Специалисты компании CipherTrace раскрыли подробности о том, как двум предполагаемым участникам северокорейской хакерской группировки Lazarus Group удалось отмыть украденную криптовалюту на сумму более $100 млн через криптовалютные биржи.
Напомним, в начале марта нынешнего года власти США обвинили двух граждан Китая в отмывании более $100 млн в криптовалюте, похищенных в результате кибератаки Lazarus на одну из криптовалютных бирж. По данным властей, обвиняемые Тянь Иньинь и Ли Цзядун предположительно работали на северокорейскую группировку, которая, как считается, причастна ко взлому систем кинокомпании Sony Pictures Entertainment в 2014 году, масштабной эпидемии WannaCry и кибератаке на криптовалютную биржу Bithumb в 2017 году. Как считают власти, Тянь Иньинь и Ли Цзядун принимали участие в отмывании криптоактивов на сумму $234 млн, украденных с некой южнокорейской биржи в 2018 году.
Согласно отчету, преступники использовали так называемые «peel chains» (цепочки адресов) для сокрытия размера депозитов в целях избежать нежелательного внимания, подделывали фотографии для обхода процесса верификации KYC (know your customer) и применяли прочие трюки. Вместо того, чтобы сделать один большой депозит, привлекающий внимание, преступники создали цепочку адресов, через которую с биржи выводились небольшие суммы. После того, как средства проходили по цепочке через 146 отдельных транзакций, они выводились через две биржи (названия не раскрываются). В конечном итоге деньги осели на четырех принадлежащих Тяню и Ли счетах на двух виртуальных криптовалютных биржах.
По данным американских властей, Тянь Иньинь и Ли Цзядун через северокорейские кошельки вывели криптовалюту на сумму $100,5 млн. При этом первый перевел более чем $34 млн со своего банковского счета на одну биржу, а второй использовал девять различных банков для отмывания $33 млн.
Как показало дальнейшее расследование, преступники обходили процесс верификации на биржах с помощью подделанных фотографий. В частности, на одну из бирж они загрузили фотографии граждан Южной Кореи и Германии с их удостоверениями личности. При этом они добавляли разные лица к одному и тому же телу с помощью графических редакторов.
Однако в случае с другой биржей парочке не удалось воспользоваться этим трюком. Администрация биржи выявила подделку и предложила организовать видеоконференцию для подтверждения личности, от которой преступники отказались.
Знай своего клиента (know your customer, KYC) — термин банковского и биржевого регулирования для финансовых институтов и букмекерских контор, а также других компаний, работающих с деньгами частных лиц, означающий, что они должны идентифицировать и установить личность контрагента, прежде чем проводить финансовую операцию.