Lazarus и Andariel. Обе группы известны как филиалы Главного разведывательного бюро Северной Кореи, государственного агентства, связанного с кибершпионажем и финансовыми преступлениями.
Следователи опирались на комбинацию цифровой криминалистики, включая отслеживание IP-адресов и анализ потока украденных криптовалют. Исследование также выявило лингвистические следы северокорейской лексики.
«Было обнаружено, что следы северокорейского термина ‘Heulhan Il’ (слово, означающее ‘неважный вопрос’) были обнаружены на компьютере, который использовался в то время для атаки», — подтвердили другие местные корейские СМИ.
Этот лингвистический отпечаток, наряду с другими техническими доказательствами, усилил дело против Северной Кореи. Согласно отчету, полиция Федерального бюро расследований США (ФБР) также помогала расследованию. Они предоставили дополнительные доказательства, связывающие атаку с Северной Кореей.
После кражи преступники обменяли 57% украденного Ethereum на Bitcoin на трех криптовалютных биржах, которые, как полагают, управляются Северной Кореей. Эти транзакции проводились по ценам на 2,5% ниже рыночной стоимости, предположительно, для ускорения продажи. Затем они распределили оставшийся Ethereum по 51 зарубежной бирже и отмыли его, чтобы скрыть его происхождение.
Ценовая динамика Ethereum. Источник: BeinCrypto
В 2020 году часть украденной криптовалюты была обнаружена на швейцарской криптобирже. После четырехлетних усилий по доказательству ее источника швейцарским прокурорам власти Южной Кореи изъяли 4,8 биткоина (BTC) на сумму около 600 миллионов вон. Извлеченные средства были позднее возвращены Upbit в октябре 2024 года.
Опасения по поводу Северной Кореи и бед Upbit
Между тем участие Северной Кореи в криптовалютных преступлениях не является чем-то новым. После серии сообщений власти отметили изменение тактики. Как недавно сообщило издание BeInCrypto, хакеры, связанные с режимом, все чаще атакуют криптовалютные компании, используя сложные методы. Среди наиболее распространенных методов — фишинговые кампании и атаки на цепочки поставок.
«Кампания, которую мы назвали «Скрытый риск», использует электронные письма, распространяющие фейковые новости о тенденциях криптовалюты, чтобы заражать цели с помощью вредоносного приложения, замаскированного под PDF-файл», — говорится в недавнем отчете.
Эта смена тактики подчеркивает срочность усиления мер кибербезопасности во всей отрасли. Тем не менее, подтверждение участия Северной Кореи во взломе Upbit в 2019 году знаменует собой значительное событие.
Хотя Организация Объединенных Наций (ООН) и иностранные правительства ранее обвиняли Северную Корею в финансировании своих программ по созданию оружия за счет кражи криптовалюты, это первый случай, когда власти Южной Кореи официально связали режим с крупным хищением криптовалюты. Инцидент подчеркивает двойную уязвимость, с которой сталкивается индустрия криптовалют.
Во-первых, внешние угрозы от спонсируемых государством хакеров и, во-вторых, внутренние риски, связанные с ненадлежащим соблюдением нормативных требований. В отношении последнего, и как сообщает BeInCrypto, подразделение финансовой разведки Южной Кореи недавно высказало опасения по поводу ненадлежащих систем проверки пользователей. В частности, подразделение выявило более 600 000 потенциальных нарушений KYC на Upbit, крупнейшей криптовалютной бирже Южной Кореи.
Обнаружение массовых нарушений KYC на Upbit поднимает вопросы о том, делают ли биржи достаточно для предотвращения незаконной деятельности. Улучшенный надзор в сочетании с более строгим соблюдением мер по борьбе с отмыванием денег (AML) может помочь предотвратить будущие атаки и обеспечить более безопасную торговую среду для инвесторов.
Биржа также сталкивается с антимонопольным расследованием со стороны Комиссии по справедливой торговле Южной Кореи, которая изучает потенциальные злоупотребления доминирующим положением на рынке.
