Откуда в стране, где компьютер и интернет являются чем-то из области фантастики для обычных граждан, имеется достаточно серьезная киберармия? Об этом рассказал hi-tech.mail.ru.
Корейская война, длившаяся с 1950-го по 1953 год (при этом официально конфликт завершенным не считается), стала началом раздора между КНДР и США. На протяжении почти 70 лет американцы не перестают убеждать мир, что Северная Корея представляет для мира большую опасность. Во время правления Дональда Трампа отношения между двумя странами, на удивление, стали немного мягче. Он стал первым президентом США, ступившим на территорию КНДР.
Однако после очередных выборов в начале 2021 года новым президентом Соединенных Штатов Америки стал ярый противник политики Трампа Джо Байден. Новый Глава Белого дома сразу же отступил от налаживания отношений между США и КНДР, недавно заявив, что американская администрация намерена прибегнуть к «твердому сдерживанию» Северной Кореи. В свою очередь Пхеньян отреагировал на заявление Байдена, отметив, что американцы «совершают большую ошибку».
Тысячи хакеров на страже режима
Впервые на высшем уровне о северокорейских хакерах начали говорить на старте «нулевых», а поводом стала пресс-конференция генерал-майора Южной Кореи Сон Ён Гюна. Он рассказал о подготовке в соседнем недружественном государстве целой армии хакеров профессионального уровня, счет которых идет на сотни. Опасения южнокорейского генерал-майора вызывало то, что обученная киберармия намерена взломать стратегически важные инфраструктурные объекты Южной Кореи с намерением похитить ценную информацию.
Спустя 10 лет эти данные подтвердил и бежавший из КНДР еще в 2004 году профессор Ким Хын-Кван, рассказавший прессе о так называемой «Группе-180», входящей в Разведывательное Управление Генштаба КНА. По словам профессора, основная цель кибератак из Пхеньяна — это не только сбор информации, но и хищение денежных средств.
«Группа-180» (по некоторым данным именуется как «Бюро-121») представляет собой учебное спецучреждение закрытого типа, в которое способны попасть только отборные умы. Задача учебного заведения заключается в обучении студентов методам совершения кибератак и взломов. Сам же Ким Хын-Кван признался, что до побега преподавал в данном образовательном центре, и у него до сих пор есть связи с некоторыми из коллег. По состоянию на 2014 год он оценивал численность киберармии Пхеньяна в 3000 человек.
Однако достоверность слов профессора вызвала сомнения у ряда специалистов ввиду того, что на момент его откровений прошло 10 лет. Интересен и тот факт, что спустя столько времени его так и не вычислила, и не устранила северокорейская агентура. Тем не менее кибератаки из Пхеньяна — это реальность, и по состоянию на 2021 год количество взломов из КНДР неуклонно растет, в том числе и в направлении России.
Вирус, от которого хочется плакать
В 2017 году мир охватила вредоносная программа под названием WannaCry, за короткое время сумевшая заразить свыше 500 тысяч компьютеров в 200 странах мира. Сетевой червь поразил не только пользовательские ПК, но и компьютеры, принадлежащие коммерческим и некоммерческим организациям. То есть под раздачу попали все, в том числе аэропорты, больницы, банки, заводы и т. д., что серьезно парализовало их работу, принесло убытки и создало серьезную угрозу здоровью и жизни некоторых людей.
В конце того же 2017 года в распространении вируса WannaCry МИД Великобритании обвинил правительство КНДР, поскольку в злонамеренных действиях заподозрили хакерскую группировку Lazarus Group. Насколько известно, эта группа киберпреступников тесно связана с официальным правительством Северной Кореи.
В свою очередь Пхеньян стал отрицать все обвинения в свою сторону и заявил, что понятия не имеет, кто на самом деле стоит за кибератаками. Все обвинения США и их союзников руководство КНДР назвало провокационными. И на самом деле до сих пор так никто и не доказал, что WannaCry распространялся под покровительством КНДР, а значит, нужно искать другие доказательства существования «Группы-180».
Многоликие почитатели вождя
В конце 2014 года в кинотеатрах по всему миру должна была состояться премьера фильма «Интервью», в котором рассказывалось о двух завербованных ЦРУ журналистах, отправившихся взять интервью у Ким Чен Ына, и о последующем его убийстве при помощи пластыря, пропитанного ядом.
Однако комедийный боевик так и не запустили в кинотеатрах — за неделю до анонса Sony Pictures отменила премьеру. Все из-за того, что Пхеньян обозвал киноленту «актом терроризма», а после на Sony Pictures обрушилась хакерская атака со стороны группировки Guardian of Peace, входящей в Lazarus. Немного пошалив, кибервойска КНДР выложили в свободный доступ личные данные работников кинокомпании, среди которых переписки, данные медкарт и страховых полисов, информация о доходах и зарплатах, часть сценариев и еще пять предрелизных кинолент.
Однако тогда киностудии Sony Pictures повезло, поскольку в ограниченный прокат кинолента все же вышла, а после ее залили на YouTube, Google Play и Xbox Video. Хайп, словленный на волне кибератак, позволил кинокомпании заработать около 40 млн долларов, сделав фильм самым успешным цифровым релизом студии. Однако это единичный случай подобного везения, поскольку Lazarus (и причисляемые к ней Hidden Cobra, ZINC, APT38 и др. ввиду использования схожих инструментов и кусков кода) не раз совершала удачные атаки, стоившие жертвам десятки и сотни миллионов долларов убытков.
Работа северокорейских хакеров — сюжет для кино. Деньги выводили через казино
В 2015 году ребята из APT38 совершили попытку атаки на вьетнамский банк Tien Phong с последующим выводом украденных средств в Словению. Однако действия злоумышленников своевременно пресекла служба безопасности банка Ханоя, и операция по выводу миллионов долларов провалилась.
Спустя год хакеры группировки Lazarus решили попытать удачу в одном из банков Народной Республики Бангладеш. Они намеревались украсть 1 млрд долларов, причем действовали крайне осторожно и осмотрительно, никуда не спеша. Спецоперация по взлому банка длилась целых 17 месяцев: сначала хакеры использовали фишинговую рассылку, затем добившись загрузки с управляющего сервера бэкдора, принялись тщательно изучать «внутреннюю кухню» взломанной сети. Lazarus освоили механизмы банковских операций, выстроили связи и разработали последовательность действий вывода средств в режиме оффлайн, усыпив бдительность службы безопасности. Все для того, чтобы в назначенное время сработать четко и молниеносно.
В начале февраля 2016 года наступил «час икс» — на корреспондентский счет бангладешского банка в Федеральном Резервном Банке Нью-Йорка посредством системы Swift поступил ряд запросов на перевод в общей сложности 1 млрд долларов. Средства должны были уйти в направлении Шри-Ланки и Филиппин. Сначала все шло по плану: первые 5 запросов были успешно обработаны, а затем система застопорилась.
Ее остановило слово «Jupiter» в инструкции, очутившееся в черном списке из-за транспортной компании Греции Jupiter Seaways Shipping, ранее попавшей под санкции со стороны США из-за сотрудничества с Ираном. При этом ТК Греции никак не была связана с пхеньянскими кибератаками, но подозрительная операция была обнаружена администраторами банка. К несчастью хакеров, транзакции были проверены СБ, а все последующие переводы заморожены.
Стоит отметить, что северокорейские взломщики выбрали крайне удачное время для кибератаки, поскольку в тот день на Филиппинах были выходные в связи с национальным праздником, а потому двое суток никто не реагировал на запросы по приостановке транзакций. Это и позволило злоумышленникам вывести порядка 100 млн долларов, обналичить деньги в банкоматах, а затем приобрести на них фишки в казино, работавшие в выходные, для заметания следов.
В 2017 году атаке подвергся тайваньский международный банк FEIB (попытка вывести $60 млн), в 2018 году $110 млн могло уйти с банка Мексики Bancomext (якобы на пожертвования корейской церкви), затем под раздачу попал чилийский Banco De Chile, а последней жертвой стал Cosmos Bank в Индии. Как и в случае с банком Бангладеша, часть денег северокорейским хакерам все же удалось украсть, а остальные транзакции были вовремя заморожены.
В конце 2018-го — начале 2019-го киберармия Пхеньяна решила сфокусироваться на менее защищенных финансовых системах, сосредоточившись на криптовалютных биржах. Рассылая фишинговые письма с якобы приложением для автоматического трейдинга, ребята из Lazarus добились распространения трояна, с помощью которого сумели поживиться на 1,75 млрд долларов, опустошив ряд криптовалютных бирж Словении, Индонезии, США и т. д.
В США уверены, что Россия поддерживает северокорейских хакеров. Их даже путают
До 2019 года зарубежные специалисты смело заявляли, что киберармия Пхеньяна поддерживается не только дружественным режимом из Китая, но и Российской Федерации. Однако ошибочность предположений аналитиков в 2019 году нарушила сама же Lazarus, атаковав банковские учреждения и компании как Китая, так и РФ, причем воспользовавшись современными уязвимостями «нулевого дня». В тот же год эксперты ООН отчитались, что северокорейские хакеры сумели заработать для Пхеньяна порядка 2 млрд долларов, и что большая часть украденных денег расходуется на армию и наращивание ядерного потенциала страны.
Вот и главный ответ на вопрос, почему хакерам из КНДР так хорошо удается выходить «сухими из воды». Дело не только в том, что сама Северная Корея — это тоталитарное государство закрытого типа с однопартийной диктатурой. Как рассказал все тот же профессор Ким Хын-Кван, кибервзломщики Пхеньяна часто практикуют выезд в соседние страны для лучшего доступа к интернету и минимизации числа следов. Кроме того, они могут покидать родину и под видом сотрудников компаний, чтобы не вызывать подозрений. Эти слова подтвердил и южнокорейский МИД, отметив, что для интернет-атак северокорейская киберармия использует третьи страны с использованием их мощностей (сети, оборудование и технологии).
Руководство КНДР прекрасно понимает, что ввиду постоянного давления, санкций и слабой экономики, государство не в состоянии развивать электронику, создавать современное, конкурентоспособное оружие, транспорт и прочую технику. Поэтому единственным, более простым и дешевым способом пополнения золотовалютных резервов страны является именно развитие киберармии. Обучить и заставить трудиться на благо государства несколько тысяч хакеров, ворующих средства и информацию у вражеских империалистов, — лучший выход. Ведь потом на все обвинения руководство Северной Кореи может без зазрения совести ответить, что оно не имеет к этому абсолютно никакого отношения.