Хакеры
© flickr.com by Винсент Диаманте is licensed under Creative Commons Attribution-Share Alike 2.0 Generic
MSMT: северокорейские хакерские группы похитили криптовалюту на сумму не менее $2,837 млрд
Северная Корея вновь оказалась в центре международного расследования: с начала 2024 года хакерские структуры, связанные с правительством КНДР, похитили криптовалюту на сумму почти 2,84 миллиарда долларов. Масштабы незаконной деятельности поражают — за первые девять месяцев 2025 года ущерб составил более 1,6 миллиарда. Эти данные представлены в отчёте Многосторонней группы по мониторингу санкций (MSMT), объединяющей 11 стран, включая США, Японию и Южную Корею. Документ описывает не только схемы киберпреступлений, но и механизмы отмывания денег, а также международные связи северокорейских хакеров.
Хищения и отмывание: новая структура киберэкономики
Согласно MSMT, КНДР выстроила целую систему параллельных финансов. Украденные криптовалюты обналичиваются через посредников в России, Гонконге и Камбодже. Ключевым инструментом названа платформа Huione Payment, входящая в состав Huione Group, которая конвертирует цифровые активы в наличные.
Сеть по борьбе с финансовыми преступлениями США (FinCEN) в октябре включила Huione Group в перечень компаний, подозреваемых в отмывании средств. Несмотря на то что Центральный банк Камбоджи отозвал лицензию у дочернего подразделения Huione Pay, платформа продолжает действовать на внутреннем рынке, создавая теневые каналы для перевода средств.
Почему КНДР выбирает именно криптовалюты? Потому что они позволяют проводить трансакции без прямой привязки к банковским системам и обходить международный контроль. Анонимность блокчейна становится для страны, находящейся под жёсткими санкциями, инструментом выживания и финансирования госпрограмм.
Кибероружие как часть государственной стратегии
В отчёте MSMT отмечается, что кибератаки — не частная инициатива отдельных групп, а часть государственной политики КНДР. Хакеры действуют по указанию государственных органов, а полученные средства направляются на развитие ядерной и ракетной программ.
По оценке экспертов, в КНДР насчитывается от 1000 до 2000 ИТ-специалистов, работающих удалённо под чужими именами. Они трудятся на зарубежные компании в России, Лаосе, Камбодже и африканских странах. Их зарплата в криптовалюте переводится в Северную Корею. Эти деньги становятся одним из каналов финансирования оборонных разработок.
Как государство удерживает контроль над такими специалистами? Система подчинения в КНДР устроена так, что каждый ИТ-работник связан с государственными структурами. Доход не поступает напрямую работнику: он проходит через государственные посреднические организации, что исключает возможность самостоятельного распоряжения средствами.
Международная реакция и ограничения
После публикации отчёта MSMT многие страны ужесточили меры контроля за криптооперациями. США и Южная Корея усилили мониторинг крупных трансакций, связанных с биржами Азии.
В свою очередь, FinCEN объявила о расширении списка компаний, подозреваемых в сотрудничестве с северокорейскими структурами. Среди них оказались брокеры и обменные платформы, действующие в Гонконге и России.
"Мы видим эволюцию киберугроз: если раньше речь шла о точечных атаках, то теперь это системная стратегия обхода санкций", — отметили в FinCEN в ходе презентации отчёта.
При этом некоторые страны Юго-Восточной Азии реагируют сдержанно: местные власти нередко не располагают достаточными ресурсами для мониторинга крипторынков, а в ряде случаев сами заинтересованы в сохранении притока капитала.
А что если такие операции продолжатся? Тогда санкционные режимы потеряют эффективность, ведь криптовалютные сети фактически становятся параллельной мировой финансовой системой.
Данные аналитиков: расхождения и совпадения
В начале октября компания Elliptic, специализирующаяся на блокчейн-анализе, опубликовала собственный доклад. В нём подтверждается, что с января по сентябрь 2025 года хакеры, связанные с КНДР, похитили свыше 2 миллиардов долларов. По словам аналитиков, реальная сумма может быть выше, так как часть атак остаётся незамеченной или не раскрывается публично.
Почему официальные и независимые данные различаются? MSMT основывается на межгосударственном обмене разведданными и финансовыми расследованиями, тогда как Elliptic использует методы блокчейн-трекинга. Разница объясняется тем, что часть криптокошельков остаётся анонимной, а часть средств — уже обналичена через сложные цепочки транзакций.
Elliptic также отметила, что большинство атак направлено на азиатские и американские биржи, где обороты велики, а системы защиты уязвимы из-за постоянных обновлений и человеческого фактора.
Технологический арсенал: ИИ и программы-вымогатели
Согласно данным MSMT, Северная Корея активно сотрудничает с российскими группировками, разрабатывающими программы-вымогатели. Эти инструменты позволяют шифровать данные компаний и требовать выкуп в криптовалюте.
Одновременно растёт использование искусственного интеллекта: генерация фишинговых сообщений, автоматизация атак и анализ систем безопасности становятся всё более точными. Использование ИИ в хакерской деятельности снижает барьер входа для новых участников и ускоряет цикл атак.
Можно ли остановить использование ИИ в киберпреступности? Нет, но можно ограничить ущерб — через международный обмен данными, повышение прозрачности транзакций и лицензирование криптоплатформ.
Ошибка многих стран заключается в том, что они полагаются на внутренние меры контроля, игнорируя транснациональный характер угрозы. Последствием становится рост числа атак, а альтернатива — создание общего реестра подозрительных операций, доступного регуляторам всех стран-участников.
Как действовать компаниям: практические шаги
Для финансовых организаций и криптобирж отчёт MSMT стал сигналом к ужесточению политики безопасности. Чтобы снизить риски, эксперты рекомендуют комплекс мер.
- Проверять источники средств при каждой крупной транзакции.
- Использовать системы анализа блокчейна для выявления связей с санкционными адресами.
- Внедрять многоуровневую аутентификацию и внутренние расследования по подозрительным действиям.
- Проводить киберобучение сотрудников и тесты на фишинговые атаки.
- Взаимодействовать с международными структурами, включая FinCEN и Европол.
Эти шаги не гарантируют полной защиты, но позволяют сузить пространство для действий хакеров. А что если компания решит сэкономить на защите? Тогда ущерб от одной успешной атаки может многократно превысить затраты на профилактику.
Северная Корея и "цифровая экономика тени"
История с похищениями криптовалют — часть более широкой картины. КНДР превращает цифровое пространство в альтернативную экономику, где нет зависимости от банков, санкций и логистики. Сравнение с другими санкционированными государствами — например, Ираном — показывает, что Пхеньян пошёл дальше: если Тегеран использует криптовалюту для обхода торговых ограничений, то КНДР сделала киберпреступность государственной функцией.
Санкции и ограничения лишь усиливают стимул к развитию подобных схем. В долгосрочной перспективе это создаёт риск появления "серой зоны" мировой экономики, где границы между государством и преступной сетью исчезают.