Оценить статью
(Голосов: 50, Рейтинг: 4.38)
 (50 голосов)
Поделиться статьей
Константин Асмолов

К.и.н., в.н.с. Центра корейских исследований Института Китая и Современной Азии (ИКСА) РАН

В начале июля 2018 г. Александр Атаманов и Александр Мамаев подготовили масштабное исследование, посвященное становлению кибервойск КНДР, тактике и стратегии северокорейских хакеров. Материал под названием «Серверная Корея», который, по мнению авторов, полон сенсационных данных, привлек внимание специалистов по стране. Однако представляется, что самостоятельного исследования специалистов по кибербезопасности в нем нет.

В своем ответном материале ведущий научный сотрудник Центра корейских исследований Института Дальнего Востока РАН Константин Асмолов разбирает методологические проблемы сбора информации и доказательной базы материала «Серверная Корея», анализирует внутреннюю структуру северокорейских хакеров, приводит хронику хакерских атак, предположительно связанных с КНДР, а также рассматривает несколько громких атак, включая кейс WannaCry, и наиболее известные хакерские группировки: Lazarus, APT37 и др.

Даже если записать на северокорейский счет всё, что им присваивают, то «убойность атак» хакеров КНДР по сравнению с работой их российских, китайских или западных коллег выглядит блёклой. Раздувание этой угрозы обусловлено политическими соображениями. Активное муссирование в последние годы темы северокорейских хакеров и особенно финансовой подоплеки их действий, возможно, стоит воспринимать по аналогии с предыдущими попытками отрезать КНДР от источников заработка, будь то рассуждения о Кэсонском комплексе как тайном кошельке северокорейской ядерной программы или о рабском положении северокорейских рабочих за рубежом, которых надо депортировать на родину как можно скорее.

В начале июля 2018 г. Александр Атаманов — к.т.н., основатель компании ТСС (производит средства криптографической защиты информации) и Александр Мамаев — к.т.н., гендиректор «Лаборатории Цифровой Форензики» (специализируется на расследованиях киберинцидентов) подготовили «масштабное исследование, посвященное становлению кибервойск КНДР, тактике и стратегии северокорейских хакеров».

Материал под названием «Серверная Корея», который, по мнению авторов, полон сенсационных данных, привлек внимание специалистов по стране. Однако было чрезвычайно огорчительно обнаружить, что доклад, подписанный двумя кандидатами наук, написан на уровне плохого студенческого реферата, изобилующего ссылками на желтую прессу без каких-либо попыток перепроверки, при том что самостоятельного исследования специалистов по кибербезопасности в нем нет вообще.

По сути, авторы повторяют тезисы статьи в The New York Times за 15 октября 2017 г., где в огромном для газеты материале автор собрал все дежурные «доказательства северокорейской криминальной киберактивности». Выводы тоже скалькированы оттуда: недооценивать угрозу кибератак Севера нельзя; КНДР собирается ввергнуть мир в глобальный хаос, потому что никто не осмелится ответить на хакерскую атаку военной; при этом киберсистемы самой КНДР не развиты (так что ответный удар невозможен), а ее специалисты действуют вне границ страны, что позволяет объявить любую атаку северокорейской на основании неких секретных доказательств.

Однако если задачу «навариться» на модной теме авторы выполнили, то необходимость объективного исследования, посвященного киберактивности КНДР, из-за этого только возросла. По мере возможностей автор, который в течение нескольких лет разрабатывал данный вопрос, пытается заполнить лакуну. Работа тоже носит более описательный характер, чем хотелось бы, но это связано с проблемами, которые целесообразно отметить в отдельном разделе.

Часть первая. Методологические проблемы сбора информации и доказательной базы

Не гоняясь за сенсациями, автор сразу хочет отметить, что его исследование может страдать неполнотой по двум группам причин. Первая — определенные трудности, связанные со сбором информации касательно КНДР. Здесь сказывается, с одной стороны, закрытость страны, в результате чего при отсутствии иной информации исследователи вынуждены использовать данные «ненадежных рассказчиков» без возможности качественной перепроверки их историй.

К чему это ведет, можно вспомнить на примере ситуации с Син Дон Хёком, когда выяснилось, что главный свидетель доклада о правах человека в КНДР и автор бестселлера «Побег из Лагеря 14» попросту выдумал большую часть душераздирающих подробностей своей истории. Однако в материалах на исследуемую тему источниками новостей оказываются т.н. «карьерные перебежчики», гастролирующие по РК или США с репертуаром, состоящим из «ужасов о Севере».

С другой стороны, никуда не уходит и антисеверокорейская пропаганда, отчего еще некоторая часть источников информации, например, национальная служба разведки РК, не может восприниматься автором как полностью объективная. Демонизация режима осуществляется как за счет вбросов заведомо ложной информации, так и за счет ситуаций, когда вне зависимости от качества улик КНДР объявляется причастной «хайли лайкли» (весьма вероятно. — Прим. ред.). В результате вместо того, чтобы описывать реальный режим, пусть и одиозный, и авторитарный, из КНДР лепят условное «государство зла», которое должно быть черным зеркалом представлений об идеальном государстве. Соответственно, если те или иные практики в «нашем» обществе запрещены или угрожают другим (как, например, хакерство), «государство зла» их с удовольствием практикует.

В этом контексте автору вспоминаются предыдущие мифы о том, как КНДР выпускала фальшивые доллары уникального качества, которые, правда, в товарном числе так нигде и не обнаружились. Говорили также о героине в количестве, сравнимом с афганским. Следов поставок такового за пределами страны также найдено не было.

С третьей стороны, демонизация КНДР оказывается способом прикрытия собственной некомпетентности. Это хорошо видно по ситуации в РК: каждый раз, когда объектом кибератаки становятся крупный банк или важное предприятие, немедленно выясняется, что это были северокорейские хакеры. Нередко спустя некоторое время на поверхность всплывают отголоски корпоративного скандала, связанного с вопиющей безответственностью внутри компании. Ведь одно дело — продемонстрировать широкой публике собственное разгильдяйство, а другое — стать жертвой секретных компьютерных служб тоталитарного режима.

На этом фоне забывается, что Южная Корея лидирует по числу незащищенных или плохозащищенных точек доступа Wi-Fi (47,9%), а по данным доклада, опубликованного интернет-провайдером Akamai Korea, в первом квартале 2017 г. в РК совершено 4500 DDoS-атак, причем мощность 19 из них превысила 100 Гбит в секунду.

Однако вторая сложность исследования даже важнее, чем первая. Она касается проблем доказательства хакерской деятельности не только применительно к КНДР, но и вообще. Это важно, потому что у массового читателя, недостаточно знакомого с особенностями кибербезопасности (даже если он хороший специалист в востоковедении или политологии), представления о возможностях хакеров или принципах информационной безопасности вообще могут быть совершенно голливудскими, и они могут «повестись» на аргументы или утверждения, ценность которых, по мнению автора, сомнительна. Ряд таких тезисов мы разберем ниже, причем «северокорейские» хакеры здесь могут быть и российскими, и американскими, и даже албанскими.

Утверждение №1. «Похожее программное обеспечение применялось во время предыдущих атак северокорейских хакеров / в данной атаке используются эксплойты или элементы кода, применяемого хакерами из КНДР». Даже если вынести за скобки вопрос, точно ли предыдущие атаки были северокорейскими, можно отметить, что уникального хакерского программного обеспечения (ПО) немного и большинство взломщиков применяют ограниченный набор средств. Заимствование элементов кода является повсеместной практикой, которую используют для экономии времени, а также с целью ложно обвинить непричастную сторону.

Если даже уникальное в первой атаке ПО есть в открытом доступе, его элементы вполне могут быть скопированы или доработаны. Вдобавок хакерский рынок давно индустриализовался, и авторы вредоносного ПО, его распространители и выгодополучатели — часто совсем разные люди.

Стиль программирования или избранная тактика — неплохая косвенная улика, но только на больших объемах, позволяющих гарантированно определить, что это не случайное совпадение. А с учетом того, что причастность КНДР и к предыдущим атакам может быть под вопросом, доказательство «от повторения» подменяется навыком экстраполяции и создает порочный круг, когда в ходе расследования одно «хайли лайкли» нагромождается на другое, но в выводах это «возможно» исчезает, и о причастности КНДР говорят уже безапелляционно.

Теоретически бывает уникальное ПО или методика, которую применяют только определенные силы. Но сказать с достаточной долей уверенности, что «эту методику применяет только АНБ (Агентство национальной безопасности) США, потому что она очень дорогая или сложно исполнимая», бывает непросто. Чуть ли не единственный относительно достоверный пример — атака на центрифуги в Иране с применением вируса Stuxnet.

Утверждение № 2. «Это был IP из КНДР». Программы подмены IP распространены еще больше, чем хакерские. По сути, любой браузер с функцией VPN позволяет выдавать себя за пользователя другой страны. Да, бытовые анонимайзеры достаточно легко могут обойти и отследить реальный IP, но есть и более сложные способы.

Сколько-нибудь вменяемый хакер, приобретший возможность посылать сообщения с сети адресов даже минимального размера (так называемый ботнет), не светит и не собирается светить IP-адресами, на которых не работает ботнет.

Таким образом, никакие промежуточные IP-адреса (а адрес считается промежуточным, пока не доказано обратное) не являются доказательством, хотя если все отслеженные цепочки уходят в КНДР, это сильная улика, говорящая о наличии хакера в регионе, но не позволяющая его идентифицировать.

Среди подобных утверждений часто можно услышать следующее: «Атака проводилась из Шэньяна, значит это точно северокорейцы». При этом китайские спецслужбы и аффилированные с ними хакеры известны кибератаками на своих противников, в том числе и на РК.

Утверждение № 3. «Хакеры атаковали систему, не подключенную к Интернету». Здесь у специалиста сразу возникнет вопрос КАК. Вирус нужно неким образом занести, требуется принципиальная возможность доступа к объекту «со стороны Интернета». И если такой физической возможности нет, проще искать не вредоносную программу из ниоткуда, а человека, который каким-то образом выполнил работу вместо хакера (например, воткнул в неподключенный к Интернету компьютер флешку с программой автозапуска вируса). Таковым может быть как инсайдер, сотрудничающий с «хакерами», так и лицо, ничего об этом не подозревающее. Поэтому, с точки зрения ряда знакомых автора, все разговоры про успешные атаки внутренней сети скорее указывают на то, что на самом деле эта сеть не была полностью изолирована от внешнего мира.

Утверждение № 4. «У нас есть секретные доказательства, но мы их вам не покажем, потому что они секретные». Иногда это может означать, что вместо доказательств, соответствующих процедурам судопроизводства, есть доказательства, которые либо кажутся аналитикам надежными, но недостаточны для суда, либо источник доказательств или методы их добывания по каким-то причинам не разглашают (см. Разоблачения Wikileaks и Сноудена про PRISM и ряд иных программ). Но эта же фраза может означать доказательства, взятые с потолка, что важно воспринимать в связке со следующим тезисом.

Утверждение № 5. «Давайте поместим этот случай в политический контекст. КНДР уже была замешана в разнообразных грязных делах. Что мешает ей совершить еще и это?» Хотя этот тезис активно используется даже такими относительно объективными компаниями, как Recorded Future, де-факто речь идет не столько об учете «предшествующих преступлений и дурной репутации», сколько о формировании пресуппозиции: если ужасный кровавый пхеньянский режим может заниматься киберпреступностью, то отчего бы ему ее не практиковать? Ведь он ужасный, кровавый и пхеньнянский. Теоретическая возможность таким образом приравнивается к доказательству, что весьма напоминает аргументы некоторых «активисток женского движения» о том, что каждый мужчина является скрытым насильником по факту наличия члена. Может — значит делает!

Однако именно благодаря тезису о «кровавом пхеньянском режиме» любую кибератаку в РК принято атрибутировать как северокорейскую, если ее можно отнести к угрозам национальной безопасности, а следы иного происхождения не слишком очевидны. Собственно, все новости класса «Х могла быть причастна к У» спекулятивны, если не сопровождаются хотя бы какими-то основаниями. То же самое касается фраз класса «группировки, связанные с Пхеньяном». Такое утверждение не аксиома. Факт связи стоит доказать чем-то большим, чем «они работают против его врагов».

К более вероятным, но все равно косвенным уликам относятся:

— результаты лингвистической экспертизы, когда родной язык хакера определяют по допущенным ошибкам;

— анализ кода, при котором можно выяснить режим работы хакера, его часовой пояс или выбор языка по умолчанию. Например, на идентификацию российского происхождения хакерской группировки APT29 указывали не только особенности вирусов, но и русские слова в коде и часы работы, совпадавшие с московским временем;

— ситуация, когда группировка признается в совершенном или берет на себя ответственность.

Однако и в этих случаях остается вероятность того, что умелый хакер путал следы, русский язык в коде принадлежал эмигранту, который уже 10 лет живет в США, а честолюбцы приписали себе чужие успехи или некто пошел на сделку с правосудием. В системе политических интриг даже логику «кому выгодно» надо применять с осторожностью из-за возможности провокаций.

В результате серьезные улики возникают только там, где цифровой мир соприкасается с реальным. Например, хакера поймали непосредственно в момент атаки или на его компьютере, оказавшемся в руках следствия, нашли исходники вируса или иные доказательства того, что атака была оттуда. Либо доказан факт получения хакером похищенных денег (отследили перевод на аффилированный счет в цепочке платежей, сняли момент снятия денег в банкомате, выявили использование похищенных номеров кредиток и т.п.). Либо нашли свидетелей, готовых дать показания против хакера.

Однако и в этих случаях могут возникнуть вопросы. Например, въедливый адвокат может заявить, что вредоносное ПО, из-за которого его клиент обвиняется в хакерстве, могло быть загружено туда в любой момент откуда угодно без оповещения владельца, включая время после конфискации.

В результате доля успешно раскрытых серьёзных киберпреступлений пока критически невелика. Большая часть из них — мелкое мошенничество в Сети, которое хакерством назвать можно с большой натяжкой, а серьезные инциденты с незаконным удалённым проникновением в корпоративные и государственные системы остаются нерасследованными почти без исключений, особенно если хакер работает с чужой территории. Связанные с ними обвинения основаны скорее на политической конъюнктуре.

Заметим, эти проблемы специалистам видны. Даже авторы «Серверной Кореи» сетуют на то, что применительно к КНДР «традиционные» методы идентификации организаторов атак (по IP, серверам или «лингвистическим следам» в коде) практически не работают». Однако это не мешает им демонстрировать гибкую совесть, обвиняя КНДР на основании косвенных улик, при том что в сети несложно найти материал, в котором один из авторов доклада Александр Мамаев рассказывает «Би-би-си», почему косвенные доказательства при расследовании киберпреступлений стоит подвергать сомнению. «Анализируя программы, специалисты способны выявлять некоторые особенности, свидетельствующие о национальной принадлежности. Однако с таким же успехом эти признаки в программном коде могут оставлять специально, чтобы запутать следы и перевести стрелки на северокорейских, китайских, русских хакеров (нужное подчеркнуть в зависимости от геополитической обстановки)», — говорит автор доклада.

Конечно, иногда бывает, что избыточную концентрацию косвенных улик можно приравнять к прямой — если, скажем, северокорейскими оказались и код, и адрес, и ответ на вопрос, кому выгодно. Проблема в том, что применительно к КНДР такая комбинация пока не выпадала либо существует только по данным секретных улик.

Часть вторая. Немного об IT-сфере в КНДР

Минимальный ликбез на эту тему необходим для ответа на вопрос о том, есть ли у Пхеньяна теоретическая возможность готовить хакеров.

Считается, что на момент смерти Ким Чен Ира в 2011 г. в КНДР было 1024 IP-адреса. Между тем, благодаря наличию Чхонрёна (Просеверокорейская ассоциация корейцев Японии) какое-то количество северокорейских сайтов находилось на японских доменах. Даже сайт ЦТАК какое-то время находился по адресу http://www.kcna.co.jp/. А один из наиболее известных пропагандистских сайтов Uriminzokkiri.com имеет «нейтральное» окончание.

Сам домен .кр известен с 2007 г., но сайтов на нем не так много, хотя среди доменов второго уровня зарегистрированы com.kp, edu.kp , net.kp, gov.kp, org.kp, rep.kp, tra.kp и co.kp.

В 2014 г. компания HP, предоставившая свой отчет о северокорейской хакерской угрозе, назвала косвенной уликой существования кибервойск КНДР то, что в школах там всерьез изучают математику. Действительно, в школах в КНДР преподают математику на достаточно высоком уровне, а среди обязательных предметов есть и компьютерная грамотность. Эту информацию сообщил автору представитель школы, которую он посещал в 2017 г. По его словам, в компьютерном классе стояли новые моноблоки китайского происхождения.

Известно, что в КНДР сохраняется система подготовки одаренных детей: в каждой провинции существует т.н. школа №1, выпускников которой заранее отбирают представители вузов. И это не только Университет имени Ким Ир Сена, но и т.н. Институт Физики (Рихва тэхак — кор.), который занимает в северокорейском образовании нишу МФТИ.

Несмотря на то, что Интернет в КНДР подменен Интранетом, жизнь в нем кипит. Сеть «Кванмён» была создана в 1997 г. при содействии ПР ООН и полностью распространилась по стране в 2002 г. Как сообщали автору во время его поездок на Север, в Интранете есть и сервис знакомств, и доски объявлений, и онлайн-игры, и иные площадки для сетевой социализации. О чатах и форумах в Интранете сообщали и иным блогерам, посещавшим страну.

Учитывая, что значительная часть российских пользователей ставит знак равенства между Интернетом и соцсетями, можно предположить, что внутренняя сеть вполне покрывает большинство местных потребностей. Ведь существует даже планшетник, также завязанный на Интранет.

Что же до Интернета, то из крупных электронных библиотек типа Храма науки и техники туда можно выйти, хотя это напоминает поход в спецхран — обычно северокорейцы выходят в разнообразные базы данных типа sagepublications.com для того, чтобы найти и скачать конкретный материал.

Теоретически у номенклатуры выход во Всемирную сеть есть и дома. Перебежчики упоминают, что богатые молодые северокорейцы владеют персональными компьютерами и играют в такие видеоигры, как Counter-Strike. А согласно отчету компании Recorded Future, 65% всей интернет-активности в Северной Корее приходилось на игры и потоковое воспроизведение контента из китайского видеохостинга Youku, iTunes и сервисов BitTorrent и peer-to-peer. Для игр северокорейские пользователи предпочитали игры от Valve (Half-Life, Counter-Strike, Team Fortress, Dota 2 и др.) и многопользовательскую онлайн-игру под названием World of Tanks.

Подготовка молодых компьютерщиков тоже имеет место — еще в 1990-е гг. Ким Чен Ир рекламировал программирование как способ восстановления экономики страны, активно создавая индустрию станков с ЧПУ. При нем же появились соответствующие факультеты в технических вузах и ежегодные конкурсы по написанию программного обеспечения. При Ким Чен Ыне престиж ученых, особенно инженерных и IT-специальностей, тем более увеличился.

Северокорейские аниматоры часто рисуют не только японские, но и американские мультфильмы (аутсорсинг — вещь распространенная), а северокорейские компьютерщики нередко пишут программное обеспечение для китайских компаний. Любопытно, что при этом они находятся на казарменном положении под жестким контролем, как и северокорейские лесорубы в России. Видимо, отсюда растут ноги у тезиса про северокорейские базы хакеров на китайской территории.

Вообще из северокорейского ПО известны антивирусная программа SiliVaccine и ОС «Пульгын пёль»/Red Star, являющаяся одной из локализаций Linux. На 2009 г. в Пхеньяне могли похвастаться системой комплексной защиты компьютерных сетей «Чхольбёк», персональным файрволлом «Чхольонсон» или USB-устройством для аутентификации по отпечаткам пальцев.

В 2010 г. стало известно про первый северокорейский наладонник, в 2015 г. — про первый интернет-магазин, в 2016 г. — про стриминговый сервис в крупных городах, а в 2017 г. — про планшет, оптимизированный под работу в Интранете. К этому же времени относится информация о том, что на примерно 25 млн человек в КНДР приходятся 4 млн мобильных телефонов.

Как свидетельствует Глобальный индекс кибербезопасности, опубликованный 5 июля 2017 г. Международным союзом электросвязи, КНДР занимает 52-ое место в мире по уровню кибербезопасности (РК — 13-ое) по критериям правовой, технической и организационной подготовленности, готовности к сотрудничеству, развитию образовательного и исследовательского потенциала. Подобные данные говорят, что в стране хватает кадровых и технических ресурсов для создания кибервойск, состав и структура которых будут рассмотрены в следующей части.

Часть третья. Киберотходники и кибервойска

Анализ внутренней структуры северокорейских хакеров — наиболее спекулятивная тема, в рамках которой в наибольшей степени приходится работать с ненадежными источниками, пытаясь определить, «на сколько надо делить» предоставляемую ими информацию, и отчасти полагаясь на аналогии.

Первое, что надо сделать, — отделить, собственно, хакерские группировки от той части северокорейских гастарбайтеров, которые зарабатывают не ремонтом квартир или рубкой леса, а «программированием широкого профиля». Нашумевшее интервью перебежчика журналу Bloomberg Businessweek на самом деле описывает быт именно таких «киберотходников», и нужно заметить, что их печальные условия жизни не особо отличаются от условий жизни северокорейских и иностранных рабочих в Китае вообще.

Сам Чон, как себя назвал главный персонаж интервью, — типичный ненадежный рассказчик. Bloomberg Businessweek вышел на этого хакера не самостоятельно, а через «источники в правительстве» (читай, национальную службу разведки), которые вывели его на посредника, организовавшего встречу. В его рассказе много странных моментов вроде пересечения границы пешком (хотя вообще-то есть ж/д сообщение), получения степени магистра (хотя в КНДР специалитет) или полного отсутствия конкретных данных, позволяющих установить место его работы (имя «связанного с Пхеньяном магната», в доме которого работала группа программистов, можно было бы и сообщить). Нет и полезных технических деталей, позволяющих определить компьютерную квалификацию собеседника. Зато известно, что дезертировал он после некой «неприятной истории с госслужащим» (это может означать разное), после чего два года занимался фактически тем же, но работая на себя, и только устав и поиздержавшись, стал искать путь в РК.

Зато есть нужные для эмоционального эффекта истории о том, как он работал на арендованном у товарищей компьютере или о том, как молодому программисту сломали ребра за то, что его угостил кимчхи южнокорейский бизнесмен. Настоящих хакеров, которые вроде бы занимались серьезным шпионажем, он тоже видел, но мельком, и не говорил с ними. Зато интервьюируемый уверен в том, что все истории про таковых — правда, и готов их подтверждать.

В остальном же рассказ Чона совпадает с рассказами о быте и условиях жизни других отходников, отпущенных на относительно вольные хлеба: казарменное положение, старший, который распределяет контракты и получает деньги (самому хакеру остается 10% заработанного), прикомандированный офицер безопасности и фиксированный минимум, который надо сдавать, чтобы не уехать домой. При этом у разных рассказчиков сумма разнится: Чон говорит про 100 тысяч долларов в год, иные респонденты — про 5 тысяч долларов в месяц. Принудительное возвращение на «перевоспитание» тех, кто пытался скрывать доходы или проявлять нелояльность режиму, — двухчасовые политзанятия по субботам. У таких работников фактически ненормированный график, тяжелые жизненные условия и отсутствие нормальной медицинской помощи.

При этом формально Чон считался стажером-исследователем и иногда даже создавал научное программное обеспечение, например, программу построения графиков данных, которую отправлял через границу. Это, конечно, заставляет задаться вопросом, зарабатывал ли он сам или по приказу родины, но сейчас это не так важно.

То, чем занимались отходники, не особенно отличалось от работы иных «китайских кодеров». Речь идёт о добывании бета-версий коммерческого программного обеспечения (включая видеоигры и программы безопасности) и изготовлении их пиратских реплик, которые затем напрямую или через брокерские веб-сайты со всего мира продавались в основном пользователям из Китая или Южной Кореи. Кроме того, отходники занимались взломом игровых сайтов и перепродажей информации, ботоводством в онлайн-играх, таких как Lineage и Diablo, в том числе развитием персонажей и продажей таковых примерно за 100 долларов за штуку, разработкой и продажей приложений для iPhone и Android для вызова такси, интернет-магазинов, распознавания лиц — всем, что дает деньги. С помощью фальшивых удостоверений личности они также работали на таких фриланс-сайтах, как Upwork.com. При этом команды программистов отправляли на заработок самые разные организации — от государственного компьютерного центра до министерства железных дорог.

То, что северокорейские программисты выдают себя в Интернете за граждан других государств и/или торгуют ПО своей разработки, выдавая его за творчество иных стран, в целом не секрет. Еще в 2010 г. Северная Корея открыла совместное предприятие с Nosotek Joint Venture Company. Утверждается, что Nosotek с нуля учила программированию элитных студентов-математиков КНДР, после чего те выполняли для западных заказчиков проекты в области электронной коммерции, писали специализированные веб-приложения и компьютерные игры для мобильных телефонов, в том числе по мотивам фильмов «Большой Лебовски» и «Люди в чёрном».

Также автору известно, что на территории некоторых неработающих из-за санкций заводов северокорейская молодежь занимается созданием ПО, благо оно пока не является санкционным продуктом. Правда, такой активный приток молодежи в киберсферу начался в последние два-три года.

Заметим, что несмотря на санкции, аутсорсинг в КНДР не запрещен, однако южнокорейские, а вслед за ними и западные «эксперты» чохом записывают в хакеры всех работающих за рубежом программистов либо «открывают Америку» новостями о том, что компании, связанные с властями Северной Кореи, тайно разрабатывают и по всему миру продают разнообразное программное обеспечение.

Так, по мнению главы департамента информационной безопасности университета Корё Лим Чжон Ина, только в китайских пограничных городах Шэньян и Даньдун более ста китайских предприятий являются прикрытием для северокорейских хакеров. А после того как в рамках выполнения санкций СБ ООН Китай прикрыл эти предприятия, хакеры были перемещены в другие страны, такие как Россия и Малайзия. Другие эксперты РК утверждают, что КНДР отправила сотни хакеров в Китай, Индию и Камбоджу, где они собрали сотни миллионов долларов.

Существуют также похожие рассуждения о том, что «Пхеньян проводит кибератаки руками около тысячи хакеров, находящихся в Китае и странах Юго-Восточной Азии. В эти регионы они были направлены под видом простых рабочих, зарабатывающих для страны иностранную валюту», говорится в материале главы инновационного отдела Государственного института проблем безопасности Ким Ин Чжуна, представленном 31 марта 2015 г. на научной конференции на тему «Северокорейская киберугроза и ответная стратегия». Оказывается, Север отправил в Китай, Малайзию, Камбоджу и другие страны региона своих специалистов по информационно-коммуникационным технологиям. Они занимаются разработкой программного обеспечения и администрированием различных сайтов, а в случае получения приказа из Пхеньяна осуществляют кибератаку на указанный объект.

Самой громкой новостью на эту тему стал опубликованный в мае 2018 г. доклад Центра исследований проблем нераспространения Джеймса Мартина, вскрывший цепочки посредников (в основном, в Китае, Юго-Восточной Азии, Африке и России), через которых северокорейское ПО доходит до западного потребителя.

Среди предлагаемой продукции упоминаются программное обеспечение для шифрования данных и VPN, технологии искусственного интеллекта, технологии сканировании отпечатков пальцев и программы для распознавания лиц, технологии кодирования данных, системы управления бизнесом для корпоративных клиентов и др.

Эксперты Центра проанализировали работу нескольких IT-компаний, связанных с КНДР, в том числе Adnet International, которая до недавнего закрытия базировалась в Малайзии и поставляла продукцию в 14 стран мира, включая Россию, Китай, Канаду, Великобританию и Германии.

Adnet считается дочерней структурой оборонной компании Global Communications Co (Glocom), которая, в свою очередь, считается подставной компанией северокорейских спецслужб и продавала оборудование в сфере связи для «военных и военизированных» организаций. Точнее, две малайзийские фирмы, контролируемые инвесторами из КНДР, в 2009 г. зарегистрировали сайт Glocom, после чего Северная Корея покупала в Гонконге дешевую электронику, а затем переделывала ее в радиостанции военного назначения, которые продавались в развивающиеся страны за 8 тыс. долларов за штуку. За этим бизнесом стояла компания Pan Systems Pyongyang, которая находится под управлением разведывательных структур Северной Кореи и руководит сетью подставных компаний и агентов в Малайзии, Сингапуре и Китае. Другой пример — Aprokgang Technology Company, работающая в России, КНР и ряде стран Африки.

Тревогу американские эксперты забили, указывая на то, что деятельность КНДР в IT-секторе представляет собой «угрозу кибербезопасности, масштабы которой серьезно недооцениваются». А вдруг в этом программном обеспечении есть эксплойты, которые в случае чего могут быть активированы? И хотя первичный поиск таких не обнаружил, теоретически благодаря им КНДР может получить доступ к компьютерным системам и личным данным покупателей.

Теперь поговорим непосредственно о «боевых хакерах». Увы, при попытке проследить информационный след новости мы утыкаемся в то, что 90% информации исходит от одного перебежчика, который называет себя Ким Хын Гваном. По легенде, он преподаватель компьютерных наук, который бежал из страны в 2004 г., но до сих пор обладает источниками информации в Северной Корее и активно дает интервью «Би-би-си» и иным СМИ.

По словам Кима, после вторжения США в Ирак Ким Чен Ир заявил, что война XXI века связана с информацией, и начал укреплять этот сектор. Ким Чен Ын же решил расширить деятельность хакеров и сделать их атаки более интенсивными.

Главная хакерская контора, по словам Ким Хын Гвана, — разведка КНДР, в составе которой имеется некое Подразделение 180. Кроме того, в 1998 г., еще при Ким Чен Ире, в КНДР создали специальное подразделение для проведения киберопераций под кодовым названием Подразделение 121, которое входит в состав разведывательного управления армии и подчиняется напрямую Генштабу КНДР. Другая северокорейская структура, предназначенная для ведения кибервойны, известна как Подразделение 91.

По словам Ким Хын Гвана, Подразделение 121 — один из приоритетных проектов правительства КНДР, получающий очень серьёзное финансирование. В нем служат около 6000 «военных хакеров», в задачи которых входят атаки на инфраструктурные объекты — линии связи и коммуникационные спутники. Про аналогичное число кибербойцов пишет (видимо, тоже со ссылкой на Кима) южнокорейская Белая книга по обороне 2014 г.

Хакеров набирают из числа студентов факультета автоматизации Политехнического университета имени Ким Чхэка в Пхеньяне, реже — выпускников соответствующей кафедры Пхеньянского университета, получивших дополнительное образование за рубежом — в России, Китае и Иране.

По сведениям иных перебежчиков, северокорейские хакеры вербуются из выпускников Пхеньянского университета науки и технологий, открытого в 2009 г. в рамках межкорейского сотрудничества. Существует еще одна версия, тоже от перебежчиков: перспективных кандидатов начинают отбирать с 11 лет и направляют в специальные школы, где обучают основам кибербезопасности и разработке компьютерных программ. Они освобождены от обычной военной службы, имеют привелигированный статус и улучшенное довольствие.

Ким Хын Гван утверждает, что Подразделение 180 вовлечено в хакерские атаки на финансовые институты, и для осуществления атак хакеры из КНДР зачастую выезжают из страны под видом сотрудников торговых фирм или филиалов северокорейских компаний, чтобы «не оставлять следы».

С этой идеей согласен и заместитель министра иностранных дел Южной Кореи Ан Чхон Ги: «КНДР осуществляет хакерские атаки через третьи страны, чтобы скрыть происхождение атак, а также использует их инфраструктуру в области информационных и коммуникационных технологий». В результате, если следовать такой логике, любую атаку можно объявить северокорейской.

Другой источник данных о хакерах — материал главы инновационного отдела Государственного института проблем безопасности Ким Ин Чжуна, представленный 31 марта 2015 г. на научной конференции на тему «Северокорейская киберугроза и ответная стратегия». В этой версии под руководством северокорейских военных и Трудовой партии действуют семь организаций, объединяющих 1700 хакеров, кроме того в этой сфере в СК работают ещё 13 организаций, в которых числятся примерно 4200 сотрудников.

В докладе также повторяется тезис о том, что Пхеньян отправил в Китай, Малайзию, Камбоджу и другие страны региона своих специалистов по информационно-коммуникационным технологиям. Они занимаются разработкой программного обеспечения и администрированием различных сайтов, а в случае получения приказа из Пхеньяна осуществляют кибератаку на указанный объект.

С тех пор цифра в 7 тыс. хакеров кочует из одного отчета в другой. Например, она приводится в докладе на тему «Развитие науки и технологий и новые угрозы со стороны КНДР», который был подготовлен в Институте проблем воссоединения при министерстве объединения РК в мае 2017 г. Там структура расписана чуть иначе: имеется командование киберопераций в составе министерства народных вооружённых сил и аналогичный орган в Центральном комитете Трудовой партии Кореи. В общей сложности таких структур семь, и в них работают 1700 человек. Кроме того, в десяти организациях, оказывающих ту или иную помощь хакерам, работают ещё 6 тыс. человек. Следовательно, к кибертерроризму причастны примерно 17 организаций, в которых работают 7700 человек.

Такая же цифра в 1700 ха­ке­ров, спон­си­ру­е­мых го­су­дар­ством, и более 5000 вспо­мо­га­тель­ных со­труд­ни­ков фигурирует и у Фер­гу­са Хэн­со­на, главы Меж­ду­на­род­но­го цен­тра ки­бер­по­ли­ти­ки в Ав­стра­лий­ском ин­сти­ту­те стра­те­ги­че­ской по­ли­ти­ки, хотя без труда можно заметить, что к хакерам приписали как минимум обслуживающий персонал. Зато получается число, сравнимое с аналогичными силами США (6–7 тыс. человек), которым можно хорошо пугать аудиторию.

Другой специалист по северокорейским хакерам — некто Дмитрий Альперович — один из основателей компании CrowdStrike, занимающейся информационной безопасностью. Именно он в июне 2016 г. перед президентскими выборами в США первым сообщил о взломе почтовых серверов Демократической партии хакерами из России, а в феврале 2018 г. представил миру доклад о структуре северокорейских хакеров.

В интерпретации Д. Альперовича организация северокорейских хакеров носит общее название Lazarus и состоит из трёх групп. APT37 или «Лабиринт Чхоллима» занимается в основном похищением информации. Ранее она концентрировалась на кибератаках в отношении Республики Корея, но в последнее время действует против организаций и частных лиц из Японии, Вьетнама и ряда ближневосточных стран, которые реализуют антисеверокорейские санкции. В ее распоряжении есть вредоносные программы, позволяющие наносить атаки по компьютерным сетям, не подключённым к Интернету. Вторая группа под названием «Тихая Чхоллима» направляет кибератаки на компьютерные сети. Третья группа называется «Метеоритная Чхоллима», и её цель состоит в похищении денежных средств.

Авторы «Серверной Кореи» несколько доработали классификацию Д. Альперовича. В их интерпретации кибервойска КНДР можно разделить на четыре группы: Stardust Chollimа (коммерческие атаки), Silent Chollima (действия против СМИ и государственных учреждений), Labyrinth Chollima (действия против спецслужб), Ricochet Chollima (хищение данных пользователей). Оба автора даже привели корейские названия этих групп (чтобы показать, что это не условные имена, которые дают неизвестным хакерам западные авторы), и все бы было хорошо, если бы не одна деталь, хорошо знакомая корееведам.

Крылатый конь Чхоллима, пробегающий в день тысячу ли (1 ли = 412 м), в течение долгого времени был символом чучхэйских темпов движения вперед, и движением Чхоллима назывался аналог стахановского движения в СССР. Однако в XXI веке «покемон обновился», и уже несколько лет вместо него используется термин Маллима — новый конь пробегает уже десять тысяч ли в день. СМИ КНДР теперь пишут о «новой эпохе Маллима», и использование старого термина выглядит примерно таким же анахронизмом (если не фальшивкой), как советский документ 1970-х гг., в котором вместо КПСС фигурирует ВКП(б).

Другая компания, специализирующаяся на компьютерной безопасности, FireEye, также упоминает группировку APT37 как команду хакеров, которая осуществляет разведывательную деятельность в пользу властей КНДР. По версии FireEye, APT37, именуемая также Reaper, в течение нескольких лет осуществляла кибератаки в отношении Республики Корея, а с 2017 г. также против Японии, Вьетнама и ряда ближневосточных стран. Ее целями были предприятия, связанные с производством электроники, а также здравоохранением, химической и авиационной промышленностью. Связь между APT37 и Пхеньяном удалось проследить с помощью анализа IP-адресов. Правда, надо понимать, что названия типа АРТ (сокращение от Advanced Persistent Threat) — это термины американских специалистов, а не самоназвания.

Основной базой северокорейских хакеров за рубежом считается Китай, особенно его северо-восточный регион. Шэньянский отель Чхильбосан, принадлежащий КНДР, традиционно позиционировался как цитадель хакеров.

Вообще, северокорейские хакеры часто пользуются китайскими провайдерами и интернет-сервисами, хотя бы потому что хакеры-отходники действуют в рамках или под видом китайских компаний. Таким образом, даже отслеженная атака как минимум идет с китайских IP, но поскольку китайских хакеров не меньше и среди них встречаются этнические корейцы, использовать этот аргумент как полное доказательство пхеньянского следа некорректно.

Кроме того, как утверждает The New York Times, спецслужбы США пытаются отслеживать северокорейских хакеров в Индии, Малайзии, Новой Зеландии, Непале, Кении, Мозамбике и Индонезии, через серверы которых Пхеньян «проводил атаки» на другие страны.

Если подвести итог, можно допустить следующее.

— большое число молодых программистов, которые в КНДР, безусловно, есть, не тождественно аналогичному числу хакеров;

— тем не менее какое-то число зарубежных отходников может заниматься хакерством — по собственной воле, в рамках работы на некорейского хозяина или по заданию центра;

— спецслужбы КНДР теоретически имеют в своем составе подразделения, отвечающие за информационную безопасность, однако дальнейшее раскрытие этих структур происходит по данным ненадежных рассказчиков. Эту информацию нельзя не принять к сведению, но доверять ей полностью не следует;

—  также не следует полностью исключать и вариант, при котором по тем или иным причинам та или иная группировка хакеров выдает себя за северокорейцев (или хотя бы намекает на это).

Часть четвертая. Хроника хакерских атак, предположительно связанных с КНДР

В данном разделе мы просто приводим новости, иногда указывая на то, как именно был обоснован северокорейский след. Полагаем, что аудитория достаточно хорошо помнит раздел по методологии, чтобы разбирать данные доказательства с отмеченной там точки зрения. В дальнейших разделах мы разберем наиболее громкие истории для того, чтобы определить уровень реальной причастности КНДР к этим событиям. В основном мы ориентировались на южнокорейские, реже — англоязычные или российские СМИ.

Первую хакерскую атаку на РК относят к 2004 г. Пред­по­ла­га­ет­ся, что тогда хакеры внед­ри­лись в бес­про­вод­ную сеть в Южной Корее и те­сти­ро­ва­ли вре­до­нос­ный ком­пью­тер­ный код.

В мае и июле 2009 г. кибератаки КНДР были направлены на сетевые структуры США и Южной Кореи. Атаки на некоторое время заблокировали доступ к сайтам Федеральной торговой комиссии США, Министерства финансов, Министерства транспорта и еще нескольких сайтов. Сайты Белого дома и Пентагона также были атакованы, но как будто не упали. В РК атаковали сайт президентской администрации, сайт Министерства обороны, а также сайты банков и газет. Однако, как считает директор компании SecureWorks Джо Стюарт, нет никаких свидетельств, что DDoS-атаки на американские и южнокорейские сайты организованы при поддержке правительства Северной Кореи. Более того, применительно к самой разрекламированной атаке, всего через четыре дня выяснилось, что на самом деле атаки шли из РК, после чего предполагаемый хакер был арестован, а управляющий сервер найден.

В сентябре 2010 г. атаке подвергся банк «Нонхёп». По данным прокуратуры и полиции, за этим стояли северяне.

4 августа 2011 г. Сеульское полицейское управление сообщило об аресте 15 граждан РК за создание незаконного программного обеспечения и хакерскую деятельность. По сообщению полиции, участники банды с помощью более 30 северокорейских разработчиков создали программу, с помощью которой переводили на собственные счета деньги со счетов южнокорейских игровых онлайн-сайтов. Таким образом, с 2009 г. банда получила деньги на сумму 6 млн долл. В ходе расследования выяснилось, что северокорейские хакеры действовали со специальных баз в Китае, созданных в июне 2009 г., и получали деньги на жизнь от своих южнокорейских спонсоров, переводя часть из них в КНДР.

В июне 2012 г. кибернападению подверглось консервативное СМИ «Чунан Ильбо», атака повредила сервер и веб-сайт. Полиция позже определила, что за нападение несет ответственность Северная Корея.

20 марта 2013 г. южнокорейские телевещательные компании и банковский сектор пострадали от кибертеракта, известного как DarkSeoul. Их работа была затруднена в течение 10 дней, а материальный ущерб составил почти 900 млн долл. Однако Сеул сообщил, что нашумевшая атака была осуществлена с территории РК, а не с китайского IP, как это заявлялось ранее. Не упоминая, кто же именно стоял за атакой, в Южной Корее заявили, что борцы с киберугрозой спутали частный адрес, используемый внутри банка «Нонхёп», с официальным IP, относящимся к КНР. Компания SophosLabs также не смогла доказать северокорейское происхождение ПО, которое использовалось при атаке.

Впоследствии, когда стало принято считать атаку северокорейской, об этом факте забыли, но советуем обращать внимание на этот момент всякий раз, когда при доказательстве северокорейского следа главным аргументом будет то, что атака была сходна с атакой марта 2013 г.

25-26 марта последовала еще одна атака, нацеленная на сайты антисеверокорейского содержания (в основном управляемые перебежчиками), и в апреле власти РК объединили их, официально подтвердив северокорейский след. Как заявил глава Корейского центра интернет-безопасности Чон Гиль Су, из 76 фрагментов вредоносного кода, используемых в атаках, 18 битов кода использовались исключительно северокорейскими хакерами в предыдущих попытках взлома. Кроме того, из 49 обнаруженных маршрутов проникновения 22 были интернет-адресами, которые Север использовал с 2009 г. для запуска хакерских атак. Однако в конце июля в СМИ появились материалы, говорящие о том, что атака могла быть местного происхождения либо речь шла о просеверокорейски настроенном инсайдере или хакере из местных.

В августе 2014 г. хакеры преследовали британскую телекомпанию «Четвертый канал», которая объявила о планах создания телесериала о похищении в Пхеньяне британского ученого-ядерщика. Сначала северокорейцы просто протестовали против британского правительства, называя сериал скандальным фарсом и требуя прекращения работ. Когда это было проигнорировано, британские власти обнаружили, что северокоерйские хакеры взломали компьютерную систему телевизионной сети. Атака была остановлена до нанесения какого-либо ущерба, и главный исполнительный директор «Четвертого канала» Дэвид Абрахам первоначально пообещал продолжить производство. Однако инвестиции в проект внезапно иссякли, и он закрылся.

24 ноября 2014 г. ряд компьютеров американской кинокомпании Sony Pictures Entertainment был атакован хакерской группировкой, и южнокорейские СМИ сразу же заговорили о северокорейском следе. Более подробно этот кейс проанализируем в следующей главе.

Между 9 и 12 декабря 2014 г. «северокорейские хакеры» или, точнее, неизвестные «представители антиядерной группы из Гавайев Who Am I взломали и выложили в открытый доступ информацию о личных данных сотрудников KHNP (ведущей компании-оператора АЭС), а также чертежи некоторых узлов реакторов и некоторые тестовые данные. Хакеры слили информацию через социальные сети, предположительно, чтобы попытаться создать общественную панику и нарушить энергетическую политику на Юге. Хотя южнокорейские официальные лица утверждали, что произошла утечка только некритических ядерных данных, «страна подверглась потенциальным рискам отключения электроэнергии, а также радиоактивного загрязнения».

Как установило позднее следствие, кибератака была совершена путем рассылки на адреса электронной почты сотрудников корпорации фишинговых писем с вредоносным кодом. Злоумышленники более двухсот раз проводили подключения из китайского города Шэньяна, где расположена одна из основных баз северокорейских хакеров.

13 января 2015 г. независимые исследователи безопасности Ars Technica провели анализ официального web-сайта северокорейского новостного агентства ЦТАК и выяснили, что ресурс содержит исполняемый вредоносный код, замаскированный под обновление для Flash. Как сообщается, часть кода JavaScript, вызываемого с главной страницы web-сайта, скачивает на систему пользователя архив с названием FlashPlayer10.zip. Внутри него находятся два исполняемых файла Windows, один из которых является обновлением для давно устаревшего Flash Player 10, а второй — расширением для web-обозревателя. Наличие в архиве вредоносного кода удалось подтвердить при помощи сервиса VirusTotal.

В результате предварительного анализа экспертов стало ясно, что вирус находится на web-сайте как минимум с декабря 2012 г. Кроме того, работа ресурса настроена таким образом, что скачивание FlashPlayer10.zip может быть инициировано администрацией портала по собственному желанию (например, для пользователей определенных браузеров тех или иных версий).

В марте 2015 г. Южная Корея обвинила Северную в хакерских атаках на компьютерные системы своих АЭС, совершенные в конце 2014 г.: выяснилось, что компьютеры, с которых производилась атака, находятся на северо-востоке КНР в Шэньяне, а также ряде других городов, расположенных недалеко от границы с КНДР. Было также выявлены и другие совпадения с предыдущими хакерскими атаками, которые приписывают Пхеньяну.

Также в марте 2015 г. снова проявились хакеры Who Am I, опять выложив новые чертежи ряда ключевых узлов южнокорейских АЭС. На этот раз они потребовали денег за свое молчание, утверждая, что из 16 тысяч запущенных ими вирусов найдено и обезврежено только семь тысяч. В ответ власти РК заявили, что некоторые из личных и рабочих компьютеров сотрудников компании-оператора АЭС действительно были заражены, но все эти программы нейтрализованы, а безопасности атомных реакторов ничто не угрожает.

На этот раз северокорейский след Who Am I был изобличен. Как сообщил представитель прокуратуры, «характер использованных IP-адресов и кодов примерно на 70 % совпадает» по составу и методам воздействия с вредоносным программным обеспечением, которое используют северокорейские хакеры, желавшие «затруднить эксплуатацию южнокорейских АЭС путём повреждения жёстких дисков компьютеров» .

Правда, если хакеры и впрямь «хотели затруднить эксплуатацию южнокорейских АЭС путём повреждения жёстких дисков компьютеров», а равно «опубликовать в сети конфиденциальные документы корпорации», то это означает, что управляющие АЭС компьютеры с программным обеспечением — те же подключенные к Интернету машины, на которых находится взломанная почта сотрудников? Если так, то либо налицо вопиющие проблемы в системах безопасности, либо речь идет всего лишь о взломе почты, отчего хакерам оказалась доступной вся переписка, которую хранили на Google-диске.

В июле 2015 г. северокорейский след обнаружился и в атаке на компьютеры сотрудников корпорации «Сеульское метро». Тогда был найден несанкционированный доступ к 213 компьютерам, зараженным вирусом. И хотя утечка информации происходила в течение нескольких месяцев, после обнаружения атаки все 4 тыс. рабочих компьютеров корпорации получили дополнительную защиту.

В начале октября 2015 г. хакеры КНДР пытались взломать компьютеры 30-40 депутатов южнокорейского парламента и их помощников, а также сотрудников администрации президента, Министерства обороны, МИД, Министерства объединения. Спецслужбы РК предотвратили (по их собственным заявлениям) кибератаку, однако частные электронные почтовые ящики некоторых депутатов и их помощников оказались незащищёнными. Была украдена информация, имеющая отношение к регулярным парламентским проверкам деятельности госструктур, а также выстраиванию политики Сеула в отношении КНР. Действовали хакеры с территории Китая, но политический нюх разведчиков отличил китайских хакеров от северокорейских.

В ноябре 2015 г. вредоносные коды обнаружились и в компьютерах ведущих южнокорейских оборонных компаний, в том числе в десяти компьютерах отдела по связям с общественностью ведущей компании оборонной сферы «LIG Nex 1», которая занимается разработкой военных технологий. Вредоносное ПО было занесено электронными письмами и распространялось при попытке открыть приложенные файлы.

В январе 2016 г., предположительно, северокорейцами была проведена масштабная кампания фишинга, нацеленная на южнокорейских государственных чиновников и предназначенная для распространения вредоносных программ на их компьютеры.

19 февраля 2016 г. руководитель парламентского комитета по разведке депутат Ли Чхоль У «назначил» новую кибертатаку на март-апрель: дескать, каждый раз через какое-то время после ядерного испытания такие атаки случаются, а раз так, то понятно, кто их организует. Ранее на той же неделе полиция объявила, что огромный массив спама на адреса общественных организаций РК шлют именно северокорейские хакеры.

8 марта 2016 г. представители силовых министерств и ведомств провели экстренное совещание в связи с тем, что северокорейские хакеры совершили кибератаку на смартфоны высокопоставленных южнокорейских чиновников, ответственных за государственную безопасность. По данным Национальной службы разведки, в конце февраля — начале марта этого года со стороны Севера имели место примерно 50 кибератак. В десяти случаях хакерам с помощью текстовых сообщений удалось успешно внедрить вредоносный код, позволяющий записывать голосовые сообщения и завладевать файлами, взламывать текстовые сообщения, записи звонков и телефонную книжку. Кибератаке подверглась также одна из южнокорейских компаний по созданию и поставке программного обеспечения для безопасности интернет-банкинга.

12 мая 2016 г. кибератаке подвергся сайт военно-воздушных сил РК. На основе предварительных результатов расследования подтвердить вину Пхеньяна не удалось, но отмечалось, что «нельзя исключать возможности его причастности». В тот же день южнокорейские военно-промышленные компании и агенты по торговле оружием получили электронные письма с вирусом, направленные якобы с адреса Корейского агентства оборонных закупок.

В конце мая 2016 г. КНДР обвинили в причастности к нашумевшей краже 81 млн долл. из ЦБ Бангладеш. Атака произошла примерно 4-5 февраля, когда бангладешский регулятор не работал. Всего злоумышленники рассчитывали похитить 951 млн долл., но списания большей части средств удалось предотвратить.

Почти одновременно с этим 31 мая 2016 г. Прокуратура РК пришла к выводу, что произошедшая в 2015 г. хакерская атака, связанная с сертификатом подписания кода, является делом рук северокорейских хакеров. Таковые взломали сервер одной из компаний, занимающейся разработкой компьютерных программ, и скопировали материалы о сертификате подписания кода. Эти данные впоследствии были применены в 10 вредоносных программах, распространённых по Всемирной сети для того, чтобы проникнуть на сайт одного научного учреждения РК. После этого вредоносными программами были заражены 19 компьютеров десяти правительственных учреждений, связанных с данным сайтом. На северокорейский след указало то, что сервер компании, подвергшийся хакерскому взлому, в течение двух месяцев 26 раз посещался пользователем с северокорейским IP-адресом, принадлежащим КНДР.

13 июня 2016 г., по сообщению Reuters, хакеры из КНДР взломали свыше 140 тыс. компьютеров, работающих в крупных южнокорейских компаниях и госучреждениях, и установили на взломанных компьютерах вредоносное ПО, которое планировалось использовать для масштабной кибератаки. Взлом был осуществлен с северокорейского IP-адреса, с которого в 2013 г. были атакованы южнокорейские банки. Целью новой атаки было ПО, используемое в 160 южнокорейских компаниях и ведомствах для управления внутренними сетями. Предположительно, хакеры получили доступ к 42608 файлам, в том числе с информацией об американском истребителе F-15, однако в полиции РК заявили, что серьезной угрозе военные секреты не подверглись. Большинство документов не были даже ДСП-шными, а потому и находились в открытом доступе. 

20 июня 2016 г. южнокорейская полиция подтвердила, что обладает секретными доказательствами того, что атаке пхеньянских хакеров должна была подвергнуться единая административная сеть, через которую ведется управление компьютерами многих корпораций и госучреждений, включая компании из групп SK, Hanjin и KT. Согласно данным полиции, северокорейские хакеры могли в любое время проникнуть в компьютерные сети компаний и внедрить вредоносный код, который взял бы под контроль 130 тысяч компьютеров.

С учётом того, что IP-адреса атак 2013 г. и 2016 г. совпадают, в РК предположили, что кибератака готовилась в течение долгого времени на государственном уровне.

22 июля 2016 г. в Министерстве научного прогнозирования РК сообщили, что в первой половине этого года количество северокорейских кибератак выросло более чем вдвое по сравнению с тем же периодом прошлого года, что объясняется стремлением Пхеньяна к дестабилизации и созданию недоверия к правительству. Так, хакеры проводят масштабные атаки на смартфоны, в отношении представителей правительства и важных государственных объектов.

11 июля 2016 г. след северян обнаружился в кибератаке на одну из крупнейших южнокорейских торговых интернет-площадок, которая произошла в мае. В результате несанкционированного доступа к серверу владельца сайта была похищена база данных десяти миллионов пользователей, содержащая имена, адреса и номера телефонов клиентов компании. Оказалось, что вредоносный код идентичен тому, что использовался против РК в 2009, 2012 и 2013 гг., а письмо с требованием выкупа содержало слова и выражения, характерные для северокорейского диалекта, и прошло через четыре IP-адреса в трёх странах, но источником был IP-адрес Министерства связи и телекоммуникаций КНДР.

2 августа 2016 г. произошла утечка паролей электронной почты 56 сотрудников южнокорейских правительственных учреждений: госслужащим рассылались сообщения о необходимости смены действующего пароля электронной почты по причине его утечки, для чего надо было перейти на специально созданные хакерами 27 сайтов, замаскированных под ведомственные либо принадлежащие Google или Naver. Уведомления от хакеров получили 90 человек, среди которых сотрудники МИД, Министерства обороны, научных учреждений, связанных с изучением КНДР, а также сотрудники СМИ. Опять же, использованные хакерами IP и сервер были идентичны тем, которые применялись во время кибератаки на Корейскую корпорацию гидро- и атомной энергетики.

Похожая атака была совершена в ноябре: южнокорейским пользователям рассылался файл, озаглавленный «Обеспокоенность Республики Корея». В файле была различная информация о скандале вокруг бывшего президента РК Пак Кын Хе и ее подруги Чхве Сун Силь, но с открытием в компьютер пользователя проникала троянская программа, которая начинала похищать информацию. Спецслужбам РК «удалось установить», что первоначальным отправителем сообщений был IP-адрес, расположенный в Пхеньяне. Чтобы скрыть северокорейский след, отправители использовали прокси-серверы в США, откуда затем и шла рассылка в Южную Корею, но такой же IP-адрес из Пхеньяна использовался и 20 марта 2013 г.

В сентябре 2016 г. произошла хакерская атака на общий дата-центр оборонных ведомств РК. Она привела к утечке целого ряда секретных документов, в том числе совместных оперативных планов РК и США. Атаке подвергся даже личный компьютер министра обороны Южной Кореи, а нападавшие использовали IP-адреса в Шэньяне, что, с точки зрения экспертов Института финансовой безопасности РК, подтверждает северокорейский след. Разбору данного инцидента также будет посвящен отдельный раздел.

В конце сентября 2016 г. в Сеуле заявили, что хакеры из КНДР пытались атаковать расположенные в Южной Корее биржи криптовалют, хотя «реального ущерба» в результате кибератак причинено не было.

25 января 2017 г. «северокорейские хакеры, возможно, совершили атаку на сайт крупного южнокорейского оборонного предприятия». Формат кибератаки — wormhole hacking, когда вирус ворует информацию лиц, посещающих сайт.

28 марта 2017 г. представитель МИД РК сообщил, что сайт министерства подвергся серии DDoS-атак, исходящих из Китая. По его словам, были приняты немедленные меры, которые позволили избежать ущерба, в диппредставительства РК в Китае разослали предупреждения о возможных хакерских атаках.

По словам других силовиков, со 2 по 8 марта 2017 г. имели место 25 кибератак, нацеленных на различные южнокорейские силовые структуры, а за период с 9 по 15 марта их число возросло до 40. Источники атак — IP-адреса, зарегистрированные на территории Китая, а их целями являются главным образом Министерство обороны, агентства оборонных закупок и оборонного развития.

И хотя в МИД РК снова намекали на КНДР, иные эксперты предположили, что рост количества атак в отношении южнокорейских силовых структур связан с активизацией работы по размещению на Корейском полуострове американских комплексов ПРО THAAD и напряженностью в отношениях РК и КНР.

В марте и апреле 2017 г., по сообщению авторов «Серверной Кореи», используя фишинг и распространяя вредоносную программу DogCall, злоумышленники делали скриншоты страниц и заполучали пароли пользователей — сотрудников южнокорейского правительства. Правда, затем авторы документа снова опростоволосились, приписав этой атаке похищение оборонных документов, которое в реальности случилось в сентябре 2016 г.

8 мая 2017 г. хакеры взломали компьютер одного из экспертов комитета Совета Безопасности ООН по санкциям в отношении КНДР. Как гласило информационное письмо председателя комитета, «файл в формате zip был отправлен с личным сообщением, которое показывает, что хакеры обладают очень подробной информацией о структуре текущего расследования и методах работы группы».

12 мая 2017 г. неизвестные хакеры попытались атаковать компьютеры с операционной системой Windows в 150 странах, в том числе в России, КНР, Великобритании и Испании. От атак вируса WannaCry пострадали более 200 тыс. компьютеров и 300 тыс. человек. Вирус шифрует файлы пользователя, в результате чего их больше нельзя использовать. Посредством вредоносной программы злоумышленники пытались вымогать средства у государственных и коммерческих организаций. За расшифровку данных злоумышленники требовали выкуп в криптовалюте — биткоинах, однако желающих заплатить выкуп оказалось мало: за несколько дней на счета хакеров было перечислено лишь около 50 тыс. долл. Тем не менее считается, что ущерб, нанесенный атакой, составил около миллиарда долл.

Причастность КНДР к этой атаке также рассмотрим в отдельном разделе.

31 мая 2017 г. были зафиксированы попытки Севера провести хакерские атаки на ряд южнокорейских сайтов, имеющих отношение к внешнеполитической деятельности, вопросам воссоединения и финансовым делам. Так, на один сайт, связанный с внешней политикой, был «подсажен» вредоносный код. Он срабатывал, вторгаясь в компьютер, когда на сайт заходил какой-либо пользователь. С февраля по май аналогичные следы были обнаружены на девяти сайтах, которые имели отношение к воздушно-космическим исследованиям, внешнеполитической деятельности, беженцам из КНДР, финансовым организациям, профсоюзам. Подобный вид кибератаки называется watering hole или «водопой». Эксперты, связанные со спецслужбами РК, считают, что это почерк северокорейских хакеров.

В июле 2017 г. в докладе компании Recorded Future, занимающейся кибербезопасностью, отмечалось, что с 17 мая северокорейские пользователи начали майнинг биткоинов. До этой даты никакой подобной активности в КНДР не было, а после активность стала расти в геометрической прогрессии — с нуля до сотен тысяч случаев в день. Авторы доклада сочли, что хотя неясно, кто управляет северокорейскими операциями по добыче биткоинов, учитывая относительно небольшое количество компьютеров в Северной Корее в сочетании с ограниченным пространством IP, маловероятно, что эта вычислительно интенсивная деятельность происходит вне государственного контроля.

В сентябре 2017 г., предположительно, северокорейские хакеры похитили криптовалюту с биржи Coinis. Тогда же специалисты исследовательской компании FireEye, специализирующейся на кибербезопасности, выпустили доклад «Почему Северная Корея так интересуется биткоином», в котором говорилось о многочисленных атаках хакеров КНДР на южнокорейские криптовалютные биржи, но данных, подтверждающих эту гипотезу, в исследовании недостаточно.

Упоминается лишь о неоднократных попытках фишинга в мае — июле 2017 г. и о том, что 22 апреля были взяты под контроль четыре кошелька на южнокорейской криптовалютной бирже Yapizon, после чего оттуда были выведены более 3,8 тыс. биткоинов. Однако четких признаков участия Северной Кореи нет. Тактика и методы хакеров были несколько иными .

В октябре 2017 г. компания FireEye заявила, что подозревает власти КНДР в атаках на компьютеры сотрудников энергетических фирм США. Хакеры якобы направляли на электронные адреса сотрудников американских энергетических компаний приглашения на выдуманные благотворительные мероприятия. При открытии вложения к электронному письму происходило заражение компьютера вредоносным вирусом. В NBC NEWS пошли дальше: по их версии, КНДР ставила своей целью с помощью кибершпионажа вывести из строя жизненно важные объекты инфраструктуры США, в том числе и распределительные электросети.

Также в октябре 2017 г. стало известно о похищении чертежей военных судов Южной Кореи, произошедшем еще в апреле 2016 г. Спустя более чем год Сеул обвинил северокорейские кибервойска во взломе базы данных компании Daewoo Shipbuilding & Marine Engineering, По данным Минобороны РК, на хакеров из КНДР указывали характерные для них методы, которые ранее использовались, к примеру, в атаке на SWIFT.

1 декабря 2017 г. группа хакеров, предположительно из Северной Кореи, установила вредоносный код в модифицированных версиях приложения для чтения Библии Godpeople, которое было загружено через рынок незаконных приложений. После установки приложения хакеры могли бы управлять смартфонами, включая кражу личных данных, отслеживание местоположения и прослушивание телефонных разговоров.

Вредоносный код был найден компаниями McAfee и Palo Alto Networks, а северокорейский след доказывался сходством между кодом, найденным в приложении, и предыдущими вредоносными кодами, предназначенными для РС, которые, как сообщается, были работой группы Lazarus.

18 декабря 2017 г. в национальной службе разведки РК сообщили, что атаки на южнокорейскую биржу виртуальной валюты могли быть делом рук северокорейских хакеров, ссылаясь на то, что при атаке использован тот же вредоносный программный код, которым пользовалась хакерская группировка Lazarus Group. Вредоносный код рассылался через электронную почту лицам, имеющим отношение к южнокорейской площадке торговли криптовалютой, в результате чего в апреле и сентябре 2017 г. с некоторых счетов были похищены виртуальные деньги на сумму свыше 6 млн долл., принадлежавших тысячам участников торгов на бирже, а в июне 2017 г. произошла утечка личной информации 36 тыс. пользователей одной из крупнейших в мире биржи криптовалют Bithumb.

В декабре 2017 г., по версии авторов «Серверной Кореи», министерство внутренней безопасности США сообщило об обнаружении «разрушительного и вредоносного» приложения SMASHINGCOCONUT, «за которым может стоять КНДР». Если правильно понимать авторов «Серверной Кореи», вывод был сделан на основании того, что приложение размещалось на сервере, где, как предполагалось, были расположены и другие инструменты взлома за авторством программистов из КНДР.

В 2017 г. Министерство торговли, промышленности и энергетики Южной Кореи заявило, что за 10 лет хакеры пытались получить доступ к двум южнокорейским государственным электрическим компаниям — Korea Electric Power Corporation (KEPCO) и Korea Hydro & Nuclear Power (KHNP) почти 4 тыс. раз. По словам лидера правящей партии Южной Кореи Чху Ми Э, официальный отчет подтвердил, что по крайней мере 19 из атак на KEPCO, произведенных в 2013-2014 гг., произошли с Севера. Авторы «Серверной Кореи» сделали вывод, что 19 атак на фоне нескольких тысяч — «это очень тревожный сигнал».

В начале января 2018 г. исследователи кибербезопасности в американской фирме AlienVault обнаружили доказательства существования вредоносного ПО, которое заражало компьютеры, чтобы добыть криптовалюту monero и отправить ее в Университет Ким Ир Сена в Пхеньяне. Вирус был обнаружен в базе, собранной антивирусной программой от Google — Virus Total. Однако пока сложно определить, сколько компьютеров были заражены кодом и как много криптовалюты они выработал.

5 февраля 2018 г. в Национальной службе разведки РК сообщили, что в 2017 г. северокорейские хакеры провели кибератаку на южнокорейские биржи криптовалют, похитив цифровую валюту на сумму в несколько десятков миллионов долларов. Известно о четырёх случаях кибератак, и анализ вредоносного кода и IP-адресов подтвердил, что часть из них была организована Севером. Участникам операций на бирже и людям, имеющим к этому отношение, направлялись электронные письма с вирусом, который позволял получить их пароли.

Также разведка Южной Кореи проинформировала, что атака на японскую криптовалютную биржу Coincheck (кража, совершенная в конце января 2018 г., стоила бирже 58 млрд иен, или 520 млн долларов), вероятнее всего, была совершена северокорейскими хакерами, хотя явных доказательств, что за данной атакой стоит именно Пхеньян, спецслужбы не представили.

Это любопытно, так как 14 февраля японская газета Mainichi Shimbun сообщила, что некоторая часть (1,2 из 58 млрд иен). средств, украденных со счетов Coincheck, была переведена на российскую биржу криптовалюты Yobit.

Анализируя вышеуказанный массив данных, можно подвести следующие итоги:

— При большинстве атак использовались примитивные техники типа фишинга, когда жертва получает письмо с приложенным файлом, попытка открыть который или загружает вредоносное ПО, или требует данные логина и пароля. Автор сталкивался с таким не раз, а буквально во время написания этого доклада ряд его коллег получили письма от «него» (в адресе была лишняя точка) с аналогичным приложением. Поддаваться на такое — совсем не соблюдать правила интернет-безопасности.

— Не подтверждаются попытки провести корреляцию между ядерными испытаниями и кибератаками, которые пытались отследить авторы статьи в Reuters. Серьезного усиления атак в указанные даты не наблюдается, и проще говорить о совпадениях. Такого мнения придерживается и ряд американских специалистов.

— Также скорее не подтверждается вывод Института по изучению вопросов финансовой безопасности (FSI) РК, согласно которому в 2015–2017 гг. северокорейские хакеры сменили основное направление атак. Если раньше они пытались украсть военные и промышленные секреты у зарубежных государств либо затруднить работу зарубежных организаций, то теперь больше заинтересованы в краже средств из-за рубежа. Данные процессы скорее идут параллельно.

— На этом фоне сомнительным оказывается и вывод авторов «Серверной Кореи» (пересказавших два источника выше без попыток перепроверки) о том, что «тактика кибервойск КНДР прошла через три главных этапа в своем развитии: от «идеологических» атак (на британский Channel4 и Sony Pictures в 2014 г.) к хакерскому заработку (хищения средств у банков и пользователей, криптомошенничество) и легальному бизнесу в сфере разработок и продаж ПО».

Часть пятая. Дело Sony Pictures

Атака на кинокомпанию Sony Pictures, снявшую фильм «Интервью» об убийстве северокорейского лидера Ким Чен Ына, стала наиболее раскрученным эпизодом деятельности «северокорейских хакеров», и именно потому мы начнем анализ кейсов с нее.

В интерпретации авторов «Серверной Кореи» «из-за угроз хакеров фильм сняли с проката, а следом Sony Pictures подверглась масштабной атаке: киберпреступники проникли на сервера компании, слили в Сеть несколько фильмов, конфиденциальную информацию, а вирус уничтожил до 70% ноутбуков и компьютеров сотрудников компании». Да, про уничтоженные 70% компьютеров, в номере от 15 октября 2017 г. писала The New York Times, на которую сослались авторы. Однако непонятно, почему об этом не упоминалось в материалах 2014 г, непосредственно посвященных этой атаке по горячим следам? Кроме того, «специалисты по информационной безопасности» случайно или намеренно изменили порядок событий, так что придется начинать с самого начала.

Фильм «Интервью», с которым связывают атаку, с самого начала задумывался как «идеологическая диверсия», ключевым элементом которого является даже не убийство Кима с летящей через экран головой, а разоблачение его политики, когда в ходе указанного интервью его размазывают по стенке вопросами о происходящем в стране. Кино планировали забрасывать на Север как топливо для цветной революции, и, как выяснилось позднее, авторы специально консультировались с представителями госдепа и разведки. Выход фильма планировался на 25 декабря 2014 г.

Неудивительно, что как только о содержании фильма стало известно, КНДР заявила жесткие протесты, немедленно воспринятые как часть пиар-кампании фильма.

24 ноября группа хакеров «Стражи мира», взломала американские серверы компании Sony Pictures Entertainment, парализовала работу внутренней сети кинокомпании и опубликовала в Интернете несколько крупных блоков информации, в том числе электронные письма нескольких топ-менеджеров Sony, готовящиеся к выходу фильмы и сценарий нового фильма о Джеймсе Бонде.

Кроме того, в открытый доступ попали файлы с паролями, копии паспортов актеров, которые снимались на киностудии, и данные производственных бригад. На нескольких торрент-трекерах появились текстовые файлы, включающие в себя перечень похищенных данных и электронные адреса, по которым можно связаться с хакерами для получения информации.

15 декабря в Интернете появился отрывок из фильма, где демонстрировалось убийство Кима. На следующий день те же или другие хакеры даже выступили с конкретными угрозами: «Если “Интервью” будет выпущен на экраны 25 декабря, мир содрогнется от страха. Помните 11 сентября 2001? Советуем вам держаться в этот день подальше от мест, где показывают фильм. Все, что случится в будущем, будет вызвано жадностью Sony Pictures Entertainment».

В результате 10 крупнейших сетей кинотеатров в США, в частности Regal Entertainment, AMC Entertainment, Cinemark, Carmike Cinemas и др., отказались ставить скандальный фильм в расписание, а затем и сама Sony 18 декабря объявила, что фильм «Интервью» не будет выпущен на экраны.

19 декабря ФБР официально обвинило в организации кибератаки КНДР. Как отмечается в распространенном заявлении ведомства, «технический анализ данных, использованных при организации атаки, показал связь с другими хакерскими программами, которые, по данным ФБР, разрабатывались соответствующими лицами в КНДР».

В отчете организации утверждается, что северокорейский след был доказан на основании нескольких типов улик. Во-первых, анализ вредоносных программ, используемых в этой атаке, выявил ссылки на другие вредоносные программы, которые, по данным ФБР, ранее разрабатывала Северная Корея — сходства в конкретных строках кода, алгоритмах шифрования и методах удаления данных. Во-вторых, обнаружилось совпадение между инфраструктурой, используемой в этой атаке, и другой вредоносной киберактивностью, которую ранее правительство США напрямую связывало с Северной Кореей. Например, несколько IP-адресов, связанных с известной северокорейской инфраструктурой, взаимодействовали с IP-адресами, которые были жестко закодированы во вредоносную программу, используемую в этой атаке. В-третьих, инструменты, используемые в атаке, имели сходство с кибератакой против южнокорейских банков и СМИ марта 2013 г., которую осуществила Северная Корея.

Северокорейская версия не была единственной. По данным источника телеканала Foxnews, хакерская программа была выполнена на очень высоком уровне и соответствует уровню развития технологий Ирана, Китая и России, но не КНДР.

На фоне очередного обострения ситуации на Украине компания Taia Global, занимающаяся вопросами информационной безопасности, пришла к выводу, что послания хакеров, скорее всего, были написаны человеком, для которого родным языком является русский.Что же до IP-адресов, которые ранее якобы использовались КНДР в преступных целях, все они вели на открытые прокси-серверы, расположенные в различных государствах. В данном случае нападение направлялось через Тайвань.

Парируя, антисеверокорейски настроенные специалисты заявляли о корейской раскладке клавиатуры, которой будто бы пользовались хакеры, или о том, что их плохой английский был бы характерен для корейского пользователя. А что трафик идет через Китай, так это только доказывает, что северокорейцы действуют, маскируясь под китайских киберпреступников.

Как бы то ни было, решение компании об отмене проката и официальное объявление о том, что кибертатака была из Пхеньяна, вызвали в США возмущение общественного мнения (с какой стати нам идти на поводу у северокорейских угроз?), и 24 декабря в США «Интервью» выпустили в ограниченный прокат в более чем трёхстах независимых кинотеатрах, а позднее выложили на платные видеосервисы. Премьера фильма прошла без происшествий, несмотря на угрозы, но в итоге при бюджете 42-44 млн долл., он принес 40 млн долл. через интернет-продажи и 11,3 млн долл. в прокате, фактически провалившись.

После таких новостей у автора еще тогда возник вопрос: откуда у предполагаемых северокорейских хакеров даже не техническая мощность, необходимая для осуществления подобной атаки, а такое совершенное знание культурного контекста США? Как набор украденного, так и то, куда информация была выложена и каким журналистам «слита», говорит о том, что хакеры очень хорошо знают именно внутриамериканскую аудиторию, Собственно, даже нанесение удара по кошельку торговых центров, в которых находятся кинотеатры, требует понимания того, чем ниша кинотеатров США отличается от ниши кинотеатров КНДР.

Более того, поскольку речь шла не просто о взломе почты, а о вытаскивании наружу большого числа корпоративных секретов, среди специалистов возникло мнение, что в деле не обошлось без инсайдера. Ведь и скандал с Wikileaks, и откровения Сноудена, имевшие такой успех, были обеспечены именно инсайдерской информацией.

Добавим, что компания Sony Pictures была убыточной уже 5 или 6 лет, активно сокращала штат и пользовалась в Интернете не лучшей репутацией по причине, например, известного скандала 2005-2007 гг. Тогда в качестве защиты музыки в компьютер внедрялась невидимая обычными средствами шпионская программа, так называемый руткит.

В общем желающих насолить компании было предостаточно, и скандальный фильм про КНДР мог оказаться не причиной, а поводом. Тем более что в начале кампании по взлому Sony хакеры никогда не упоминали фильм «Интервью», из-за которого якобы и была осуществлена атака. Киберпреступники обратили внимание на киноленту только после того, как некоторые издания предположили, что именно она является причиной атаки. Только после этого «Стражи мира» опубликовали требование прекратить «показывать террористический фильм, который может нарушить мир в регионе и привести к войне».

Одновременно выяснилось, что незадолго до атаки в компанию Sony Pictures Entertainment поступали сообщения, имевшие признаки шантажа, однако они содержали требования, не связанные с выходом премьеры фильма «Интервью».

Новый виток внимания к истории произошел в апреле 2015 г., когда украденные хакерами документы Sony Pictures были опубликованы на WikiLeaks. На сайте появились более 20,2 тыс. документов SPE, более 173 тысяч электронных писем, а также более 2,2 тысячи электронных адресов, в том числе электронная переписка сотрудников компании с американским правительством. Как выяснилось, у компании «есть связи в Белом доме и с американским военно-промышленным комплексом» (в архиве более 100 электронных адресов американского правительства). Опубликованные письма указали и на тесные связи компании Sony с Демократической партией США.

В сочетании с указанием на то, что «работа компании была парализована, так как ей пришлось отключить Интранет», это, как кажется автору, указывает на то, что атаке подверглись внутренние сети компании, что означает работу инсайдера, а не хакеров снаружи. Да и WikiLeaks как место размещения утечек, не особо дружественное к Северной Корее, тоже говорит о том, что власти Северной Кореи скорее не были причастны ко взлому.

Добавим к этому исследование американского журналиста Ф. Каплана «Темная территория: Секретная история кибервойны» (Dark Territory: The Secret History of Cyber War), раскрывающее некоторые подробности атаки на компанию. Как оказалось, ее внутренняя сеть защищалась простейшими паролями типа 12345, ABCDE и password. А это, мягко говоря, очень расширяет круг подозреваемых, хотя автор книги «доказывает» северокорейский след рассказами о том, что АНБ контролировало северокорейских хакеров и чуть ли не наблюдало за атакой в прямом эфире.

Подводя итоги, автор хотел бы предположить, что северокорейские хакеры к атаке отношения не имели. Конечно, можно представить себе, что взломщики могли быть идеологическими союзниками КНДР либо осуществили взлом на северокорейские деньги или по заданию Пхеньяна, но подтверждение такой связи нуждается в серьезных доказательствах.

Когда хакерская группировка Anonymous совершила атаку на северокорейские и просеверокорейские сайты, никто не пытался заявлять, что за этой атакой стоят американские спецслужбы. Подавалось это скорее как «голос свободного Интернета», выразившего возмущение северокорейским тоталитаризмом, при том что та же группировка в свое время временно блокировала сети MasterCard и НАТО. Спрашивается, почему в таком случае не допустить возможность существования и тех хакерских групп, которые настроены к КНДР дружественно или маскируются под «патентованную империю зла»? Это допущение пригодится нам, когда речь пойдет о действиях хакеров Lazarus, речь о которых пойдет в следующем разделе.

Часть шестая. Lazarus

Об этой хакерской группировке написано много, хотя одни авторы приравнивают ее к Подразделению 121, а другие пишут о хакерах, «связанных с КНДР», причем связь эта принимается за аксиому.

Lazarus обвиняют практически во всем, и неслучайно деятели типа Альперовича готовы поставить знак равенства между этой группой и северокорейскими хакерами вообще. Как принято считать, Lazarus действует как минимум с 2009 г., т.е. с того момента, как группа произвела DDoS-атаку на американские и южнокорейские веб-сайты с использованием червя MYDOOM. До конца 2015 г. деятельность Lazarus была сосредоточена в основном на правительстве и финансовых организациях Южной Кореи и США, включая атаки на банковский и медиасектор Южной Кореи в 2013 г. и широко разрекламированную атаку на Sony Pictures Entertainment в 2014 г.

По мнению американской компании по сетевой безопасности Symantec, северокорейские хакеры причастны к похищению 94 млн долл. у банков по всему миру в период 2015–2016 гг. В отчёте компании, основанном на данных, которые были собраны через 98 млн датчиков атаки в 157 странах, доказывается причастность КНДР к кибератакам на банки в Бангладеш, Вьетнаме, Эквадоре и Польше.

Самым громким делом Lazarus является кража 81 млн ​долл. со счета ЦБ Бангладеш в Федеральном резервном банке Нью-Йорка (ФРБ) в феврале 2016 г. Хакеры получили данные Центрального банка Бангладеш для системы межбанковских Сообщений SWIFT и использовали их, чтобы попытаться вывести со счета 1 млрд долл., но в последний момент сотрудники ЦБ Бангладеш, через который проводилась операция, заметили орфографическую ошибку в заявлении и отклонили операцию, хотя хакерам всё равно удалось похитить более 80 млн долл.

The Wall Street Journal со ссылкой на источники сообщала, что власти США ждут случая, чтобы официально обвинить КНДР в этой краже, но случай пока не представился. Также, по данным газеты, США планируют обвинить предполагаемых китайских посредников, которое помогли Северной Корее в краже средств. При этом, по словам собеседника газеты, власти страны не смогут предъявить обвинения конкретным северокорейским чиновникам, хотя КНДР вообще может быть фигурантом этого дела.

По версии российской компании Group-IB, помимо вышеупомянутых атак Lazarus ответственна за взлом сетей разных стран, включая фармацевтические компании Японии и Китая, университеты США, Канады, Великобритании, Индии, Болгарии, Польши, Турции. Lazarus занималась DDoS-атаками и взломами ресурсов государственных военных, аэрокосмических учреждений в Южной Корее и США.

В последние годы в условиях возрастающего экономического давления на КНДР вектор атак Lazarus сместился в сторону международных финансовых организаций, а именно на несколько банков в Польше, Центральные банки РФ, Венесуэлы, Бразилии, Чили, Европейский центральный банк и др.

В упоминавшемся выше отчете южнокорейского института финансовой безопасности FSI к Lazarus добавляется еще одна группа хакеров под названием Bluenoroff, которая атаковала ряд финансовых организаций, онлайн-казино и криптовалютных бирж в таких странах, как Мексика, Австралия, Уругвай, Россия, Норвегия, Индия, Перу и Польша. А внутри Lazarus обнаружено подразделение под названием Andariel, которое как минимум с мая 2016 г. работает по южнокорейским частным компаниям и государственным учреждениям. Например, в 2017 г. Andariel захватила сервер в южнокорейской компании и использовала его для добычи криптовалюты монеро, более дорогой по сравнению с биткоином из-за скорости проведения транзакций и анонимности.

В докладе FSI говорится, что северокорейская хакерская группа Andariel была замечена в попытке украсть информацию о банковских картах путем взлома банкоматов, а затем использовать ее для снятия наличных денег или продажи банковской информации на черном рынке. Также за Andariel числится создание вредоносного ПО для кражи денег и взлома онлайн-покера и других игорных сайтов.

Авторы «Серверной Кореи» идут еще дальше, приравнивая Lazarus и группу Hidden Cobra, известную атаками против глобальной финансовой сети SWIFT. Более того, ссылаясь на «аналитиков», они пишут, что операция в Турции была лишь частью масштабной операции Ghost Secret, затронувшей в общей сложности 17 стран и нацеленной на сбор информации о критической инфраструктуре, телекоммуникациях и даже развлекательных организациях.

С технической точки зрения Lazarus использует трехуровневую инфраструктуру серверов управления, внутри которой пробрасывается шифрованный SSL-канал и оригинальный набор зашифрованных модульных инструментов для удаленного управления зараженными компьютерами. Специалисты компании Group-IB считают, что подобная модульная архитектура для доставки полезной нагрузки до целевого компьютера обеспечивает гибкость при разработке систем кибероружия и позволяет разделить работы по разработке между командами, а также обеспечить повторное использование программного кода.

Для проникновения в интересующие организации хакеры используют так называемую атаку Watering Hole: заражают вредоносными программами ресурсы, часто посещаемые их потенциальными жертвами, например, сайты госучреждений. А для обеспечения анонимности применяется сервис SoftEther VPN и адреса узлов в Интернете, которые располагались в США, Китае, на Тайване, в России, Канаде, Италии и Кувейте.

Заметим, что, помимо северокорейского следа хакеров, есть и российский. 17 июня 2016 г. после анализа серии атак на 12 азиатских банков следствие выявило причастность к краже из ЦБ Бангладеш хакеров из России, Молдовы и Казахстана. Такой вывод был основан на анализе примененного вредоносного ПО: в нескольких атаках был задействован нетбот Dridex, который используется кибергруппировками из стран бывшего СССР, в том числе России, Молдовы и Казахстана. Dridex попадает в компьютер через электронную почту и собирает персональные данные пользователя (имя, пароли и т.д.), которые потом могут быть использованы для получения доступа к привилегированным сетям.

Не исключая, что за атакой на банки стояли северокорейские хакеры, следствие допустило, что вредоносное ПО могло быть продано злоумышленникам на черном рынке. Однако, по оценке компании Symantec, кибергруппировка, использующая Dridex, отличается четкой организацией и дисциплиной, придерживается пятидневной рабочей недели и даже берет паузу на новогодние праздники. Это могло бы стать доказательством причастности спецслужб КНДР, вот только непонятно, почему пхеньянские хакеры делают перерыв на Новый год, в отличие от России, в КНДР нет длинных выходных.

Есть и иные доказательства российского следа. Для защиты своих исполняемых файлов хакеры используют коммерческий протектор Enigma, разработанный русским автором, а эксплойты для Flash и Silverlight позаимствованы из наборов эксплойтов, созданных русскоговорящими хакерами. Также в модуле Client_TrafficForwarder, отвечающего за пересылку сетевого трафика, есть отладочные символы и строки с русскими словами, написанными на латинице для описания команд, которые программа может получить от сервера управления.

В хакерской среде РФ тоже существует версия о том, что столь сложные операции КНДР не по зубам и вообще название группы правильнее писать LazaRUS, но частное мнение отдельных знакомых автора к расследованию привлечь нельзя.

Наиболее подробный известный автору разбор доказательств того, что за хакерской группировкой Lazarus стоит правительство КНДР, представила 30 мая 2017 г. занимающаяся кибербезопасностью российская компания Group-IB, уже упомянутая выше. Как заявляют его авторы, они обнаружили свидетельства северокорейского следа, основанные не только на сравнении элементов вредоносного кода. Им якобы удалось проследить всю цепочку анонимизированных узлов и найти реальные IP-адреса злоумышленников, которые находятся в одном блоке с адресами, упоминаемыми полицией РК в связи с атакой 2013 г.

Выглядело это так. При анализе инфраструктуры Lazarus было обнаружено, что подключение к самому последнему, третьему уровню серверов управления происходило с двух IP-адресов Северной Кореи: 210.52.109.22 и 175.45.178.222. При этом второй IP-адрес относился к району Потхонган в Пхеньяне, в котором будто бы располагается министерство национальной обороны страны, а также недостроенный 105-этажный отель «Рюгён», пресловутая «пхеньянская пирамида», в которой желтая пресса любит размещать если не цитадель Ким Чен Ына, то штаб северокорейских хакеров.

Изучая информацию о районе, исследователи Group-IB наткнулись на репортаж 2016 г. южнокорейского новостного агентства Arirang News, в котором говорилось об атаке северокорейских хакеров февраля 2016 г. и о том, что южнокорейская полиция выяснила, что следы атаки ведут в Пхеньян. На экране за спиной ведущего новостей заметили IP-адреса 175.45.178.19 и 175.45.178.97, используемые для управления вредоносной программой Ghost RAT и находящиеся в том же блоке IP-адресов, что и обнаруженный ими 175.45.178.222. И поскольку в репортаже сообщалось, что, по данным полиции РК, атака проводилась из «Рюгёна», был сделан вывод о том, что в 2013, 2016 и 2017 гг. кибератаки велись из одного и того же района в Пхеньяне.

Автор, однако, не поленился проверить адреса, с которых якобы производилась атака, и выяснил, что адрес 210.52.109.22 связан с китайской компанией China Netcom, являющейся, в числе прочего, основным поставщиком Интернета в КНДР. Организацией, непосредственно связанной с адресом, является CHINA UNICOM Industrial Internet Backbone. Интереснее ситуация складывается с IP-адресом 175.45.178.222, который действительно находится в районе гостиницы «Рюгён». За этим адресом закреплено совместное предприятие Star Joint Venture Co. Ltd. Созданное министерством телекоммуникации КНДР и тайской компанией Loxley Pacific Company Limited, Star JV занимается предоставлением интернет-услуг иностранным резидентам в Пхеньяне. По другим данным, компания отвечает за интернет-связи КНДР с остальным миром, контролирует IP–адреса, отведенные для КНДР, и может раздавать доменные имена .kp. Мягко говоря, это несколько меняет дело.

В отчете Group-IB также предпринята попытка опровергнуть российскую версию происхождения группы. По мнению компании, Lazarus только маскируется под «русских хакеров». Да, в коде программ были обнаружены символы и строки с русскими словами, написанными на латинице (poluchit, ssylka, pereslat и др). Однако эти команды использовались неправильно для носителя языка. Например, в случае с командой poluchit значение слова противоречит осуществляемому действию: вместо этого должна была быть команда «отправлять». По мнению авторов доклада, Lazarus «решили замаскироваться под русских хакеров потому, что на тот момент новости об атаках русских хакеров были наиболее популярными».

С другой стороны, что мешает серьезной команде хакеров осуществить двойную маскировку и притворяться иностранцами, которые маскируются под русских хакеров? Не забудем и то, что русский в КНДР учат как один из основных иностранных языков, и, если речь идет о хакерах при спецслужбе, там точно нашелся бы специалист, позволивший замаскироваться тщательнее.

Итоги данного раздела можно свести к следующему. Lazarus, скорее всего, существует, но не обязательно является командой хакеров северокорейского происхождения, и его связь с КНДР требует дополнительных доказательств. Во всяком случае, если Bluenoroff или Andariel являются самоназваниями, то это можно считать косвенной уликой не в пользу причастности Северной Кореи.

Российское происхождение хакеров не исключено и, учитывая одиозность группы, позицию ряда отечественных сторонников версии о пхеньянском следе можно объяснить тем, что они хотят подчеркнуть, что Lazarus не имеет отношения к РФ и попросту переводят стрелки на и так одиозную КНДР.

Часть седьмая. WannaCry

В атаке данного вируса сразу же начали искать северокорейский след. Специалисты «Лаборатории Касперского» указали, что за вирусом WannaCry может стоять северокорейская Lazarus. Однако они оговорились, что схожесть кода может быть очередным «ложным флагом».

Некоторые следы, указывающие на возможную причастность Lazarus к WannaCry и атакам на банки в Польше, нашла и американская Symantec. Используемый код очень напоминает программу, созданную для атаки на Sony Pictures в 2014 г., а также против РК в 2013 г.

15 мая 2017 г. аналитик «Лаборатории Касперского» Александр Гостев написал на своей странице в Facebook, что один и тот же код обнаружен в WannaCry и троянцах от Lazarus. Эксперт приложил к своей публикации скриншоты двух кодов: один, как утверждает Гостев, принадлежит WannaCry, другой — вирусам Lazarus, они частично совпадают друг с другом. В итоге так и не стало понятно, можно ли делать какие-либо однозначные выводы, основываясь на схожести отдельных фрагментов кода. При этом в экспертной среде Гостев известен предсказанием об исчезновении Интернета как глобальной сети к 2014 г. Доводы Гостева основывались на сообщении, сделанном в Твиттере специалистом Google по информационной безопасности Нилом Мехта, выявившего наличие общего фрагмента кода в вирусе WannaCry и вредоносных программах, которые ранее использовали хакеры из КНДР. В своем Twitter Мехта опубликовал длинное сочетание цифр, букв и символов, являющееся, как разъяснили американские СМИ, общим элементом кода в WannaCry и вирусе, который в 2015 г. использовала для похищения средств группировка Lazarus.

Не все, однако, сочли это убедительным доказательством. Джон Миллер, эксперт компании FireEye, специализирующейся на кибербезопасности, заявил, что сходства, обнаруженные в кодах вируса WannaCry и группировки Lazarus, недостаточно уникальны, чтобы можно было делать выводы об их происхождении из общего источника. Либо фрагменты кода Lazarus Group могли быть просто использованы другой хакерской группой, чтобы запутать следствие и помешать выявить настоящего злоумышленника.

14 июня, согласно отчету The Washington Post, АНБ США составило оценку WannaCry и приписало создание червя северокорейской разведке. 13 октября 2017 г. президент компании Microsoft Брэд Смит в интервью телеканалу ITV News заявил, что «с большой долей уверенности» подозревает Пхеньян в кибератаке вируса WannaCry. По его мнению, для этого северокорейские власти использовали украденные у АНБ США кибероружие и средства.

Здесь у автора возник вопрос — а как именно северокорейские хакеры умудрились украсть что-то у наиболее серьезной спецслужбы данного типа? Может, не стоит плодить сущности, и если речь идет о кибероружии, о котором известно, что его использует АНБ, то и атака была произведена тоже АНБ? Можно ли верить в то, что одна из наиболее серьезных спецслужб мира, специализирующаяся на действиях в киберпространстве, столь беззащитна перед хакерами из Северной Кореи?

28 октября 2017 г. о причастности КНДР заявил министр по вопросам безопасности Великобритании Бен Уоллес. Ранее Национальный центр кибербезопасности Великобритании сообщил, что за атакой вредоносной программы WannaCry стоит хакерская группировка Lazarus, связанная с киберподразделением северокорейских спецслужб.

19 декабря 2017 г. на причастность КНДР к атаке WannaCry официально указали США. Об этом сообщил помощник президента США по внутренней безопасности Томас Боссерт в статье для издания The Wall Street Journal. По его словам, с таким выводом согласились Австралия, Канада, Великобритания и Япония. Боссерт отметил, что эксперты из этих стран ознакомились с аналитикой США по данному вопросу и поддержали мнение, что Север является создателем вируса. Представитель Белого дома официально заявил, что масштабная кибератака, которая распространилась по всему миру, была проведена по указанию северокорейского политического руководства, причем, судя по всему, вымогательство денег не являлось главной целью атаки: ее организаторы стремились вызвать хаос и сбой в работе инфраструктуры.

От представления деталей Боссерт отказался, ограничившись ссылкой на «свидетельства», но с этого времени данную вирусную атаку «записали на счет КНДР», и в текстах про хакеров для массовой аудитории это стало общим местом.

Обратим внимание на ряд фактов, которые разрушают эту картинку. 31 марта 2017 г. WikiLeaks публикует 676 файлов ЦРУ, раскрывающих широкие возможности агентства маскировать свои действия в Интернете, происхождение создателей вредоносных программ, выдавая их за россиян, китайцев или граждан других стран. Похоже, ЦРУ собирает обширную библиотеку наступательных кибертехнологий, «украденных» из программ, производимых в других странах, и может не только разнообразить типы атак, но и оставлять «отпечатки пальцев» тех группировок, у которых были позаимствованы эти технологии.

Это «нормально» для любой серьезной спецслужбы, но интереснее иное. Хакеры, запустившие вирус-вымогатель, задействовали эксплойт Eternalblue, который изначально был использован АНБ США для удаленного управления компьютерами на Microsoft Windows. Eternalblue выложила в сеть группировка Shadow Brokers в пакете с другими файлами, якобы принадлежавшими АНБ. Как инструментарий самой секретной спецслужбы США оказался у хакеров, пока неясно. По данным американских СМИ, это могло быть делом рук инсайдера, но при конспирологическом подходе ничто не мешает выдать эту кибератаку за операцию АНБ под фальшивым флагом.

Любопытно, что 18 мая 2017 г. хакерская группа Shadow Brokers, взявшая ответственность за распространение вирусов WannaCry, заявила, что скоро будет раскрыта информация, связанная с ядерными и ракетными программами КНДР, России и КНР, и предлагала информацию любому желающему. Это несколько необычно для северокорейских или просеверокорейских хакеров.

Вообще, то, что вирус атаковал РФ и КНР тоже может быть косвенным доказательством против северокорейской версии. Москва и Пекин — относительные союзники Пхеньяна, и портить с ними отношения из-за государственной кибератаки было бы неразумно. Правда, на такие аргументы у недругов КНДР есть дежурный довод про безумный режим.

29 мая 2017 г. эксперты американской компании Flashpoint, ​работающей в сфере кибербезопасности, при помощи лингвистического анализа кода вируса пришли к выводу, что создатели вируса WannaCry говорят на южном диалекте китайского языка и, вероятнее всего, именно на нем изначально составляли текст требования выкупа. Таким образом, создателями вируса, скорее всего, являются жители Гонконга, юга Китая, Сингапура или Тайваня.
По данным авторов исследования, текст требования выкупа изначально был написан на китайском языке, после чего переведен на английский с помощью Google Translate.

Комментируя эту информацию, генеральный директор InfoWatch Наталья Касперская рассказала, что «существует возможность замаскировать вирус под любую национальность» (однако, если так, то некорректны и аналогичные аргументы в пользу северокорейского происхождения вируса). 

Доцент НИУ «Высшая школа экономики», китаист Михаил Карпов в свою очередь заявил, что версия компании Flashpoint может иметь под собой основания: «Есть устойчивые выражения, которые записываются иероглифами, но употребляются в таких сочетаниях только в южных диалектах».

Отметим, правда, что существует и иное мнение. По словам Сержио де лос Сантоса, главы подразделения кибербезопасности ElevenPaths компании Telefónica, родным языком для автора WannaCry является корейский, так как именно этот язык был выбран по умолчанию в EMEA-версии Word, используемой для создания RTF-файлов. Также, по словам экспертов, временные метки в исходном коде WannaCry установлены в часовом поясе UTC +9, в котором расположена КНДР.

Подводя итоги, можно сказать, что фактов хватает, чтобы представить эту атаку не только как северокорейскую, но и как организованную на Тайване (где, кстати, были первые жертвы), в Сингапуре или Гонконге, не говоря уже об операции под фальшивым флагом. Используя аргумент «а эти свидетельства — просто искусная работа хакеров по переводу стрелок», при данном наборе улик можно обвинить того, кого выгодно.

Часть восьмая. Похищение плана 5027

Напомним, в сентябре 2016 г. случилась хакерская атака на общий дата-центр оборонных ведомств РК, приведшая к утечке секретных документов. Об утечке стало известно в декабре 2016 г.: это подтвердили военные, вдаваться в детали не стали. Даже когда появились заявления хакеров об успешном факте взлома, военные заявили, что ничего важного в чужие руки попасть не могло.

2 мая 2017 г. были объявлены результаты следствия, согласно которым хакерская атака предположительно была организована Севером. — Такой вывод основывался на том, что часть IP-адресов, использованных в атаке, уже применялась хакерами КНДР из китайского Шэньяна. Кроме того, на северокорейский след указывает и вид вредоносного вируса. Таким образом, по мнению следствия, в 2015 г. группа хакеров из КНДР взломала компьютерную сеть компании, поставлявшей министерству обороны антивирусные программы. Злоумышленники использовали данные об антивирусной системе для проникновения во внутреннюю сеть министерства через сервер одного из подразделений, который одновременно был подключен к Интернету и внутренней сети ведомства, что в итоге и сделало возможным распространение вируса. При этом о факте подобного совмещения внутренней и внешней сетей военные не знали.

Военная прокуратура решила подвергнуть дисциплинарному взысканию главу общего дата-центра оборонных ведомств, допустившего подключение к Интернету внутренней компьютерной сети, которая в целях безопасности должна работать автономно. Наказанию подвергнулись еще 26 должностных лиц, не предпринявших активных мер, зная о факте взлома системы. Для недопущения подобных инцидентов впоследствии были созданы центры кибербезопасности и приняты меры по четкому разделению внутренней и внешней сетей министерства обороны. 

Однако 10 октября 2017 г. эта история снова выбилась в топ новостей. Как сообщил депутат Национального собрания от правящей Демократической партии Тобуро и член парламентского комитета по вопросам обороны Ли Чхоль Хи, хакеры из КНДР могли украсть из внутренней сети южнокорейской армии секретные документы, в которых описываются оперативный план 5015 (план диверсионных действий, нацеленных на ликвидацию ключевых объектов ракетно-ядерной инфраструктуры КНДР и/или ее высшего руководства в случае войны на полуострове) и оперативный план 5027 (описывает совместные действия РК и США в случае начала полномасштабных военных действий). Также у злоумышленников могли оказаться документы, касающиеся оперативного плана 3100, в котором описывается, как нужно реагировать на небольшие провокации со стороны КНДР, а также содержатся доклады командованию стран-союзниц, данные о ключевых военных объектах и электростанциях Южной Кореи. Всего было похищено 235 гигабайт информации, в том числе 226 документов под грифом «секретно», 42 документа с грифом «конфиденциально» и 27 документов «для служебного пользования».

Кроме того, выяснилось, что военные Южной Кореи установили содержание только 20% похищенной информации, хотя позднее их тон немного сменился: якобы военные не могут подробно указать, к каким именно документам хакеры получили доступ, потому что если материалы ушли на Север, то раскрытие информации Югом будет означать признание этого факта.

Меры стали принимать уже после того как сор вынесли из избы. В докладе объединённого комитета начальников штабов ВС РК, опубликованном 16 октября 2017 г. в ходе парламентской инспекции, отметили, что новый оперативный план создаётся в настоящий момент.

Новый виток дознания выявил подробности взлома: один из офицеров подключил к своему компьютеру USB-флеш-накопитель, заражённый вирусом, отчего зараженными оказались 2500 компьютеров (включая компьютер министра обороны), подключенных к Интернету, и ещё 700, сидящих в Интранете.

Что можно сказать про данную атаку? Документы были похищены из внутренней сети минобороны, которая формально не должна была подключаться к Интернету. Следовательно, или на самом деле речь идет об инсайдере, а не хакерах с недокументированными возможностями, или налицо вопиющее несоблюдение техники безопасности, после которого следует задать неприятный вопрос: почему на компьютерах военного ведомства стоит операционная система, позволяющая распространять вирусы? Теоретически он адресован лицам, отвечающим за покупку программного обеспечения и проектировщикам систем защиты.

Любой грамотный администратор знает, что более или менее большую компьютерную сеть надо строить, изначально разделяя ее на внешнюю и внутреннюю. Последняя не должна иметь связи с внешним миром, и, чтобы попасть в нее, надо знать не только множество дополнительных логинов и паролей, но и топологию сети и ее конкретные настройки, т.к. траффик строго ограничен узлами, портами, протоколами. В серьезных организациях такая внутренняя сеть может быть настолько отделена от внешней, что ее компьютеры могут не иметь возможности для подключения к ним USB-флеш-накопителей — каналов, по которым мог бы утечь секретный файл, физически нет.

Поэтому автор верит не столько в талантливые действия хакеров, сколько в вопиющее разгильдяйство или работу инсайдера, который мог передать информацию как Северной Корее, так и кому-то еще. Благо, с точки зрения ряда специалистов по кибербезопасности, южнокорейская «цифровая крепость» имеет картонные стены, несмотря на довольно грозную репутацию.

В завершение — реплика «в сторону». Если все-таки допустить, что украденная информация ушла в КНДР, то действия Севера в 2016–2017 гг. получают обоснование. Однако хочется задуматься о другом. Представим себе, что в 2016 г. северокорейцы действительно получили большой пакет документов, который адекватно описывает стратегию Сеула и Вашингтона, направленную на ликвидацию северокорейского режима. В такой ситуации Ким Чен Ын мог прийти к выводу о том, что раз военно-политическое руководство США и РК руководствуется данной стратегией, то вопрос о ликвидации КНДР как государства является не вопросом повестки дня, а вопросом времени (грубо говоря, не «если», а «когда»). И это вполне объясняет, почему в течение 2016–2017 гг. северокорейское руководство начинает выкладывать козыри на стол ударными темпами. Будучи уверенной в скорой и неизбежной войне, КНДР стремится предотвратить ее, подняв ставки до того уровня, при котором «легкой прогулки не будет».

Заключение

Ни одна из громких историй о хакерах КНДР не может считаться полностью доказанной. Как отмечают журналисты Ленты.ру, «мифология северокорейского хакинга во многом построена на магии репостов, искусстве горячего заголовка и непрерывном потоке однотипных тревожных новостей».

Справедливо ли говорить о северокорейском следе в конкретных громких случаях — вопрос во многом открытый. Он упирается в то, насколько мы привыкли верить в определенные мифы о северокорейских хакерах и готовы принимать то, что нам представляют в качестве доказательств. В результате почти всегда остается определенная «серая зона», благодаря которой те, кто относится к КНДР сочувственно или просто не верит антипхеньянской пропаганде, могут заявлять о выморочности обвинений, а недруги Северной Кореи — об их истинности. При этом последние нередко используют методы, похожие на те, которые применяются в обвинении руководства РФ в отравлении в Солсбери. Между тем «недостаточно данных» — это именно отсутствие данных, не позволяющее вынести вердикт.

Более того, даже если записать на северокорейский счет всё, что им присваивают, то «убойность атак» хакеров КНДР по сравнению с работой их российских, китайских или западных коллег выглядит блёклой. Раздувание этой угрозы обусловлено политическими соображениями.

По мнению автора, активное муссирование в последние годы темы северокорейских хакеров и особенно финансовой подоплеки их действий, возможно, стоит воспринимать по аналогии с предыдущими попытками отрезать КНДР от источников заработка, будь то рассуждения о Кэсонском комплексе как тайном кошельке северокорейской ядерной программы или о рабском положении северокорейских рабочих за рубежом, которых надо депортировать на родину как можно скорее. Не исключено, что перед нами — работа по подготовке почвы для распространения санкций в отношении КНДР на киберпространство, включая запрет на экспорт северокорейского ПО или «необходимость» инфраструктурной интернет-изоляции Пхеньяна.

Оценить статью
(Голосов: 50, Рейтинг: 4.38)
 (50 голосов)
Поделиться статьей

Прошедший опрос

  1. Какие угрозы для окружающей среды, на ваш взгляд, являются наиболее важными для России сегодня? Отметьте не более трех пунктов
    Увеличение количества мусора  
     228 (66.67%)
    Вырубка лесов  
     214 (62.57%)
    Загрязнение воды  
     186 (54.39%)
    Загрязнение воздуха  
     153 (44.74%)
    Проблема захоронения ядерных отходов  
     106 (30.99%)
    Истощение полезных ископаемых  
     90 (26.32%)
    Глобальное потепление  
     83 (24.27%)
    Сокращение биоразнообразия  
     77 (22.51%)
    Звуковое загрязнение  
     25 (7.31%)
 
Социальная сеть запрещена в РФ
Социальная сеть запрещена в РФ
Бизнесу
Исследователям
Учащимся