Хакери Північної Кореї відправили криптовалюту на гаманець фірми в Камбоджі

Велика камбоджійська платіжна компанія отримала криптовалюту на суму понад 150 000 доларів із цифрового гаманця, використовуваного північнокорейською хакерською організацією Lazarus.

Huione Pay, що базується в Пномпені і пропонує послуги з обміну валюти, платежів і грошових переказів, отримувала криптовалюту в період з червня 2023 року по лютий цього року, згідно з раніше не опублікованими даними блокчейна, вивченими Reuters.

Криптовалюту відправили в Huione Pay з анонімного цифрового гаманця, який, за словами двох блокчейн-аналітиків, використовували хакери Lazarus для розміщення коштів, вкрадених у трьох криптовалютних компаній у червні та липні минулого року, здебільшого за допомогою фішингових атак.

У серпні 2023 року ФБР заявило, що Lazarus викрав у криптовалютних компаній приблизно 160 мільйонів доларів: Atomic Wallet і CoinsPaid, розташованих в Естонії, і Alphapo, зареєстрованої в Сент-Вінсенті і Гренадінах. Ці крадіжки стали останніми в серії крадіжок, скоєних компанією Lazarus, яка, на думку США, фінансує збройові програми Пхеньяна.

За словами ООН, криптовалюта дозволяє Північній Кореї обходити міжнародні санкції. Це, зі свого боку, може допомогти їй оплачувати заборонені товари і послуги, на думку Королівського інституту об'єднаних служб, лондонського аналітичного центру з питань оборони і безпеки.

Рада директорів Huione Pay у своїй заяві повідомила, що компанія не знала про «непряме отримання коштів» від злому, і назвала причиною своєї необізнаності численні транзакції між своїм гаманцем і джерелом злому. Гаманець, на який було відправлено кошти, не перебував під її управлінням, повідомила компанія.

Однак, за словами експертів із криптобезпеки, інструменти аналізу блокчейна дають змогу компаніям виявляти гаманці з високим рівнем ризику і намагатися запобігти взаємодії з ними.

Huione Pay, до числа трьох директорів якої входить Хун То, двоюрідний брат прем'єр-міністра Хун Маня, відмовилася уточнити, чому вона отримала кошти з гаманця, і надати детальну інформацію про свою політику дотримання правил. Компанія заявила, що директорство Хун То не передбачає щоденного нагляду за її діяльністю.

Reuters не вдалося зв'язатися з Хуном для отримання коментарів. В інформаційного агентства немає доказів того, що Хун То або правляча сім'я Камбоджі були обізнані про криптовалютні транзакції.

Національний банк Камбоджі (NBC) у своїй заяві для Reuters повідомив, що платіжним фірмам, таким як Huione, не дозволено мати справу або торгувати будь-якими криптовалютами і цифровими активами. У 2018 році банк заявив, що заборона спрямована на те, щоб уникнути інвестиційних втрат через волатильність криптовалют, кіберзлочинність та анонімність технології, «що може спричинити ризики відмивання грошей і фінансування тероризму».

NBC повідомила Reuters, що «без вагань вживе будь-яких коригувальних заходів» щодо Huione Pay, не сказавши, чи плануються такі дії. Співробітник місії при ООН у Женеві заявив агентству Reuters у січні, що попередні повідомлення про Lazarus були «спекуляцією і дезінформацією».

Компанія CoinsPaid повідомила Reuters, що, за її власними даними, вкрадені в неї криптовалюти на суму 3 700 доларів потрапили на гаманець Huione Pay.

Хоча криптовалюта анонімна і ходить поза звичайною банківською системою, її переміщення можна відстежити за блокчейном — публічною, незмінною книжкою, що фіксує кількість криптовалюти, надісланої з гаманця на гаманець, і час, коли відбулися транзакції.

Американська компанія TRM Labs, що займається аналізом блокчейна, повідомила Reuters, що Huione Pay була однією з декількох платіжних платформ і позабіржових брокерів, які отримали більшу частину криптовалюти, вкраденої в результаті злому Atomic Wallet.

У своїй заяві TRM також повідомила, що хакери, щоб замести сліди, конвертували вкрадені криптовалюти за допомогою складної операції з відмивання в різні криптовалюти, включно з tether (USDT) — так званим «стейблкоіном», який зберігає стабільну вартість у доларах. Для транзакцій з tether вони використовували блокчейн Tron — реєстр, що швидко розвивається, популярний завдяки своїй швидкості та низькій вартості.

«Більшу частину коштів було конвертовано в USDT на блокчейні Tron і відправлено на біржі, сервіси та OTC — одним з яких був Huione Pay», — повідомили Reuters у TRM Labs.

Представник компанії Tron, зареєстрованої на Британських Віргінських островах, сказав: «Tron засуджує зловживання технологіями blockchain і має намір боротися з цими та іншими зловмисниками у всіх формах і скрізь, де вони можуть бути виявлені».

Американська компанія Merkle Science, що спеціалізується на аналізі блокчейна і має серед клієнтів правоохоронні органи США і Великої Британії, які раніше вивчали крадіжки Lazarus, проаналізувала для Reuters рух монет після злому 2023 року.

Генеральний директор компанії Мріганка Паттнаік заявив, що відстеження коштів, отриманих унаслідок атак Lazarus, було ускладнене через складні методи, що використовувалися для приховування грошових слідів.

Merkle Science заявила, що її розслідування показало, що було три «стрибки» (або перекази) від хакерів Atomic Wallet до анонімного гаманця, який пізніше переказав кошти на Huione. За словами експертів з фінансових злочинів і блокчейн-аналітиків, перекази між кількома криптогаманцями зазвичай є тривожним сигналом.

Центральний банк Камбоджі заявив, що розробляє правила для виявлення і покарання за використання криптовалюти для незаконної діяльності, включно з шахрайством, відмиванням грошей і загрозами кібербезпеці.