Вводная картинка

Неприкасаемые Северной Корее не нужны ядерные бомбы. У Ким Чен Ына есть кое-что помощнее

Интернет и СМИ

В 2016 году северокорейские хакеры попытались обокрасть Федеральный резервный банк Нью-Йорка, но остановила их досадная орфографическая ошибка. С тех пор от насмешек над киберармией КНДР специалисты перешли к ее детальному изучению: на сегодняшний день Пхеньян имеет в своем распоряжении одну из самых боеспособных и опасных в мире армий хакеров, по численности сопоставимую с кибервойсками США. «Лента.ру» изучила поступивший в распоряжение редакции доклад Российского совета по международным делам и выяснила, как стране, славящейся скудным интернетом, удалось взрастить мощнейшее кибервойско.

12 июня в Сингапуре состоялась историческая встреча лидера Северной Кореи Ким Чен Ына и президента США Дональда Трампа. Все разногласия якобы остались в прошлом, Ким Чен Ын даже пообещал уничтожить ракетный полигон Сохэ, на котором, как полагается, была создана межконтинентальная ракета, способная долететь до берегов США.

Однако своеобразные «поблажки» в вопросе ядерного разоружения со стороны КНДР связаны с успехами в цифровом секторе, считают эксперты. Вполне вероятно, что ущерб от масштабного нападения сетевой армии может быть значительнее, чем от атомной бомбы.

Проба кода

Ким Чен Ир, руководитель КНДР с 1994 по 2011 год и противник интернета, изменил свое мнение в середине 1990-х годов, когда в страну после обучения вернулась группа специалистов по компьютерным технологиям. В 2003 году произошло вторжение США в Ирак, и именно тогда Ким Чен Ир заявил: «В XXI веке войны будут вестись в информационном формате».

В 2009 году хакеры КНДР атаковали сайты в США и Южной Кореи, заразив их вирусом MyDoom. За нападением стояла группа Lazarus (она же Hidden Cobra, она же Crowdstrike) — самая известная ныне северокорейская хакерская группировка.

Однако масштаб КНДР на сетевой карте мира не впечатлял: в 2011 году, когда умер Ким Чен Ир, в стране было зарегистрировано около одной тысячи IP-адресов — меньше, чем в большинстве кварталов Нью-Йорка.

С приходом Ким Чен Ына все изменилось: в августе 2014 года киберпреступники атаковали британский телеканал Channel Four после объявления о выходе фильма о британском ученом, похищенном Пхеньяном для разработки ядерного оружия. Серьезного урона атака не нанесла, но это была лишь «разминка».

В декабре этого же года на экраны должен был выйти комедийный боевик Эвана Голдберга и Сета Рогена «Интервью» — о двух американских журналистах, отправляющихся в КНДР ради интервью с Ким Чен Ыном и убивающих диктатора по просьбе ЦРУ. 24 ноября большинство сотрудников Sony Pictures обнаружили на экранах компьютеров изображение красного черепа и сообщение с угрозами, написанное от лица хакерской группировки Guardians of Peace (GOP).

Киберпреступники проникли на серверы компании, слили в сеть несколько фильмов, конфиденциальную информацию, а вирус уничтожил до 70 процентов ноутбуков и компьютеров сотрудников. Позднее случившееся назвали «компьютерным убийством», глава студии Эми Паскаль ушла в отставку, а Sony завалили многочисленными судебными исками.

Постепенно от «идеологических» атак хакеры перешли к самой важной задаче: заработок в сети.

Стали другими дела

Помимо многочисленных обвинений в продаже оружия, наркотиков и разного рода контрафакта, КНДР часто уличают в хакерских атаках ради обогащения. По словам консультанта Национальной разведывательной службы Южной Кореи Саймона Чой, за последние несколько лет северокорейские хакеры атаковали более 100 банков и криптобирж, похитив более 650 миллионов долларов.

Хакерство — идеальный инструмент для пополнения бюджета КНДР по нескольким причинам:

1. Низкая стоимость входа в «бизнес»: помимо компьютера, доступа к интернету и сервера, опытному специалисту больше ничего не потребуется.
2. Анонимность пользователя, анонимность денежных транзакций.
3. Вариативность заработка: от выполнения легальных задач на фрилансе до противозаконных таргетированных атак.
4. Возможность уклонения от санкций ООН, в том числе запрета на наем рабочих из КНДР.

Бывший британский разведчик полагает, что киберпреступления приносят КНДР до одного миллиарда долларов в год, что фактически составляет треть от официальных показателей по экспорту страны.

Дело на миллиард: Центробанк Бангладеш

В 2015 году группировки, связанные с Пхеньяном, атаковали онлайн-банки на Филиппинах, во Вьетнаме (Tien Phong), в феврале 2016 года под удар попал Бангладеш. Именно атака на Центральный банк Бангладеш стала одной из самых успешных — и самых показательных. Хакерам удалось взломать систему SWIFT, которой пользуются 11 тысяч банков и финансовых учреждений по всему миру. Позднее это пригодилось, чтобы уничтожить информацию о незаконных переводах.

Преступники направили от имени Центробанка Бангладеш запрос на перевод почти одного миллиарда долларов из Федерального резервного банка Нью-Йорка, где хранились средства азиатского государства. Запрос поступил в четверг вечером, когда сотрудники ЦБ уже покинули офис (в пятницу в мусульманской стране выходной). Хакеров подвела всего одна орфографическая ошибка: в документах значилось fandation вместо foundation. Большая часть перевода была заблокирована, но хакерам удалось вывести 81 миллион долларов и обналичить через филиппинские казино. Это первый случай, когда кибератака использовалась государством не для шпионажа или политических целей, а ради наживы.

Поторопились: преждевременный удар WannaCry

В мае 2017 года интернет парализовал вирус WannaCry, шифрующий все хранящиеся на компьютере файлы и требующий выкуп за разблокировку. За первые четыре дня атаки пострадали около 300 тысяч пользователей в 150 странах мира, причиненный ущерб оценивается в один миллиард долларов.

Специалисты «Лаборатории Касперского» и антивирусной компании Symantec обратили внимание, что в коде WannaCry есть следы кода, использовавшегося в феврале 2015 года хакерской группой Lazarus. Это более чем явное свидетельство причастности КНДР.

Авторы данного исследования полагают, что ставшая столь массовой атака задумывалась как тестовая. На это указывают ряд причин: во-первых, от нее пострадали, в том числе, и партнеры КНДР — Китай и Россия, и вряд ли Пхеньян решился на атаку и без того немногочисленных союзников. Кроме того, в результате нападения было выручено от 40 тысяч до 70 тысяч долларов, что не такая уж крупная сумма: адресные атаки приносят куда больше денег.

Крадущаяся кобра, затаившийся эксплоит

В феврале 2017 года была предотвращена атака на польский финансовый регулятор — Комиссию по финансовому надзору. Хакеры модифицировали один из файлов JavaScript и разместили на сайте ведомства зараженный JS-скрипт, подгружавший вредоносное ПО. Оказавшись в системе, вредоносная программа связывалась с размещенными за границей серверами и осуществляла различные действия с целью разведки и хищения данных.

Примечательно, что программа действовала адресно: хакеры загодя подготовили список интернет-адресов из 103 организаций (большинство из них банки, причем как польские, так и зарубежные, включая кредитные организации Бразилии, Чили, Эстонии, Мексики и даже Bank of America), чтобы целенаправленно заразить устройства сотрудников указанных структур. В случае успеха злоумышленники смогли бы получить контроль и над финансовыми потоками, но в первую очередь их интересовала информация о рынке.

В марте 2018 года турецкие СМИ со ссылкой на McAfee сообщали об операции хакеров против финансовой системы Турции. Код, бизнес-специализации жертвы и наличие строк сервера управления говорили о том, что это дело рук Hidden Cobra (Lazarus).

Фишинговые письма включали в себя файлы Microsoft Word со встроенным эксплоитом Adobe Flash. Однако в процессе расследования выяснилось, что инцидент в Турции был лишь частью масштабной операции GhostSecret, затронувшей в общей сложности 17 стран. Злоумышленники целенаправленно собирали данные о критической инфраструктуре, телекоммуникациях и даже развлекательных организациях.

Предполагается, что уязвимости нулевого дня в Adobe Flash были найдены именно северокорейскими хакерами и долгое время замалчивались. Группа встроенных вредоносных файлов SWF в программе позволяет получить полный контроль над компьютерами жертвы. Adobe выпустила патч для безопасности, но это не помешало киберпреступникам модифицировать свое вредоносное ПО и продолжить атаки.

Затишье перед кибербурей: когда замаячит блэкаут

Еще одна хакерская группировка APT37 (она же Reaper) прославилась на мировой арене благодаря сложным высокоуровневым взломам. Аналитики FireEye подметили, что эти хакеры «не стесняются: они чрезвычайно агрессивны». Главной задачей APT37 объявила «тайный сбор разведданных для поддержки стратегических военных, политических и экономических интересов КНДР».

В отличие от Lazarus, APT37 намеренно работает в тени и старается не попадать в поле внимания: ее деятельность охватывает регион от Азии до Ближнего Востока, атаки становятся все более изощренными. FireEye полагает, что APT37 основана в 2012 году и базируется в Северной Корее. В настоящий момент сфера ее интересов простирается от энергетического сектора, нефтепромышленности, электроники до автомобилестроения и аэрокосмической отрасли. С помощью фишинга и вредоносной программы DogCall злоумышленники делали скриншоты страниц, заполучив пароли пользователей — сотрудников южнокорейского правительства, в марте и апреле 2017 года. Благодаря этому хакерам удалось похитить военные документы, в том числе совместные оперативно-боевые планы Южной Кореи и США по конфликту с Пхеньяном.

За последние 18 месяцев следы хакеров из КНДР прослеживаются во все большем количестве кибератак, «уровень хакеров стремительно улучшился», а цели становятся более тревожными.

В 2017 году Министерство торговли, промышленности и энергетики Южной Кореи сообщило, что за 10 лет количество попыток доступа к государственным энергетическим компаниям Korea Electric Power Corporation (KEPCO) и Korea Hydro & Nuclear Power (KHNP) увеличилось в четыре тысячи раз. По меньшей мере 19 атак на KEPCO были осуществлены с Севера.

Все это свидетельствует о том, что Пхеньян стремится получить контроль над энергетическим сектором — и уже давно «приценивается» к отрасли. Еще в 2014 году хакеры получили доступ к информации китайского ядерного оператора KHNP, сотрудничающего с Южной Кореей. Тогда южнокорейские официальные лица утверждали, что критические данные украдены не были.

В сентябре 2017 года фирма Dragos из Мэриленда заметила подозрительную активность группировки Covellite, нацелившейся на энергосистему в США, Европе и странах Восточной Азии. Методы злоумышленников напоминали активность Lazarus, в связи с чем правительство США открыто объявило автором атаки Пхеньян.

Эксперты Dragos предположили, что злоумышленники могут разрабатывать вредоносные программы, способные привести к полному отключению электросети США. Оказалось, что более половины выявленных уязвимостей потенциально могут привести к «сильному операционному воздействию».

Но этим арсенал КНДР не ограничивается: в декабре 2017 года Министерство внутренней безопасности США обнаружило «разрушительное вредоносное ПО» SMASHINGCOCONUT, за которым может стоять КНДР.

SMASHINGCOCONUT — 32-битное вредоносное ПО, способное сделать систему на базе Windows неоперабельной. После установки вредоноса хакер должен вставить аргумент командной строки для выполнения, что приведет к удалению всех файлов, а также спровоцирует закодирование всех данных на компьютере.

По словам аналитика службы безопасности Symantec Эрика Чиена, если Пхеньян действительно стоит за атакой SMASHINGCOCONUT, это отражает сдвиг в стратегии КНДР, в последние годы сосредоточившейся на нападении на финансовые учреждения и криптовалютных операциях.

Помимо адресных и рассеянных кибератак, КНДР вплотную озаботилась слежкой за пользователями и сбором личных данных. Так, в Google Play в течение двух месяцев (с января по март 2018 года) были доступны три приложения, собирающие информацию об устройстве, личные фотографии, копирующие контакты и текстовые сообщения.

Приложения были нацелены на перебежчиков из Северной Кореи, обосновавшихся в других странах, прежде всего в Южной Корее. Любопытно, что приложения скачали всего около 100 раз, но в этом и заключалась цель: разработчики программ-шпионов зачастую заражают небольшое количество тщательно отобранных целей, чтобы оставаться незамеченными администрацией маркетов.

О северокорейском происхождении приложений свидетельствовали несколько фактов: аналитики McAfee обнаружили в коде уникальные корейские слова, не используемые жителями Южной Кореи, а в файле текстового журнала значился северокорейский IP-адрес. Новую группу назвали Sun Team, но не исключено, что это одно из подразделений Lazarus.

Также Пхеньян явно занимается разработками для слежки за пользователями iPhone. В мае 2018 года исследователь кибербезопасности Дариен Гусс из компании Proofpoint обнаружил программу — инструмент для удаленного контроля корпоративных iPhone, с помощью которого можно следить за владельцем и получать абсолютно всю информацию с устройства. Сама программа «лежала» на сервере, где находятся и другие инструменты взлома программистов из Северной Кореи.

Биткоин вону бережет: хайп на криптовалютах

Общий ущерб от целевых хакерских атак на криптоиндустрию в 2017 году составил более 160 миллионов долларов, а доход от хакерских атак на криптобиржи варьируется от 1,5 миллиона до 72 миллионов долларов. Для сравнения, в результате успешной атаки на банк преступники в среднем зарабатывают всего 1,5 миллиона долларов.

Неудивительно, что КНДР активно интересуется криптовалютами: IP-адреса, связанные с Северной Кореей, были идентифицированы на форумах, посвященных биткоину, еще в 2013 году.

Первыми от северокорейских хакеров пострадали криптопроекты Южной Кореи. Например, в декабре 2017 года биржа Youbit сообщила о потере 17 процентов цифровых денег и вскоре обанкротилась. Тогда курс биткоина достиг 20 тысяч долларов, а в апреле мошенникам удалось похитить биткоинов на 36 миллионов долларов. В Сеуле также подозревают Пхеньян в хищении 523 миллионов долларов у японского обменника Coincheck.

Жертвами хакеров становились и частные инвесторы. В 2017 году злоумышленники из КНДР начали массово создавать в Facebook фиктивные профили привлекательных девушек, якобы интересующихся биткоином и работающих в криптоотрасли. В профилях фигурировали «Исследовательский центр NYU» и другие учреждения, не вызывающие подозрений. Хакеры заводили знакомства с мужчинами-пользователями криптобирж, затем отправляли файлы Microsoft Word, замаскированные под открытки или приглашения, заражая пользователей и получая доступ к кошелькам жертв.

Еще один популярный способ обогащения хакеров — заражение рабочих станций вирусом для майнинга криптовалют. В январе 2018 года американская фирма AlienVault обнаружила фрагмент вредоносного ПО, которое проникает на компьютер жертвы и начинает добывать для своего хозяина валюту Monero.

Интерес КНДР к Monero неслучаен. Этой криптовалютой преимущественно пользуются именно хакеры. Биткоин, хоть и остается самой популярной цифровой в мире валютой, не отличается анонимностью: в начале 2018 года компания Bitfury Group представила набор инструментов Crystal, позволяющий сотрудникам правоохранительных органов и частным экспертам прослеживать пути перемещения подозрительных транзакций до конечного получателя или точки сбыта криптовалюты. И это лишь одно из существующих решений.

ПО на экспорт: легальный бизнес

Активное развитие кибервойск КНДР привело к тому, что страна преуспела в подготовке квалифицированных IT-кадров. В 2015 году на международном конкурсе CodeChef северокорейские команды заняли первое, второе и третье места из более чем 7,6 тысячи участников со всего мира. Три из 15 лучших кодеров в сети CodeChef, насчитывающей около 100 тысяч пользователей, являются северокорейскими.

Неудивительно, что Пхеньян начал активно развивать IT-бизнес, причем так, что никакие связи компаний со страной просто не прослеживаются. В мае 2018 года Центр исследований проблем нераспространения Джеймса Мартина (James Martin Center for Nonproliferation Studies) в докладе под названием The Shadow Sector: North Korea's Information Technology Networks утверждал, что компании, связанные с властями КНДР, создают и продают разнообразное программное обеспечение по всему миру: от разработки и администрирования сайтов, программ-шифровальщиков файлов до VPN-сервисов, систем аутентификации и распознавания лиц.

Одна из «корневых» фирм — оборонная Global Communications (Glocom), создавшая сеть проектов по всей Азии. Аффилированная с Global Communications компания Future TechGroup не так давно выиграла престижную награду за программу распознавания лиц на конкурсе в Швейцарии. Также Future TechGroup продвигала проекты веб-разработки в американских школах, продавала ПО для распознавания лиц правоохранительным органам Турции и других стран.

Еще одна аффилированная с Glocom компания — Adnet International — предлагает методы идентификации биометрических данных для клиентов в Китае, Японии, Малайзии, Индии, Пакистане, Таиланде, ОАЭ, Великобритании, Германии, Франции, России, Канаде, Аргентине, Нигерии. VPN-технологии, разработанные северокорейскими компаниями, продавались в Малайзии. Фирмам удается скрывать связи с правительством благодаря созданию цепочек-посредников в разных странах мира.

Формально Пхеньян отношения к бизнесу не имеет. Но заказы предоставляют северокорейским властям колоссальный простор для деятельности и открывают ящик Пандоры, ведь никто не может утверждать, что в программах этих компаний нет закладок для слежки и сбора информации.

***

Между кибератаками северокорейских хакеров и ядерными испытаниями прослеживается довольно четкая корреляция: зачастую они совпадают по времени. Во время третьего тестирования в феврале 2013 года южнокорейские телевизионные компании и банковский сектор пострадали от атаки 3,20 Cyber Terror, известной как DarkSeoul. В январе 2016 года, когда Северная Корея провела четвертый взрыв, произошла массовая рассылка фишинговых писем южнокорейским должностным лицам. После пятого испытания в сентябре 2016 года хакерам удалось похитить секретные военные файлы у Южной Кореи.

Пхеньян, судя по всему, отвлекает внимание от кибератак ядерными испытаниями: мировым СМИ попросту некогда рассказывать о событиях в киберпространстве, когда речь идет об атомном взрыве. Случаи атак на энергосистему Южной Кореи и США свидетельствуют о том, что КНДР могла начать подготовку к четвертому этапу собственной киберстратегии: последующие удары могут быть направлены на критическую инфраструктуру, и предсказать последствия пока что не представляется возможным.

Изоляция КНДР определенно усложняет для США выработку эффективной стратегии против кибератак Пхеньяна: Вашингтону приходится опираться на открытые источники сбора разведданных. Кроме того, попытки нанести ответный удар в киберпространстве заведомо обречены на провал: попросту потому, что страна практически не имеет выхода в сеть.

В последний год США активизировались в кибернаправлении и закладывают основу против КНДР через Южную Корею и Японию, где расположены многочисленные военные объекты американцев. Штаты активно прокладывают оптоволоконные кабели, настраивают удаленные базы данных и прослушивающих устройств, способных подключиться к северокорейской сети.

Но даже если полностью ограничить доступ КНДР к сети, атаки не прекратятся: северокорейские хакеры рассеяны по всему миру и могут продолжать нападение из любой точки Юго-Восточной Азии, где есть доступ к интернету. При этом наказать Пхеньян за киберпреступления невозможно: наиболее болезненные санкции против страны уже введены, а на военный удар за кибератаки ни одно государство не решится.

Статья основана на материалах исследования «Серверная Корея: Как КНДР создала самые эффективные кибервойска в мире», подготовленного для Российского совета по международным делам. Авторы — гендиректор ООО ТСС Александр Атаманов и гендиректор «Лаборатории Цифровой Форензики» Александр Мамаев.