FBI вилучила 1510 мільйонів стейблкоїнів! Північнокорейські хакери проникли в 136 американських компаній, внутрішня інформація розкрита

Міністерство юстиції США минулого тижня оголосило, що подало заявку на конфіскацію стейблкоїнів Tether USDT вартістю 15,1 мільйона доларів, які були вилучені у зв'язку з хакерами з Північної Кореї, пов'язаними з організацією APT38. Водночас четверо громадян США та один громадянин України визнали свою провину, визнали, що допомагали IT-спеціалістам Північної Кореї проникати в 136 американських компаній, ці плани принесли режиму Північної Кореї понад 2,2 мільйона доларів доходу.

FBI вилучила 15,1 мільйонів доларів США USDT стейблкоїн

（джерело: Міністерство юстиції США）

Міністерство юстиції США 14 листопада оголосило про подачу двох цивільних позовів про конфіскацію, намагаючись вилучити стейблкоїни Tether USDT на суму 15,1 мільйона доларів, які були вкрадені північнокорейськими хакерами у 2023 році. Конфісковані криптовалюти походять від APT38, організації хакерів військових сил Північної Кореї, яка в 2023 році здійснила крадіжки на чотирьох закордонних платформах віртуальної валюти. Федеральне бюро розслідувань конфіскувало ці кошти в березні 2025 року і наразі шукає судового дозволу на конфіскацію цих активів для повернення їх жертвам.

Ці стейблкоїни були вилучені внаслідок чотирьох випадків, які в оголошенні не були конкретно зазначені, але підказки вказують на те, що це можуть бути: атака хакерів на біржу Poloniex у листопаді 2023 року, внаслідок якої було втрачено понад 100 мільйонів доларів; атака хакерів на криптовалютну компанію CoinsPaid у липні 2023 року, внаслідок якої було втрачено 37 мільйонів доларів; втрата приблизно 60 мільйонів доларів платіжним процесором Alphapo в тому ж місяці; а також неуточнений випадок “викрадення приблизно 138 мільйонів доларів з віртуальної криптовалютної біржі в Панамі в листопаді 2023 року”. Міністерство юстиції США ще не підтвердило, які випадки охоплює ця конфіскаційна справа.

Випадки використання стейблкоїнів як інструментів для відмивання грошей знову підкреслюють терміновість регулювання цифрових активів. Стейблкоїни, такі як USDT, завдяки своїй прив'язці до долара США 1:1, є дуже зручними для трансакцій через кордон, але через це вони також стали основним інструментом для злочинних організацій для відмивання грошей. У своїй заяві агентство зазначило: «Слідкування, вилучення та конфіскація відповідних викрадених віртуальних монет триває, оскільки члени APT38 продовжують відмивати гроші через різноманітні мости криптовалюти, міксери, біржі та позабіржових торговців."

Ця операція показала, що, незважаючи на анонімність транзакцій зі стейблкоїнами в блокчейні, можливості правоохоронних органів з відстеження зростають. Завдяки інструментам аналізу в ланцюзі та співпраці з біржами, ФБР змогло відстежити рух вкрадених стейблкоїнів і врешті-решт заморозити ці активи. Це хороші новини для легальних користувачів стейблкоїнів, але також нагадує про те, що регуляторний тиск на стейблкоїни в сфері боротьби з відмиванням грошей продовжуватиме зростати.

Громадяни США стали зрадниками, допомагаючи Північній Кореї проникати

У п'ятницю Міністерство юстиції США також оголосило, що отримало визнання провини від чотирьох громадян США та одного громадянина України, які визнали, що допомагали північнокорейським IT-робітникам отримувати роботу в американських компаніях шахрайським шляхом, надаючи викрадені особисті дані та ноутбуки управлінських компаній. Чотири громадянина США — 24-річний Одрікус Фагнерсай, 30-річний Джейсон Салазар, 34-річний Олександр Пол Тревіс та 38-річний Ерік Енткрейзер Прінс — визнали себе винними у змові щодо шахрайства в галузі телекомунікацій.

Вони надають свої особисті дані північнокорейським працівникам та ставлять видані компанією ноутбуки у себе вдома, щоб ці працівники виглядали так, ніби працюють у США. Ця операційна модель є надзвичайно прихованою, північнокорейські IT-спеціалісти насправді працюють віддалено з Пхеньяна або інших місць, але через особистість американських громадян і мережеве підключення відображаються в системі компанії як місцеві працівники США. Цей метод не лише обходить законодавчі обмеження щодо найму іноземців, але й знецінює перевірку фону компанії.

Громадянин України Олександр Діденко 10 листопада визнав свою провину, визнаний винним у змові щодо телефонного шахрайства та серйозного викрадення особистих даних, звинувачений у викраденні особистої інформації громадян США та продажу її працівникам IT Північної Кореї. Діденко допомагав північнокорейцям отримувати роботу в 40 американських компаніях і погодився в рамках угоди про визнання провини відмовитися від майна на суму понад 1,4 мільйона доларів. Цей випадок показує, що програма IT Північної Кореї вже сформувала виробничий ланцюг, відповідальний за викрадення особистих даних, віддалене управління обладнанням та отримання заробітної плати.

Міністерство юстиції США заявило, що ці плани вплинули на понад 136 американських компаній, створивши для режиму Північної Кореї понад 2,2 мільйона доларів доходу, та розкрили ідентичність понад 18 американських громадян. Хоча 2,2 мільйона доларів відносно загального економічного обсягу не є великими, стратегічні ризики, які несе ця інфільтрація, значно перевищують економічні втрати. IT-фахівці Північної Кореї можуть отримати доступ до чутливих технологій, даних клієнтів і навіть інформації, пов'язаної з обороною.

Основні методи IT-інфільтрації Північної Кореї

Крадіжка особистості: викрадення або купівля інформації про особу громадянина США

Дистанційне управління: громадяни США управляють ноутбуками, виданими компанією, вдома.

Фальшиве місцезнаходження: через американську IP-адресу змусити північнокорейських працівників виглядати так, ніби вони в США

Переміщення зарплати: через складну фінансову мережу повернення зарплати до Північної Кореї

Розкриття кримінальної індустрії криптовалюти Північної Кореї

Північна Корея дедалі більше покладається на крадіжки криптовалют та програми віддалених IT-робітників для отримання доходу, що порушує міжнародні санкції. У консультаційному звіті, опублікованому Федеральним бюро розслідувань, Міністерством фінансів та Державним департаментом США у 2022 році, було попереджено, що IT-робітники Північної Кореї можуть заробляти до 300 тисяч доларів на рік, і вони перерахували сотні мільйонів доларів програмам, що управляються Міністерством оборони Північної Кореї. Це джерело доходу є життєво важливим для режиму Північної Кореї, що стикається з жорсткими міжнародними санкціями.

Згідно з аналізом Elliptic, тільки в 2025 році північнокорейські хакери викрали понад 2 мільярди доларів США в криптовалюті, що зробило режим одним з найбільш безжальних у світі в сфері крадіжок криптовалюти. Ця цифра значно перевищує традиційні кіберзлочинні угруповання, що свідчить про те, що Північна Корея вже розглядає крадіжку криптовалюти як ресурс національного рівня. Хакерські угруповання, такі як APT38, отримують підтримку армії, мають висококваліфіковані технічні можливості та постійне фінансування.

стейблкоїн відіграє ключову роль у цих злочинних діяльностях. На відміну від цінових коливань біткоїну та ефіру, стейблкоїн, який прив'язаний до долара, робить його більш придатним для переведення та зберігання викрадених коштів. Хакери зазвичай спочатку конвертують вкрадену криптовалюту в стейблкоїн, а потім через міксери та міжланцюгові мости займаються відмиванням грошей. Цей метод дозволяє зберігати стабільність вартості та використовувати анонімність блокчейну для уникнення слідкування.

Однак емітенти стейблкоїнів посилюють співпрацю з правоохоронними органами. Tether неодноразово допомагав заморожувати USDT, пов'язані з кримінальною діяльністю, а цього разу ФБР змогло вилучити 15,1 млн USD, що також свідчить про зростаючу зрілість механізмів співпраці між правоохоронними органами та емітентами стейблкоїнів. Для легальних користувачів це — обидва краї, з одного боку підвищує безпеку та відповідність стейблкоїнів, з іншого боку, це означає, що транзакції зі стейблкоїнами не є повністю непомітними.

Кримінальна індустрія криптовалют Північної Кореї вже високо розвинена, включаючи кілька етапів, таких як хакерські атаки, відмивання грошей, крадіжка особистості та дистанційне IT-проникнення. Організації, такі як APT38, спеціалізуються на атаках на криптовалютні біржі та DeFi-протоколи, після крадіжки коштів через професійні мережі відмивання грошей перетворюють стейблкоїни на готівку або інші важко відстежувані активи. Дистанційні IT-спеціалісти забезпечують постійне джерело доходу і, можливо, надають внутрішню інформацію для хакерських дій.

Регулювання стейблкоїнів та заходи запобігання для підприємств

Ця справа стала попередженням як для індустрії стейблкоїнів, так і для компаній-роботодавців. Для емітентів стейблкоїнів тиск щодо відповідності вимогам протидії відмиванню грошей та санкціям буде лише зростати. Управління з контролю за іноземними активами Міністерства фінансів США (OFAC) вже внесло до чорного списку кілька криптовалютних адрес, пов'язаних із Північною Кореєю, і емітентам стейблкоїнів необхідно в реальному часі моніторити ці адреси та заморожувати відповідні кошти.

Для підприємств новим викликом безпеки стало запобігання проникненню IT-спеціалістів з Північної Кореї. Традиційні перевірки фону можуть не виявити віддалених працівників, які використовують вкрадені особистості. Підприємствам необхідно зміцнити процеси автентифікації, включаючи відеоінтерв'ю, багатофакторну автентифікацію та постійний моніторинг поведінки. Для посад, що займаються чутливою інформацією, може знадобитися вимога до співробітників працювати в офісі або проходити більш суворі перевірки безпеки.

Ця акція Міністерства юстиції США демонструє, що правоохоронні органи борються з криптовалютною злочинністю Північної Кореї на кількох рівнях. Окрім відстеження та вилучення вкрадених стейблкоїнів, також знищуються інфраструктури, що підтримують ці діяльності, включаючи мережі крадіжки особистості та віддалені послуги хостингу. Термін ув'язнення п'яти засуджених стане серйозним попередженням для інших потенційних помічників.