การขโมยเงินคริปโตโดยเกาหลีเหนือ
เกาหลีเหนือ ได้ขโมยเงินคริปโตไป 2.84 พันล้านดอลลาร์ ตั้งแต่เดือนมกราคม 2024 ตามรายงานใหม่จากทีมตรวจสอบการคว่ำบาตรหลายฝ่าย (Multilateral Sanctions Monitoring Team) ซึ่งมีหน้าที่ตรวจสอบการละเมิดการคว่ำบาตรของ สหประชาชาติ (UN) ต่อสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK).
การแฮ็กและการละเมิดการคว่ำบาตร
ทีม MSMT ยังพบว่า DPRK ขโมยเงิน “อย่างน้อย” 1.65 พันล้านดอลลาร์ ระหว่างเดือนมกราคมถึงกันยายนของปีนี้ โดยส่วนใหญ่เป็นผลมาจากการแฮ็ก Bybit ในเดือนกุมภาพันธ์.
อย่างไรก็ตาม MSMT ซึ่งมีสหรัฐอเมริกา ญี่ปุ่น เยอรมนี ฝรั่งเศส แคนาดา ออสเตรเลีย และประเทศตะวันตกอื่น ๆ เป็นรัฐที่เข้าร่วม ยังรายงานว่าเกาหลีเหนือได้ขยายการใช้แรงงาน IT ระยะไกล การส่งแรงงาน IT ไปทำงานในต่างประเทศนั้นเป็นการละเมิดมติของ สภาความมั่นคงแห่งสหประชาชาติ (UN Security Council Resolutions) หมายเลข 2375 และ 2397 ซึ่งห้ามการจ้างงานแรงงานจากเกาหลีเหนือ.
การจ้างงานแรงงาน IT
แต่ก็ไม่ได้หยุดยั้ง DPRK จากการเข้าร่วมในตลาดแรงงานของประเทศอย่างน้อย แปดประเทศ ซึ่งรวมถึงจีน รัสเซีย ลาว กัมพูชา อิเควทอเรียลกินี กินี ไนจีเรีย และแทนซาเนีย.
“แรงงาน DPRK ระหว่าง 1,000 ถึง 1,500 คน ตั้งอยู่ในจีน และเปียงยางมีแผนที่จะส่งแรงงานถึง 40,000 คน ไปยังรัสเซีย”
ภัยคุกคามจากการแฮ็ก
MSMT สรุปว่า แรงไซเบอร์ของเกาหลีเหนือ เป็น “โปรแกรมระดับชาติที่มีความซับซ้อนใกล้เคียงกับโปรแกรมไซเบอร์ของจีนและรัสเซีย” ผู้มีส่วนร่วมในรายงานยังยืนยันว่า หน่วยงานและบริษัทตะวันตกกำลังปรับตัวเข้ากับปัญหานี้มากขึ้น.
“ในขณะที่แฮ็กเกอร์ที่เชื่อมโยงกับเกาหลีเหนือเป็นภัยคุกคามที่สำคัญ ความสามารถของหน่วยงานบังคับใช้กฎหมาย หน่วยงานความมั่นคงแห่งชาติ และภาคเอกชนในการระบุความเสี่ยงที่เกี่ยวข้องและต่อสู้กลับกำลังเพิ่มขึ้น” – แอนดรูว์ ฟีร์แมน
การตอบสนองต่อภัยคุกคาม
ฟีร์แมนยกตัวอย่างจากเดือนสิงหาคม เมื่อสำนักงานควบคุมทรัพย์สินต่างประเทศของสหรัฐอเมริกา (OFAC) ได้คว่ำบาตรเครือข่ายแรงงาน IT ที่หลอกลวงซึ่งเชื่อมโยงกับ DPRK.
เขาอธิบายว่า “ผู้กระทำผิดเหล่านี้ถูกกำหนดให้เป็นผู้ที่มีส่วนร่วมในแผนการที่ส่งรายได้จากแรงงาน IT ของ DPRK ไปสนับสนุนโครงการอาวุธทำลายล้างสูงและโครงการขีปนาวุธของ DPRK”
การฟื้นฟูเงินคริปโต
ฟีร์แมนยังกล่าวถึงการฟื้นฟูเงินคริปโตมูลค่าหลายสิบล้านดอลลาร์จากการแฮ็ก Bybit ในเดือนกุมภาพันธ์ ขณะที่ Decrypt รายงานในเดือนมิถุนายนว่ามีการติดตามเงินบางส่วนไปยังการแลกเปลี่ยนคริปโตในกรีซ.
“ภาคเอกชนกำลังระบุภัยคุกคามจากแรงงาน IT ของ DPRK ได้อย่างมีประสิทธิภาพมากขึ้น ซึ่งเป็นที่ประจักษ์เมื่อเร็ว ๆ นี้จากความพยายามของ Kraken ในเดือนพฤษภาคม 2025” ฟีร์แมนกล่าวเพิ่มเติม.
การป้องกันและความร่วมมือ
ในเดือนสิงหาคม เจ้าหน้าที่รักษาความปลอดภัยของ Binance กล่าวกับ Decrypt ว่าการแลกเปลี่ยนทิ้งประวัติการสมัครงานจากผู้โจมตีเกาหลีเหนือที่ต้องการเข้าทำงานที่บริษัททุกวัน.
ความสามารถในการระบุและขัดขวางกิจกรรมของเกาหลีเหนือมีความสำคัญอย่างมาก เนื่องจากรายงานและฟีร์แมนชี้ให้เห็นว่า เงินที่เกิดจากกิจกรรมของ DPRK มักจะถูกนำไปใช้ในโครงการอาวุธ.
“รายงานของ MSMT ระบุว่าเงินเหล่านี้ถูกใช้ในการจัดซื้อทุกอย่างตั้งแต่รถยนต์เกราะไปจนถึงระบบขีปนาวุธป้องกันอากาศเคลื่อนที่” – ฟีร์แมน
ฟีร์แมนแนะนำให้มีความร่วมมือที่เพิ่มขึ้นระหว่างหน่วยงานภาครัฐและเอกชน ซึ่งเป็นสิ่งที่รายงานของ MSMT เป็นผลผลิตจากการมีส่วนร่วมของ Chainalysis, Google Cloud’s Mandiant, DTEX, Palo Alto Networks, Upwork และ Sekoia.io.
การป้องกันภัยคุกคามในอนาคต
เขากล่าวว่า “โครงการแบ่งปันข้อมูล คำแนะนำจากรัฐบาล โซลูชันด้านความปลอดภัยแบบเรียลไทม์ เครื่องมือการติดตามขั้นสูง และการฝึกอบรมเฉพาะทางสามารถช่วยให้ผู้มีส่วนได้ส่วนเสียระบุและขจัดผู้กระทำผิดได้อย่างรวดเร็ว ในขณะที่สร้างความยืดหยุ่นที่จำเป็นในการปกป้องสินทรัพย์คริปโต”
โดยการใช้ประโยชน์จากข้อมูลเชิงลึกเกี่ยวกับบล็อกเชนและมาตรการความปลอดภัยทางไซเบอร์แบบดั้งเดิม ฝ่ายที่ได้รับผลกระทบจะสามารถระบุและแช่แข็งเงินที่ถูกขโมยก่อนที่จะถูกฟอกเงิน.
ฟีร์แมนและ Chainalysis แนะนำให้องค์กร “ดำเนินการตรวจสอบบล็อกเชนอย่างครอบคลุม พัฒนาการตรวจสอบที่เข้มงวดสำหรับการจ้างงานผู้รับเหมา IT ใช้ระบบตรวจจับภัยคุกคามขั้นสูง รักษาการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ และจัดตั้งโปรโตคอลที่ชัดเจนสำหรับการทำธุรกรรมขนาดใหญ่”
