Как северокорейские хакеры отмывали $250 млн в криптовалюте

На этой неделе ФБР, Министерство внутренней безопасности и Служба внутренних доходов США обвинила двух граждан Китая — Тянь Иньина и Ли Цзядуна — в причастности к взлому неназванной криптовалютной биржи и краже криптовалют на $250 млн. Они вряд ли когда-нибудь предстанут перед судом — их не будут выдавать, а они не будут посещать США или страны, которые могут их выдать. Обвинения являются одной из попыток спецслужб США публично осветить незаконную деятельность КНДР в интернете.

Правительство США обвинило китайцев в заговоре с целью отмывания денег и ведению нелицензионного бизнеса по передаче денег. Также был опубликован подробный отчет (PDF) о том, как отмывались $250 млн, пишет Wired.

Все началось с вредоносного ПО. В середине 2018 года сотрудник взломанной криптобиржи переписывался с потенциальным клиентом по электронной почте. Во время переписки они загрузили вредоносное ПО, которое позволило получить удаленный доступ к инфраструктуре биржи и закрытым ключам от криптовалютных кошельков. Согласно отчету, было украдено около $250 млн ― 10 777 BTC ($94 млн), 218 790 ETH ($131 млн) и различные суммы в других криптовалютах ― Dogecoin, Ripple, Litecoin и Ethereum Classic.

В попытке скрыть свои следы северокорейские хакеры использовали сложные цепочки транзакций ― один аккаунт с большим количеством криптовалюты переводил небольшие суммы на другие аккаунты. Процесс повторяется до тех пор, пока криптовалюта не будет перемещена через сотни аккаунтов.

После этого хакеры потратили часть украденной криптовалюты на создание новой компании. Они приобрели годовую подписку на корпоратиный email-сервис для домена и компании Celas, которая предлагала ПО для криптотрейдинга (когда компания по кибербезопасности провела проверку, она обнаружила вредоносное ПО, которое собирало персональные данные; они отправили тысячи фишинговых писем, пытаясь обманом заставить людей загрузить программное обеспечение). Чтобы сделать Celas более реалистичной компанией, для сотрудников, которые якобы работали над продуктом, были созданы фейковые аккаунты в Instagram, Twitter, LinkedIn и Facebook.

Тем не менее, было допущено несколько ошибок при взломе и отмывании криптовалюты, что в конечном итоге и привело к раскрытию дела. «Несмотря на использование VPN-сервисов для маскировки своих адресов, правоохранительные органы смогли отследить и выйти на IP-адреса в Северной Корее», ― говорится в отчете.

Из 10 777 биткоинов, которые были украдены, более 10 500 были переведены на четыре неназванные криптовалютные биржи.

Правительство США утверждает, что Тянь и Ли являются гражданами Китая с «государственными удостоверениями личности и китайскими телефонными номерами». Под псевдонимами «snowsjohn» и «khaleesi» в период с июля 2018 года по апрель 2019 года они обработали криптовалютные транзакции на сумму $100 812 842, которые были связаны с украденными $250 млн. «Тянь Иньинь и Ли Джиадонг конвертировали ​виртуальную валюту в наличные и передавали её клиентам за плату», ― говорится в обвинительном заключении. Они даже покупали подарочные карты iTunes в качестве одного из способов скрыть движение средств.

«Взлом бирж виртуальных валют и связанное с этим отмывание денег в интересах северокорейских субъектов представляют серьезную угрозу безопасности и целостности глобальной финансовой системы», ― заявил американский прокурор Тимоти Ши. «Эти обвинения должны служить напоминанием о том, что правоохранительные органы благодаря своим партнерским связям и сотрудничеству обнаружат незаконную деятельность здесь и за границей, а также обвинят тех, кто несет ответственность за незаконные действия, и арестуют средства даже в форме виртуальной валюты».