Северокорейские хакеры отправили украденную криптовалюту на кошелек фирмы в Камбодже

Крупная камбоджийская платежная компания получила криптовалюту на сумму более 150 000 долларов с цифрового кошелька, используемого северокорейской хакерской организацией Lazarus.

Huione Pay, базирующаяся в Пномпене и предлагающая услуги по обмену валюты, платежам и денежным переводам, получала криптовалюту в период с июня 2023 года по февраль этого года, согласно ранее не опубликованным данным блокчейна, изученным Reuters.

Криптовалюта была отправлена в Huione Pay с анонимного цифрового кошелька, который, по словам двух блокчейн-аналитиков, использовался хакерами Lazarus для размещения средств, украденных у трех криптовалютных компаний в июне и июле прошлого года, в основном с помощью фишинговых атак.

В августе 2023 года ФБР заявило, что Lazarus похитил у криптовалютных компаний около 160 миллионов долларов: Atomic Wallet и CoinsPaid, расположенных в Эстонии, и Alphapo, зарегистрированной в Сент-Винсенте и Гренадинах. Эти кражи стали последними в серии краж, совершенных компанией Lazarus, которая, по мнению США, финансирует оружейные программы Пхеньяна.

По словам ООН, криптовалюта позволяет Северной Корее обходить международные санкции. Это, в свою очередь, может помочь ей оплачивать запрещенные товары и услуги, по мнению Королевского института объединенных служб, лондонского аналитического центра по вопросам обороны и безопасности.

Совет директоров Huione Pay в своем заявлении сообщил, что компания не знала о «косвенном получении средств» от взлома, и назвал причиной своей неосведомленности многочисленные транзакции между своим кошельком и источником взлома. Кошелек, на который были отправлены средства, не находился под ее управлением, сообщила компания.

Однако, по словам экспертов по криптобезопасности, инструменты анализа блокчейна позволяют компаниям выявлять кошельки с высоким уровнем риска и пытаться предотвратить взаимодействие с ними.

Huione Pay, в число трех директоров которой входит Хун То, двоюродный брат премьер-министра Хун Маня, отказалась уточнить, почему она получила средства с кошелька, и предоставить подробную информацию о своей политике соблюдения правил. Компания заявила, что директорство Хун То не включает в себя ежедневный надзор за ее деятельностью.

Reuters не удалось связаться с Хуном для получения комментариев. У информационного агентства нет доказательств того, что Хун То или правящая семья Камбоджи были осведомлены о криптовалютных транзакциях.

Национальный банк Камбоджи (NBC) в своем заявлении для Reuters сообщил, что платежным фирмам, таким как Huione, не разрешено иметь дело или торговать любыми криптовалютами и цифровыми активами. В 2018 году банк заявил, что запрет направлен на то, чтобы избежать инвестиционных потерь из-за волатильности криптовалют, киберпреступности и анонимности технологии, «что может вызвать риски отмывания денег и финансирования терроризма».

NBC сообщила Reuters, что «без колебаний примет любые корректирующие меры» в отношении Huione Pay, не сказав, планируются ли такие действия. Сотрудник миссии при ООН в Женеве заявил агентству Reuters в январе, что предыдущие сообщения о Lazarus были «спекуляцией и дезинформацией».

Компания CoinsPaid сообщила Reuters, что, по ее собственным данным, украденные у нее криптовалюты на сумму 3 700 долларов попали на кошелек Huione Pay.

Хотя криптовалюта анонимна и ходит вне обычной банковской системы, ее перемещение можно отследить по блокчейну — публичной, неизменяемой книге, которая фиксирует количество криптовалюты, отправленной с кошелька на кошелек, и время, когда произошли транзакции.

Американская компания TRM Labs, занимающаяся анализом блокчейна, сообщила Reuters, что Huione Pay была одной из нескольких платежных платформ и внебиржевых брокеров, которые получили большую часть криптовалюты, украденной в результате взлома Atomic Wallet.

В своем заявлении TRM также сообщила, что хакеры, чтобы замести следы, конвертировали украденные криптовалюты с помощью сложной операции по отмыванию в различные криптовалюты, включая tether (USDT) — так называемый «стейблкоин», который сохраняет стабильную стоимость в долларах. Для транзакций с tether они использовали блокчейн Tron — быстро развивающийся реестр, популярный благодаря своей скорости и низкой стоимости.

«Большая часть средств была конвертирована в USDT на блокчейне Tron и отправлена на биржи, сервисы и OTC — одним из которых был Huione Pay», — сообщили Reuters в TRM Labs.

Представитель компании Tron, зарегистрированной на Британских Виргинских островах, сказал: «Tron осуждает злоупотребление технологиями blockchain и намерен бороться с этими и другими злоумышленниками во всех формах и везде, где они могут быть обнаружены».

Американская компания Merkle Science, специализирующаяся на анализе блокчейна и имеющая в числе клиентов правоохранительные органы США и Великобритании, которые ранее изучали кражи Lazarus, проанализировала для Reuters движение монет после взлома 2023 года.

Генеральный директор компании Мриганка Паттнаик заявил, что отслеживание средств, полученных в результате атак Lazarus, было затруднено из-за сложных методов, использовавшихся для сокрытия денежных следов.

Merkle Science заявила, что ее расследование показало, что было три «скачка» (или перевода) от хакеров Atomic Wallet к анонимному кошельку, который позже перевел средства на Huione. По словам экспертов по финансовым преступлениям и блокчейн-аналитиков, переводы между несколькими криптокошельками обычно являются тревожным сигналом.

Центральный банк Камбоджи заявил, что разрабатывает правила для выявления и наказания за использование криптовалют для незаконной деятельности, включая мошенничество, отмывание денег и угрозы кибербезопасности.