ФБР изъяло 15,1 миллиона стейблкоинов! Хакеры из Северной Кореи проникли в 136 американских компаний, подробности раскрыты.

На прошлой неделе Министерство юстиции США объявило, что подало заявку на конфискацию Tether USDT стейблкоинов на сумму 15,1 миллиона долларов, которые были изъяты у северокорейских хакеров, связанных с организацией APT38. В то же время четверо граждан США и один гражданин Украины признали себя виновными в помощи северокорейским IT-специалистам в проникновении в 136 компаний в США, что принесло северокорейскому режиму более 2,2 миллиона долларов дохода.

ФБР конфисковало 15,1 миллиона долларов USDT стейблкоин

（Источник: Министерство юстиции США）

Министерство юстиции США объявило 14 ноября, что подало два гражданских иска о конфискации, пытаясь изъять Tether стейблкоин USDT на сумму 15,1 миллиона долларов, который был украден северокорейскими хакерами в 2023 году. Захваченные криптовалюты происходят от Advanced Persistent Threat 38 (APT38), что является северокорейской военной хакерской группой, которая в 2023 году проводила кражи на четырех зарубежных платформах виртуальных валют. ФБР конфисковало эти средства в марте 2025 года и сейчас стремится получить одобрение суда на конфискацию этих активов для возврата жертвам.

Захваченные стейблкоины поступили из четырех инцидентов, объявление не уточняет, какие именно четыре, но улики указывают на то, что это могут быть: атака хакеров на биржу Poloniex в ноябре 2023 года, в результате которой было потеряно более 100 миллионов долларов; атака хакеров на криптовалютную компанию CoinsPaid в июле 2023 года с убытками в 37 миллионов долларов; потеря около 60 миллионов долларов у процессинговой компании Alphapo в том же месяце; и неуточненный случай в “ноябре 2023 года, когда было похищено около 138 миллионов долларов из виртуальной валютной биржи в Панаме”. Министерство юстиции США еще не подтвердило, какие именно инциденты охватывает данный иск о конфискации.

Случай использования стейблкоинов в качестве инструмента отмывания денег снова подчеркивает неотложность регулирования цифровых активов. Стейблкоины, такие как USDT, благодаря своей привязке к доллару 1:1, крайне удобны для трансакций через границу, но именно поэтому они стали предпочтительным инструментом для преступных организаций по отмыванию денег. В заявлении агентства говорится: «Работа по отслеживанию, захвату и конфискации связанных с этим украденных виртуальных валют продолжается, поскольку члены APT38 продолжают отмывать деньги через различные мосты виртуальных валют, миксеры, биржи и внебиржевых трейдеров.»

Операция по изъятию показала, что, несмотря на анонимность транзакций стейблкоинов в блокчейне, возможности правоохранительных органов по отслеживанию улучшаются. С помощью инструментов анализа блокчейна и сотрудничества с биржами ФБР смогло отслеживать направление украденных стейблкоинов и в конечном итоге заморозить эти активы. Это хорошая новость для законных пользователей стейблкоинов, но также напоминает о том, что регулирование стейблкоинов в области борьбы с отмыванием денег будет продолжать усиливаться.

Граждане США стали предателями и помогают проникновению Северной Кореи

В пятницу Министерство юстиции США также объявило, что получило признания четырех граждан США и одного гражданина Украины, которые признали, что помогали северокорейским ИТ-работникам обманывать американские компании, предоставляя украденные личные данные и ноутбуки управляющих компаний. Четыре гражданина США — 24-летний Одрикас Фагнерсай, 30-летний Джейсон Саразар, 34-летний Александр Пол Травис и 38-летний Эрик Энткрейзер Принс — признали себя виновными в заговоре по мошенничеству с использованием телекоммуникационных услуг.

Они предоставляют свою личную информацию северокорейским рабочим и ставят ноутбуки, выданные компанией, у себя дома, чтобы эти рабочие выглядели так, будто работают в США. Эта модель операций крайне скрытна, северокорейские IT-специалисты фактически работают удаленно из Пхеньяна или других мест, но через личность и интернет-соединение американских граждан отображаются как местные сотрудники компании в США. Этот метод не только обходит законодательные ограничения на найм иностранцев, но и делает бесполезными проверки биографий компании.

Гражданин Украины Александр Диденко признал себя виновным 10 ноября, признав себя виновным в заговоре по совершению мошенничества с использованием телекоммуникаций и тяжком преступлении кражи личных данных, обвиняясь в краже личной информации граждан США и продаже её работникам ИТ в Северной Корее. Диденко помогал северокорейцам получить работу в 40 американских компаниях и согласился в рамках соглашения о признании вины отказаться от собственности на сумму более 1,4 миллиона долларов. Этот случай показывает, что программа ИТ-проникновения Северной Кореи уже сформировала цепочку поставок, в которой есть ответственные за кражу личных данных, удаленное управление устройствами и получение заработной платы.

Министерство юстиции США заявило, что эти планы затронули более 136 американских компаний, создав для северокорейского режима доход в более чем 2,2 миллиона долларов и раскрыли личности более 18 граждан США. Хотя 2,2 миллиона долларов относительно общего объема экономики не является большой суммой, стратегические риски, вызванные таким проникновением, значительно превышают экономические потери. IT-специалисты Северной Кореи могут получить доступ к чувствительным технологиям, данным клиентов и даже информации, связанной с национальной безопасностью.

Основные методы проникновения ИТ Северной Кореи

Кража личных данных: кража или покупка личной информации граждан США

Удаленное хранилище: Граждане США хранят выданные компанией ноутбуки у себя дома

Ложная геолокация: использование IP-адресов США для создания впечатления, что работники Северной Кореи находятся на территории США

Перевод зарплаты: возврат зарплаты в Северную Корею через сложную финансовую сеть

Раскрытие преступной индустрии криптовалют Северной Кореи

Северная Корея все больше полагается на кражу криптовалюты и программы удаленных ИТ-работников для получения дохода, что нарушает международные санкции. В консультационном отчете, опубликованном ФБР, Министерством финансов и Государственным департаментом США в 2022 году, предупреждается, что ИТ-работники Северной Кореи могут зарабатывать до 300 тысяч долларов в год, и они в общей сложности перечислили миллионы долларов в программы, управляемые Министерством обороны Северной Кореи. Этот источник дохода жизненно важен для режима Северной Кореи, который сталкивается с жесткими международными санкциями.

Согласно анализу Elliptic, только в 2025 году северокорейские хакеры украли более 2 миллиардов долларов в криптовалюте, что сделало режим одним из самых свирепых участников криптовалютных краж в мире. Эта цифра значительно превышает традиционные организованные преступные группы в сети, что показывает, что Северная Корея рассматривает кражу криптовалюты как стратегический ресурс на уровне государства. Хакерские группы, такие как APT38, получают поддержку армии и обладают высокоспециализированными техническими возможностями и постоянным финансированием.

Стейблкоины играют ключевую роль в этих преступных действиях. В отличие от волатильности цен на биткойн и эфириум, стейблкоины, связанные с долларом, делают их более подходящими для перемещения и хранения украденных средств. Хакеры обычно сначала конвертируют украденные криптовалюты в стейблкоины, а затем отмывают деньги с помощью миксеров и кроссчейновых мостов. Этот метод позволяет сохранять стабильную стоимость и использовать анонимность блокчейна для уклонения от отслеживания.

Однако эмитенты стейблкоинов усиливают сотрудничество с правоохранительными органами. Tether многократно помогал замораживать USDT, связанные с преступной деятельностью, и возможность ФБР изъять 15,1 миллиона долларов USDT также демонстрирует все более зрелый механизм сотрудничества между правоохранительными органами и эмитентами стейблкоинов. Для законных пользователей это меч с двумя лезвиями: с одной стороны, это повышает безопасность и соответствие стейблкоинов, с другой стороны, это также означает, что сделки со стейблкоинами не полностью не подлежат отслеживанию.

Криминальная экосистема криптовалют в Северной Корее уже достигла высокой степени зрелости, включая такие аспекты, как хакерские атаки, отмывание денег, кража личных данных и удаленное ИТ-вторжение. Организации, такие как APT38, специально занимаются атаками на криптовалютные биржи и DeFi-протоколы, после кражи средств с помощью профессиональной сети отмывания денег конвертируют стейблкоины в наличные или другие трудно отслеживаемые активы. Удаленные ИТ-работники предоставляют постоянный источник дохода и могут предоставлять внутреннюю информацию для хакерских действий.

Регулирование стейблкоинов и меры предосторожности для компаний

Это дело стало предупреждением как для стейблкоин-отрасли, так и для работодателей. Для эмитентов стейблкоинов давление по соблюдению норм против отмывания денег и санкций будет продолжать расти. Управление по контролю за иностранными активами Министерства финансов США (OFAC) включило в черный список несколько криптовалютных адресов, связанных с Северной Кореей, и эмитенты стейблкоинов должны в реальном времени отслеживать эти адреса и замораживать связанные средства.

Для компаний предотвращение проникновения IT-специалистов из Северной Кореи стало новой проблемой безопасности. Традиционные фоновый проверки могут не выявить удаленных работников, использующих украденные идентификационные данные. Компаниям необходимо усилить процессы аутентификации, включая видеособеседования, многофакторную аутентификацию и постоянный мониторинг поведения. Для должностей, связанных с обработкой конфиденциальной информации, может потребоваться требование к сотрудникам работать в офисе или пройти более строгую проверку безопасности.

Действия Министерства юстиции США показывают, что правоохранительные органы борются с преступной деятельностью Северной Кореи в области криптовалют на нескольких уровнях. Кроме отслеживания и конфискации украденных стейблкоинов, также происходит разрушение инфраструктуры, поддерживающей эту деятельность, включая сети кражи личных данных и удаленные хостинговые услуги. Пятеро признанных виновными будут подвергнуты тюремному заключению, что станет серьезным предупреждением для других потенциальных пособников.