Неприкасаемые

В 2016 году северокорейские хакеры попытались обокрасть Федеральный резервный банк Нью-Йорка, но остановила их досадная орфографическая ошибка. С тех пор от насмешек над киберармией КНДР специалисты перешли к ее детальному изучению: на сегодняшний день Пхеньян имеет в своем распоряжении одну из самых боеспособных и опасных в мире армий хакеров, по численности сопоставимую с кибервойсками США. «Лента.ру» изучила поступивший в распоряжение редакции доклад Российского совета по международным делам и выяснила, как стране, славящейся скудным интернетом, удалось взрастить мощнейшее кибервойско.

12 июня в Сингапуре состоялась историческая встреча лидера Северной Кореи Ким Чен Ына и президента США Дональда Трампа. Все разногласия якобы остались в прошлом, Ким Чен Ын даже пообещал уничтожить ракетный полигон Сохэ, на котором, как полагается, была создана межконтинентальная ракета, способная долететь до берегов США.

Однако своеобразные «поблажки» в вопросе ядерного разоружения со стороны КНДР связаны с успехами в цифровом секторе, считают эксперты. Вполне вероятно, что ущерб от масштабного нападения сетевой армии может быть значительнее, чем от атомной бомбы.

Ким Чен Ир, руководитель КНДР с 1994 по 2011 год и противник интернета, изменил свое мнение в середине 1990-х годов, когда в страну после обучения вернулась группа специалистов по компьютерным технологиям. В 2003 году произошло вторжение США в Ирак, и именно тогда Ким Чен Ир заявил: «В XXI веке войны будут вестись в информационном формате».

В 2009 году хакеры КНДР атаковали сайты в США и Южной Кореи, заразив их вирусом MyDoom. За нападением стояла группа Lazarus (она же Hidden Cobra, она же Crowdstrike) — самая известная ныне северокорейская хакерская группировка.

Однако масштаб КНДР на сетевой карте мира не впечатлял: в 2011 году, когда умер Ким Чен Ир, в стране было зарегистрировано около одной тысячи IP-адресов — меньше, чем в большинстве кварталов Нью-Йорка.

С приходом Ким Чен Ына все изменилось: в августе 2014 года киберпреступники атаковали британский телеканал Channel Four после объявления о выходе фильма о британском ученом, похищенном Пхеньяном для разработки ядерного оружия. Серьезного урона атака не нанесла, но это была лишь «разминка».

В декабре этого же года на экраны должен был выйти комедийный боевик Эвана Голдберга и Сета Рогена «Интервью» — о двух американских журналистах, отправляющихся в КНДР ради интервью с Ким Чен Ыном и убивающих диктатора по просьбе ЦРУ. 24 ноября большинство сотрудников Sony Pictures обнаружили на экранах компьютеров изображение красного черепа и сообщение с угрозами, написанное от лица хакерской группировки Guardians of Peace (GOP).

Киберпреступники проникли на серверы компании, слили в сеть несколько фильмов, конфиденциальную информацию, а вирус уничтожил до 70 процентов ноутбуков и компьютеров сотрудников. Позднее случившееся назвали «компьютерным убийством», глава студии Эми Паскаль ушла в отставку, а Sony завалили многочисленными судебными исками.

Постепенно от «идеологических» атак хакеры перешли к самой важной задаче: заработок в сети.

Помимо многочисленных обвинений в продаже оружия, наркотиков и разного рода контрафакта, КНДР часто уличают в хакерских атаках ради обогащения. По словам консультанта Национальной разведывательной службы Южной Кореи Саймона Чой, за последние несколько лет северокорейские хакеры атаковали более 100 банков и криптобирж, похитив более 650 миллионов долларов.

Бывший британский разведчик полагает, что киберпреступления приносят КНДР до одного миллиарда долларов в год, что фактически составляет треть от официальных показателей по экспорту страны.

Дело на миллиард: Центробанк Бангладеш

В 2015 году группировки, связанные с Пхеньяном, атаковали онлайн-банки на Филиппинах, во Вьетнаме (Tien Phong), в феврале 2016 года под удар попал Бангладеш. Именно атака на Центральный банк Бангладеш стала одной из самых успешных — и самых показательных. Хакерам удалось взломать систему SWIFT, которой пользуются 11 тысяч банков и финансовых учреждений по всему миру. Позднее это пригодилось, чтобы уничтожить информацию о незаконных переводах.

Преступники направили от имени Центробанка Бангладеш запрос на перевод почти одного миллиарда долларов из Федерального резервного банка Нью-Йорка, где хранились средства азиатского государства. Запрос поступил в четверг вечером, когда сотрудники ЦБ уже покинули офис (в пятницу в мусульманской стране выходной). Хакеров подвела всего одна орфографическая ошибка: в документах значилось fandation вместо foundation. Большая часть перевода была заблокирована, но хакерам удалось вывести 81 миллион долларов и обналичить через филиппинские казино. Это первый случай, когда кибератака использовалась государством не для шпионажа или политических целей, а ради наживы.

Поторопились: преждевременный удар WannaCry

В мае 2017 года интернет парализовал вирус WannaCry, шифрующий все хранящиеся на компьютере файлы и требующий выкуп за разблокировку. За первые четыре дня атаки пострадали около 300 тысяч пользователей в 150 странах мира, причиненный ущерб оценивается в один миллиард долларов.

Специалисты «Лаборатории Касперского» и антивирусной компании Symantec обратили внимание, что в коде WannaCry есть следы кода, использовавшегося в феврале 2015 года хакерской группой Lazarus. Это более чем явное свидетельство причастности КНДР.

Авторы данного исследования полагают, что ставшая столь массовой атака задумывалась как тестовая. На это указывают ряд причин: во-первых, от нее пострадали, в том числе, и партнеры КНДР — Китай и Россия, и вряд ли Пхеньян решился на атаку и без того немногочисленных союзников. Кроме того, в результате нападения было выручено от 40 тысяч до 70 тысяч долларов, что не такая уж крупная сумма: адресные атаки приносят куда больше денег.

Крадущаяся кобра, затаившийся эксплоит

В феврале 2017 года была предотвращена атака на польский финансовый регулятор — Комиссию по финансовому надзору. Хакеры модифицировали один из файлов JavaScript и разместили на сайте ведомства зараженный JS-скрипт, подгружавший вредоносное ПО. Оказавшись в системе, вредоносная программа связывалась с размещенными за границей серверами и осуществляла различные действия с целью разведки и хищения данных.

Примечательно, что программа действовала адресно: хакеры загодя подготовили список интернет-адресов из 103 организаций (большинство из них банки, причем как польские, так и зарубежные, включая кредитные организации Бразилии, Чили, Эстонии, Мексики и даже Bank of America), чтобы целенаправленно заразить устройства сотрудников указанных структур. В случае успеха злоумышленники смогли бы получить контроль и над финансовыми потоками, но в первую очередь их интересовала информация о рынке.

В марте 2018 года турецкие СМИ со ссылкой на McAfee сообщали об операции хакеров против финансовой системы Турции. Код, бизнес-специализации жертвы и наличие строк сервера управления говорили о том, что это дело рук Hidden Cobra (Lazarus).

Фишинговые письма включали в себя файлы Microsoft Word со встроенным эксплоитом Adobe Flash. Однако в процессе расследования выяснилось, что инцидент в Турции был лишь частью масштабной операции GhostSecret, затронувшей в общей сложности 17 стран. Злоумышленники целенаправленно собирали данные о критической инфраструктуре, телекоммуникациях и даже развлекательных организациях.

Предполагается, что уязвимости нулевого дня в Adobe Flash были найдены именно северокорейскими хакерами и долгое время замалчивались. Группа встроенных вредоносных файлов SWF в программе позволяет получить полный контроль над компьютерами жертвы. Adobe выпустила патч для безопасности, но это не помешало киберпреступникам модифицировать свое вредоносное ПО и продолжить атаки.

Еще одна хакерская группировка APT37 (она же Reaper) прославилась на мировой арене благодаря сложным высокоуровневым взломам. Аналитики FireEye подметили, что эти хакеры «не стесняются: они чрезвычайно агрессивны». Главной задачей APT37 объявила «тайный сбор разведданных для поддержки стратегических военных, политических и экономических интересов КНДР».

В отличие от Lazarus, APT37 намеренно работает в тени и старается не попадать в поле внимания: ее деятельность охватывает регион от Азии до Ближнего Востока, атаки становятся все более изощренными. FireEye полагает, что APT37 основана в 2012 году и базируется в Северной Корее. В настоящий момент сфера ее интересов простирается от энергетического сектора, нефтепромышленности, электроники до автомобилестроения и аэрокосмической отрасли. С помощью фишинга и вредоносной программы DogCall злоумышленники делали скриншоты страниц, заполучив пароли пользователей — сотрудников южнокорейского правительства, в марте и апреле 2017 года. Благодаря этому хакерам удалось похитить военные документы, в том числе совместные оперативно-боевые планы Южной Кореи и США по конфликту с Пхеньяном.

За последние 18 месяцев следы хакеров из КНДР прослеживаются во все большем количестве кибератак, «уровень хакеров стремительно улучшился», а цели становятся более тревожными.

В 2017 году Министерство торговли, промышленности и энергетики Южной Кореи сообщило, что за 10 лет количество попыток доступа к государственным энергетическим компаниям Korea Electric Power Corporation (KEPCO) и Korea Hydro & Nuclear Power (KHNP) увеличилось в четыре тысячи раз. По меньшей мере 19 атак на KEPCO были осуществлены с Севера.

Все это свидетельствует о том, что Пхеньян стремится получить контроль над энергетическим сектором — и уже давно «приценивается» к отрасли. Еще в 2014 году хакеры получили доступ к информации китайского ядерного оператора KHNP, сотрудничающего с Южной Кореей. Тогда южнокорейские официальные лица утверждали, что критические данные украдены не были.

В сентябре 2017 года фирма Dragos из Мэриленда заметила подозрительную активность группировки Covellite, нацелившейся на энергосистему в США, Европе и странах Восточной Азии. Методы злоумышленников напоминали активность Lazarus, в связи с чем правительство США открыто объявило автором атаки Пхеньян.

Эксперты Dragos предположили, что злоумышленники могут разрабатывать вредоносные программы, способные привести к полному отключению электросети США. Оказалось, что более половины выявленных уязвимостей потенциально могут привести к «сильному операционному воздействию».

Но этим арсенал КНДР не ограничивается: в декабре 2017 года Министерство внутренней безопасности США обнаружило «разрушительное вредоносное ПО» SMASHINGCOCONUT, за которым может стоять КНДР.

По словам аналитика службы безопасности Symantec Эрика Чиена, если Пхеньян действительно стоит за атакой SMASHINGCOCONUT, это отражает сдвиг в стратегии КНДР, в последние годы сосредоточившейся на нападении на финансовые учреждения и криптовалютных операциях.

Помимо адресных и рассеянных кибератак, КНДР вплотную озаботилась слежкой за пользователями и сбором личных данных. Так, в Google Play в течение двух месяцев (с января по март 2018 года) были доступны три приложения, собирающие информацию об устройстве, личные фотографии, копирующие контакты и текстовые сообщения.

Приложения были нацелены на перебежчиков из Северной Кореи, обосновавшихся в других странах, прежде всего в Южной Корее. Любопытно, что приложения скачали всего около 100 раз, но в этом и заключалась цель: разработчики программ-шпионов зачастую заражают небольшое количество тщательно отобранных целей, чтобы оставаться незамеченными администрацией маркетов.

О северокорейском происхождении приложений свидетельствовали несколько фактов: аналитики McAfee обнаружили в коде уникальные корейские слова, не используемые жителями Южной Кореи, а в файле текстового журнала значился северокорейский IP-адрес. Новую группу назвали Sun Team, но не исключено, что это одно из подразделений Lazarus.

Также Пхеньян явно занимается разработками для слежки за пользователями iPhone. В мае 2018 года исследователь кибербезопасности Дариен Гусс из компании Proofpoint обнаружил программу — инструмент для удаленного контроля корпоративных iPhone, с помощью которого можно следить за владельцем и получать абсолютно всю информацию с устройства. Сама программа «лежала» на сервере, где находятся и другие инструменты взлома программистов из Северной Кореи.

Общий ущерб от целевых хакерских атак на криптоиндустрию в 2017 году составил более 160 миллионов долларов, а доход от хакерских атак на криптобиржи варьируется от 1,5 миллиона до 72 миллионов долларов. Для сравнения, в результате успешной атаки на банк преступники в среднем зарабатывают всего 1,5 миллиона долларов.

Неудивительно, что КНДР активно интересуется криптовалютами: IP-адреса, связанные с Северной Кореей, были идентифицированы на форумах, посвященных биткоину, еще в 2013 году.

Первыми от северокорейских хакеров пострадали криптопроекты Южной Кореи. Например, в декабре 2017 года биржа Youbit сообщила о потере 17 процентов цифровых денег и вскоре обанкротилась. Тогда курс биткоина достиг 20 тысяч долларов, а в апреле мошенникам удалось похитить биткоинов на 36 миллионов долларов. В Сеуле также подозревают Пхеньян в хищении 523 миллионов долларов у японского обменника Coincheck.

Жертвами хакеров становились и частные инвесторы. В 2017 году злоумышленники из КНДР начали массово создавать в Facebook фиктивные профили привлекательных девушек, якобы интересующихся биткоином и работающих в криптоотрасли. В профилях фигурировали «Исследовательский центр NYU» и другие учреждения, не вызывающие подозрений. Хакеры заводили знакомства с мужчинами-пользователями криптобирж, затем отправляли файлы Microsoft Word, замаскированные под открытки или приглашения, заражая пользователей и получая доступ к кошелькам жертв.

Еще один популярный способ обогащения хакеров — заражение рабочих станций вирусом для майнинга криптовалют. В январе 2018 года американская фирма AlienVault обнаружила фрагмент вредоносного ПО, которое проникает на компьютер жертвы и начинает добывать для своего хозяина валюту Monero.

Интерес КНДР к Monero неслучаен. Этой криптовалютой преимущественно пользуются именно хакеры. Биткоин, хоть и остается самой популярной цифровой в мире валютой, не отличается анонимностью: в начале 2018 года компания Bitfury Group представила набор инструментов Crystal, позволяющий сотрудникам правоохранительных органов и частным экспертам прослеживать пути перемещения подозрительных транзакций до конечного получателя или точки сбыта криптовалюты. И это лишь одно из существующих решений.

Активное развитие кибервойск КНДР привело к тому, что страна преуспела в подготовке квалифицированных IT-кадров. В 2015 году на международном конкурсе CodeChef северокорейские команды заняли первое, второе и третье места из более чем 7,6 тысячи участников со всего мира. Три из 15 лучших кодеров в сети CodeChef, насчитывающей около 100 тысяч пользователей, являются северокорейскими.

Неудивительно, что Пхеньян начал активно развивать IT-бизнес, причем так, что никакие связи компаний со страной просто не прослеживаются. В мае 2018 года Центр исследований проблем нераспространения Джеймса Мартина (James Martin Center for Nonproliferation Studies) в докладе под названием The Shadow Sector: North Korea's Information Technology Networks утверждал, что компании, связанные с властями КНДР, создают и продают разнообразное программное обеспечение по всему миру: от разработки и администрирования сайтов, программ-шифровальщиков файлов до VPN-сервисов, систем аутентификации и распознавания лиц.

Одна из «корневых» фирм — оборонная Global Communications (Glocom), создавшая сеть проектов по всей Азии. Аффилированная с Global Communications компания Future TechGroup не так давно выиграла престижную награду за программу распознавания лиц на конкурсе в Швейцарии. Также Future TechGroup продвигала проекты веб-разработки в американских школах, продавала ПО для распознавания лиц правоохранительным органам Турции и других стран.

Еще одна аффилированная с Glocom компания — Adnet International — предлагает методы идентификации биометрических данных для клиентов в Китае, Японии, Малайзии, Индии, Пакистане, Таиланде, ОАЭ, Великобритании, Германии, Франции, России, Канаде, Аргентине, Нигерии. VPN-технологии, разработанные северокорейскими компаниями, продавались в Малайзии. Фирмам удается скрывать связи с правительством благодаря созданию цепочек-посредников в разных странах мира.

Формально Пхеньян отношения к бизнесу не имеет. Но заказы предоставляют северокорейским властям колоссальный простор для деятельности и открывают ящик Пандоры, ведь никто не может утверждать, что в программах этих компаний нет закладок для слежки и сбора информации.

Между кибератаками северокорейских хакеров и ядерными испытаниями прослеживается довольно четкая корреляция: зачастую они совпадают по времени. Во время третьего тестирования в феврале 2013 года южнокорейские телевизионные компании и банковский сектор пострадали от атаки 3,20 Cyber Terror, известной как DarkSeoul. В январе 2016 года, когда Северная Корея провела четвертый взрыв, произошла массовая рассылка фишинговых писем южнокорейским должностным лицам. После пятого испытания в сентябре 2016 года хакерам удалось похитить секретные военные файлы у Южной Кореи.

Пхеньян, судя по всему, отвлекает внимание от кибератак ядерными испытаниями: мировым СМИ попросту некогда рассказывать о событиях в киберпространстве, когда речь идет об атомном взрыве. Случаи атак на энергосистему Южной Кореи и США свидетельствуют о том, что КНДР могла начать подготовку к четвертому этапу собственной киберстратегии: последующие удары могут быть направлены на критическую инфраструктуру, и предсказать последствия пока что не представляется возможным.

Изоляция КНДР определенно усложняет для США выработку эффективной стратегии против кибератак Пхеньяна: Вашингтону приходится опираться на открытые источники сбора разведданных. Кроме того, попытки нанести ответный удар в киберпространстве заведомо обречены на провал: попросту потому, что страна практически не имеет выхода в сеть.

В последний год США активизировались в кибернаправлении и закладывают основу против КНДР через Южную Корею и Японию, где расположены многочисленные военные объекты американцев. Штаты активно прокладывают оптоволоконные кабели, настраивают удаленные базы данных и прослушивающих устройств, способных подключиться к северокорейской сети.

Но даже если полностью ограничить доступ КНДР к сети, атаки не прекратятся: северокорейские хакеры рассеяны по всему миру и могут продолжать нападение из любой точки Юго-Восточной Азии, где есть доступ к интернету. При этом наказать Пхеньян за киберпреступления невозможно: наиболее болезненные санкции против страны уже введены, а на военный удар за кибератаки ни одно государство не решится.

Статья основана на материалах исследования «Серверная Корея: Как КНДР создала самые эффективные кибервойска в мире», подготовленного для Российского совета по международным делам. Авторы — гендиректор ООО ТСС Александр Атаманов и гендиректор «Лаборатории Цифровой Форензики» Александр Мамаев.

Подготовила Анастасия Евтушенко