Криптокражи и найм «с подменой личности»: в ООН не знают как остановить КНДР
В ООН обсудили, как Северная Корея зарабатывает на кибератаках и обходе санкций: через кражи криптовалюты и через работу своих ИТ-специалистов в иностранных компаниях. Участники дискуссии признали, что универсального ответа на эту проблему пока нет, а новые инструменты на базе ИИ позволяют злоумышленникам быстрее обходить проверки при найме и усложняют выявление таких схем. SecPost ознакомился с отчетом Multilateral Sanctions Monitoring Team (MSMT), в котором описываются масштабы этих операций и их связь с обходом санкционного режима ООН.
Кражи криптовалюты через взломы криптосервисов и последующее отмывание украденных средств, а также использование сети северокорейских ИТ-специалистов, которые устраиваются в иностранные компании, получают оплату и переводят значимую часть заработка в интересах государства — две связанные линии, через которые КНДР получает деньги и обходит ограничения.
Отчет «The DPRK’s Violation and Evasion of UN Sanctions through Cyber and Information Technology Worker Activities», подготовленный Multilateral Sanctions Monitoring Team (MSMT), описывает, как КНДР получает деньги и ресурсы в условиях международных ограничений. В документе рассматривается период с января 2024 года по сентябрь 2025 года, а общий вывод авторов сводится к тому, что эти операции стали для КНДР системным источником дохода и способом обхода санкций ООН.
Multilateral Sanctions Monitoring Team (MSMT) — это многосторонняя коалиция из 11 стран (США, Южная Корея, Япония и др.), созданная в 2024 году для мониторинга и обеспечения выполнения санкций Совета Безопасности ООН в отношении КНДР, особенно в сферах киберпреступности и кражи виртуальных активов, которые используются для финансирования северокорейских программ.
Главные выводы отчета
Крупнейшим источником быстрых денег для КНДР в рассматриваемый период стали криптовалютные кражи. MSMT оценивает, что только за 2024 год северокорейские кибероператоры похитили не менее 1,19 млрд долл, а за период с января по сентябрь 2025 года — не менее 1,65 млрд долл. Т.е. всего за период исследования (январь 2024 — сентябрь 2025) общий объем украденных криптоактивов составил не менее 2,8 млрд долл. В отчете отдельно отмечается, что резкий рост суммы в 2025 году во многом связан с крупнейшим эпизодом периода — взломом Bybit. Авторы считают, что такие операции стали для КНДР не просто способом заработка, а частью государственной модели обхода санкций.
Параллельно КНДР расширяет вторую линию — схему с ИТ-работниками за рубежом. В отчете говорится, что такие группы направлялись как минимум в восемь стран, среди которых отдельно упоминаются Китай, Россия, Лаос и Камбоджа. Китай в документе назван одним из ключевых узлов этой модели: по оценке MSMT, там находилось примерно 1000–1500 северокорейских ИТ-работников.
Что предлагает MSMT и почему это не выглядит как решение
В рекомендациях MSMT нет «технической волшебной меры», которая могла бы быстро остановить северокорейские кражи криптовалюты или схему с ИТ-работниками. Авторы предлагают набор базовых шагов — усилить обмен данными между странами и частным сектором, быстрее выявлять и блокировать украденные криптоактивы, а также жестче выполнять ограничения на трудоустройство граждан КНДР и пресекать работу посредников, которые помогают им получать доход за рубежом.
По сути, рекомендации сводятся к тому, что проблема держится на международной инфраструктуре — и «выключить» ее одной мерой не получится: нужно одновременно бить по финансовым потокам, по инфраструктуре отмывания и по кадровому каналу, через который КНДР получает регулярные поступления.
Кто стоит за кибероперациями и схемой с ИТ-работниками
В отчете MSMT подчеркивается, что кибератаки КНДР и схема с ИТ-работниками — это не разрозненная «киберпреступность ради денег», а часть государственной модели, которая помогает обходить санкции и поддерживать стратегические программы страны.
Авторы связывают эти активности с государственными структурами КНДР, включая силовые ведомства и организации, которые упоминаются в контексте программ вооружений. В документе отмечается, что на практике это означает более высокий уровень организации: операции планируются заранее, ведутся системно и опираются на внешнюю инфраструктуру — от финансовых инструментов до сетей посредников за рубежом.
Отдельно подчеркивается, что кибероперации в этой логике не сводятся к разовым кражам. Они рассматриваются как инструмент, который одновременно приносит доходы и расширяет возможности КНДР, а схема с ИТ-работниками выступает параллельным каналом финансирования, менее заметным для внешнего наблюдения, но устойчивым за счет постоянных поступлений.
Отмывание криптовалюты: как украденное превращают в деньги
Кража криптовалюты сама по себе не дает КНДР «живых денег». В отчете MSMT подчеркивается, что ключевым этапом становится отмывание украденных активов — цепочка действий, которая позволяет скрыть происхождение средств и подготовить их к дальнейшему использованию.
Авторы описывают, что после взломов украденные активы проходят через несколько шагов: переводятся между адресами, дробятся на части, перемещаются через разные сервисы и затем обмениваются на другие криптоактивы или выводятся через посредников. Цель этого процесса — разорвать «видимую связь» между атакой и конечным получателем, чтобы затруднить расследование и блокировку средств.
В отчете отдельно отмечается роль внебиржевой торговли (OTC) — это обмен криптовалюты «вне биржи», через частных посредников. Такой подход снижает прозрачность операций и упрощает вывод крупных сумм без прямого взаимодействия с биржевой инфраструктурой.
Северокорейские разработчики за рубежом: как работает схема
MSMT описывает отдельный канал обхода санкций ООН, который дополняет криптокражи: северокорейские технические специалисты устраиваются на работу в зарубежные компании и переводят значимую часть дохода в интересах государства. Этот механизм дает КНДР регулярные поступления и при этом может долго выглядеть как обычная удаленная занятость.
В отчете говорится, что такие группы направлялись как минимум в восемь стран, среди которых прямо перечислены Китай, Россия, Лаос и Камбоджа. Китай назван одним из ключевых узлов этой схемы: по оценке MSMT, там находились примерно 1000–1500 северокорейских специалистов.
Кибератаки не только ради денег: шпионаж и оборонные цели
MSMT подчеркивает, что кибероперации КНДР не ограничиваются кражами криптовалюты. В отчете описаны атаки, направленные на получение доступа к данным и технологиям, которые могут быть полезны для государственных программ, включая направления, связанные с оборонной сферой.
Авторы рассматривают это как еще один способ обхода ограничений: кибератаки позволяют не только получать финансирование, но и компенсировать дефицит технологий и знаний, доступ к которым закрыт санкциями.
Выводы MSMT о криптокражах и заработке КНДР через работу северокорейских специалистов за рубежом стали частью дискуссии на площадке ООН о том, как сдерживать такие схемы. Представители частного сектора предлагали компаниям ужесточать процесс найма, включая проверку биографических данных и переход к личным собеседованиям, но при этом признавали, что Северная Корея быстро использует ИИ для обхода таких барьеров — в том числе для подмены изображения, голоса и даже акцента во время интервью. При этом официальное представительство КНДР при ООН отвергло обвинения и резко раскритиковало сам формат обсуждения.
Отчет MSMT доступен по ссылке.
