После разрушительного бенефиса вируса-вымогателя WannaCry в мае уходящего года, распространение которого приписывают КНДР, власти Северной Кореи каждый месяц получают новые обвинения в масштабных кибератаках. «Лента.ру» разбиралась в вероятном устройстве и реальном потенциале феномена северокорейских хакеров.
С подачи властей и прессы Южной Кореи и Соединенных Штатов, а также многочисленных специалистов по безопасности со всего мира КНДР получила статус главного поставщика кибероружия массового поражения. Загадочных северокорейских хакеров, существование которых даже не доказано, заочно назначили ответственными за самые мощные кибератаки и акты военного шпионажа.
Дополнительный демонический эффект, делающий тему столь привлекательной для СМИ, достигается путем двойного послания: на фоне скудного вовлечения жителей страны в интернет-пространство существование северокорейского супервойска считается чем-то иррациональным.
Состав легенды
Доказанных фактов о северокорейском хакинге немного. Эксперты относят кибервойска к структурам военной разведки КНДР, где 20 лет назад якобы было создано спецподразделение для борьбы с внешними противниками под названием «Подразделение 121».
Численность подразделения может составлять от одной до восьми тысяч человек. Штаб-квартирой хакеров западная пресса представляет 105-этажный зиккурат в Пхеньяне.
Фото: Reuters
Недостаток фактов СМИ зачастую используют как повод их дополнить, тем более что ФБР и АНБ говорят о деятельности северокорейских кибервойск как о доказанном факте. Так, весной этого года агентство Reuters рассказало со ссылкой на источник в Южной Корее, что власти КНДР собрали новый киберспецназ для атак на мировые финансовые институты и банковских грабежей. Авторы сообщения не предоставили никаких улик и не слишком изобретательно назвали кибербанду «Подразделением 180».
Обычно источниками новостей о «красном хакинге» выступают новостные агентства и издания из США, Южной Кореи и Японии, но в мае 2017-го обвинения поступили и с российской стороны. Специалисты компании Symantec и «Лаборатории Касперского» нашли в ранней версии вируса WannaCry фрагменты кода, которые использовались в атаках группировки Lazarus Group, давно подозреваемой в связях с Пхеньяном.
Механизмы рождения чудовищ
В течение всего 2017 года миф о хакерах-суперсолдатах, которых наверняка выращивают и тренируют в местной Кремниевой долине строгого режима, только разрастался, становясь все более детальным и захватывающим.
Главное условие, при котором стало возможно формирование мифа, — «герметичность» КНДР. При этом власти страны, кажется, только рады укреплению свирепого имиджа: они не слишком активно отвергают обвинения и с видимым интересом наблюдают за паникой в мировых СМИ. Шум вокруг «могущественных хакеров», в свою очередь, обеспечивает верхушке КНДР возможность наслаждаться собственным величием, ритмично переключая внимание публики со зловещей новинки на вероятность старой, доброй и понятной ядерной войны.
Изоляция — это аргумент, работающий в обе стороны. С одной стороны, у граждан КНДР есть возможность пользоваться только внутренним интранетом вместо глобальной сети. А дефицит информации делает интранет неподходящей средой для развития дикорастущих хакерских группировок, ведь обучаться им попросту не у кого. С другой стороны, внутренние сети Северной Кореи непроницаемы и защищены от посторонних глаз. И, хотя специфика общественного устройства и отсутствие свободного рынка исключает эпизодический наем вольных хакеров-исполнителей для государственных нужд, в условиях полного контроля целенаправленное создание специальных войск государством кажется более вероятным, чем где-либо еще.
При этом многие компании, выступающие на стороне обвинения Северной Кореи, применяют до смешного слабую аргументацию и явно рассчитывают на инерцию коллективной веры. Так, еще три года назад компания HP, предоставившая свой отчет о северокорейской хакерской угрозе, породила расхожее утверждение, теперь используемое СМИ как неоспоримый факт. Сведения о том, что в школах КНДР особое внимание уделяется математике, эксперты HP причислили к косвенным доказательствам существования государственной программы по выращиванию международных киберпреступников.
Это очевидное злоупотребление стало важным моментом в формировании будущего мифа, и с тех пор пресса цитирует это утверждение, ставшее продуктом когнитивных искажений.
Каскад доступной информации — самоусиливающийся процесс, в ходе которого коллективная вера во что-либо становится все более сильной за счет нарастающего повторения в публичном пространстве («повторяйте нечто достаточно долго, и это станет правдой»).
Поэтому мифология северокорейского хакинга во многом построена на магии репостов, искусстве горячего заголовка и непрерывном потоке однотипных тревожных новостей.
Отрицание — другая крайность, которая, впрочем, весьма подходит конспирологам, уверенным, будто для успешного ведения войны в наступившем будущем достаточно ее имитировать. И если нельзя фальсифицировать атомный взрыв, то можно фальсифицировать события из мира виртуальной реальности, объявив о кибератаке и нанесенном ущербе, но не предъявлять пострадавших. Сторонники теории заговора склонны считать, что правительства стран, которые сами мечтают напасть на Северную Корею, используют ее во всех смыслах виртуальную армию для прикрытия собственных манипуляций.
Обвинение года и хроника атак корейского кибертарана
Май 2017 года. Вирус-вымогатель WannaCry поработил 200 тысяч устройств, работающих на операционной системе Windows, в 150 странах. Владельцы зараженных компьютеров получили требования о выкупе в биткоинах. Ущерб, нанесенный атакой, составил около миллиарда долларов.
Октябрь 2017 года. Президент Microsoft Брэд Смит «с большой уверенностью» объявил, что за WannaCry стоят кибервойска (они же группировка Lazarus), управляемые правительством Северной Кореи. При этом в качестве инструментов взлома указывались «киберинструменты или оружие», украденное у Агентства национальной безопасности США.
Скриншот: Wikipedia
Вслед за главой Microsoft министр безопасности Великобритании Бен Уоллес (Ben Wallace) заявил, что правительство обвиняет северокорейских хакеров в обрушении местной системы здравоохранения из-за того же WannaCry.
Уоллес отметил, что у Запада достаточно поводов для разработки системы сдерживания, схожей с противодействием ядерному оружию. Западные официальные лица и специалисты по безопасности принялись отзываться о северокорейских хакерах как о высокомотивированных, хорошо организованных воинах, выделяющихся на фоне неидеологизированного хакерского сообщества и групп-однодневок.
Несмотря на невозможность с точностью определить, имеет ли группировка Lazarus отношение к WannaCry и к правительству КНДР, для общественного мнения эти явления теперь связаны навсегда.
Против США
Конец 2014 года. Первая в истории война западных государств и банды наемников, начавшаяся сразу с международного скандала. Когда Sony Pictures анонсировала съемки комедии «Интервью», где изображается убийство северокорейского лидера Ким Чен Ына, власти КНДР убеждали компанию отказаться от реализации возмутительной идеи, иначе последствия будут плачевными.
Боссы Sony проигнорировали угрозы и увещевания и получили взлом корпоративной сети и утечку данных, связанных с картиной. Ответственность за атаку взяла на себя группировка «Стражи мира». За неделю до премьеры хакеры также обещали американской стороне теракты в кинотеатрах, но показы прошли без инцидентов.
Начало 2015 года. Вызывающее поведение корейских взломщиков и результаты расследования спецслужб США, показавшие, что атака на кинокомпанию осуществлялась с территории КНДР, развязали руки АНБ. Правительство США объявило о начале глобальной слежки за северокорейскими хакерами, а президент Барак Обама подписал указ о введении санкций в отношении руководства КНДР в связи с кибератакой.
В ответ МИД Северной Кореи напомнил о презумпции невиновности и о том, что Штаты отказались от совместного расследования обстоятельств взлома Sony Pictures.
Май 2015 года. Спецслужбы США предприняли неудачную попытку взломать компьютеры, задействованные в ядерной программе КНДР. Вирус Stuxnet был обкатан на иранской ядерной программе, но защита, установленная специалистами Северной Кореи, оказалась ему не по зубам.
Сентябрь 2016 года. «Красные хакеры» похитили 235 гигабайт военных документов США и Южной Кореи, в том числе материалы разведки союзников, информацию о ключевых военных объектах и электростанциях Южной Кореи и схему контрнаступления Вашингтона и Сеула на КНДР — так называемый План 5027.
Против Южной Кореи
Июль 2016 года. Власти Южной Кореи обвинили КНДР в краже личных данных десяти миллионов своих граждан в результате взлома серверов самого популярного онлайн-аукциона страны Interpark. Сеул заявил, что происхождение атакующего удалось безошибочно определить по стилю письма с требованием выкупа. В своем обращении злоумышленник использовал конструкции, характерные для северного диалекта. Возможность имитации с целью запутать расследование представители Южной Кореи не рассматривали.
Конец 2016 года. Взломанной оказалась система киберкомандования Южной Кореи. Сеул обвинил северокорейских хакеров в краже секретных данных, защита которых была разработана с учетом технических возможностей северных соседей.
Осень 2017 года. Стало известно о похищении чертежей военных судов Южной Кореи, состоявшемся еще в апреле 2016 года. Спустя более чем год Сеул обвинил северокорейские кибервойска во взломе базы данных компании Daewoo Shipbuilding & Marine Engineering, проектирующей корабли и подлодки для Южной Кореи.
Против всех
Южнокорейские новостные ресурсы отводят особое место «красной» киберугрозе, а репортажи о вероломных атаках северокорейских хакеров на крупные компании давно стали обязательным пунктом ежедневной повестки. В последнее время южнокорейская и западная пресса уделяет больше внимания не военному шпионажу, а возросшим финансовым аппетитам кибервойск и их заказчиков: якобы достаточно поработавшие над стилем и имиджем северокорейские хакеры переходят на мошенничество с криптовалютами и все чаще практикуют бандитизм в пользу государственного бюджета.
Эксперты все чаще говорят о том, что выкачивание криптовалют из слабо регулируемых стихийно возникающих финансовых институций поможет Северной Корее пережить последствия жестких международных санкций.
В недавнем докладе «Почему Северная Корея так интересуется биткоином» специалисты исследовательской компании FireEye, специализирующейся на кибербезопасности, рассказывают о многочисленных атаках хакеров КНДР на южнокорейские криптовалютные биржи, в ходе которых было украдено 3,8 тысячи биткоинов. Выходит, будто власти КНДР годами обворовывали Южную Корею по мелочи и к 2017 году решились на крупные операции. Однако вообще никаких данных, подтверждающих эту гипотезу, в исследовании не приводится. Упоминается лишь возможный взлом биржи Yapizon в мае этого года.
Таким образом, не получается с уверенностью засчитать руководству КНДР даже каждое третье киберпреступление, приписываемое Западом хакерам, работающим на кровавый режим. И неизвестно, как долго Северная Корея будет с энтузиазмом принимать ответственность за чужие грехи.