Пусть почти никто в КНДР не имеет широкого доступа к интернету, Пхеньяну удалось взрастить армию высококвалифицированных хакеров, укомплектованную из лучших студентов-математиков, которые становятся негласной элитой страны.
Профессор информатики из КНДР Ким Хеунг Кванг, в 2004 г. бежавший в Южную Корею,
утверждал, что на службе Пхеньяна 6 тыс. хакеров, которые отчитываются напрямую перед Генеральным бюро разведки. Для сравнения: американское Киберкомандование, созданное Бараком Обамой в 2009 г., насчитывает около 700 военных и гражданских служащих. Киберподразделения в военных службах США
насчитывают 6200 человек. И в Штатах признают опасность угрозы: командующий сил США на Корейском полуострове Винсент Брукс
уверен, что северокорейские хакеры — «одни из лучших в мире и самые организованные». Вице-президент
CrowdStrike Адам Мейерс
соглашается, что КНДР — «это грозный киберпротивник».
«Потенциал Северной Кореи по уничтожению критической инфраструктуры без ядерного оружия в значительной степени игнорируется, но у Пхеньяна достаточно кибернетических возможностей для нанесения серьезного ущерба», —
отмечали Дунхуэй Парк и Джессика Бейер.
Британский парламентский Комитет по обороне в докладе
отметил, что северокорейские кибератаки, по всей видимости, представляют большую угрозу, чем ядерные ракеты. Парламентарии призвали увеличить инвестиции в обеспечение кибербезопасности королевства, но вне рамок оборонного бюджета. При этом англичане посетовали на острую нехватку квалифицированных кадров (с чем Пхеньян не сталкивается).
WSJ разделяет киберподразделения КНДР на три группы, основываясь на заявлениях перебежчиков и южнокорейских исследователей:
«Группа А» атакует иностранные объекты и связана с наиболее громкими кампаниями КНДР, такими, как атаки
WannaCry и
Sony; «Группа В» ориентируется на Южную Корею, военные и инфраструктурные секреты;
«Группа C» выполняет низкоквалифицированную работу — например, целевые атаки по электронной почте.
Однако уместнее оперировать другой классификацией, впервые
использованной экспертами
CrowdStrike(компания имеет клиентов в 170 странах мира, участвовала в расследовании атак на
Sony Pictures и Демократическую партию США). Их методика учитывает не только цели, но и методы группировок. Аналитики использовали корневым словом в названии
Chollima («Чхоллима») — мифического крылатого коня, почитаемого в КНДР.
Группу
Lazarus не стоит считать единой организацией: ее уместно разделить на четыре подразделения:
Stardust Chollima специализируется на «коммерческих атаках», приносящих доход;
Silent Chollima действует против СМИ и государственных учреждений;
Labyrinth Chollima фокусируется на противодействии спецслужбам;
Ricochet Chollima отвечает за хищение конфиденциальных данных пользователей.
В последнее время в Сети замечена еще одна группировка, по всей видимости, не связанная с
Lazarus, старающаяся не попадать в поле зрения и не привлекать к себе внимания:
APT37, причастная к серьезным проникновениям в системы различных государств от Южной Кореи до стран Ближнего Востока.
По словам перебежчиков и южнокорейских экспертов в области киберразведки, перспективных кандидатов начинают отбирать с 11 лет и направляют в специальные школы, где
обучают основам кибербезопасности и разработке компьютерных программ. Киберсолдатам положены соответствующие поблажки: они не беспокоятся о содержании, им доступны продукты, незнакомые другим гражданам, они могут перевезти в Пхеньян всю свои семью. Также киберсолдаты
освобождаются от обязательной воинской обязанности — у них другая служба.
Однако есть и обратная сторона: элитный статус имеют элитные киберсолдаты. Но, как и в каждой армии, есть «пехота», находящаяся совсем в другом положении.
Bloomberg пообщался с северокорейцем Чен Хёком, работавшим в кибервойсках КНДР. В
репортаже содержится огромное количество данных, но проверить достоверность всех утверждений не представляется возможным.
По словам хакера, он не участвовал в громких операциях и занимался исключительно зарабатыванием денег. Чен Хёк попал на факультет компьютерных войск по распределению, учился в Китае, по возвращении на родину поступил в кибервойска, после чего его отправили в КНР на заработки. На компьютер хакеру пришлось заработать самостоятельно: вначале он пользовался ноутбуком соседей по общежитию. Первые деньги Чен Хёк получил за торговлю программным обеспечением, затем занялся взломом программ по заказу, в свободное время разорял игорные сайты, развивал персонажей в онлайн-играх с последующей перепродажей.
Тех хакеров, кто не зарабатывал положенную норму в 100 тыс. долл. в год, отправляли обратно в КНДР. Программистам разрешалось удерживать не больше 10% от прибыли.
После инцидента с госслужащим Чен Хёк сбежал в Бангкок, купив поддельный паспорт, и обратился за помощью в посольство Южной Кореи. Хакеру помогли начать новую жизнь в Сеуле.
Помимо взлома, кибервойска занимаются и другими задачами: по заказу хакеры пишут программы
iOS и
Android, а прибыль поступает в казну КНДР. «Филиалы» северокорейских подразделений рассеяны по всему миру, но большинство хакеров проживают в КНР. Учитывая объемы трафика и тщательный мониторинг интернет-запросов пользователей, китайские власти наверняка в курсе деятельности северокорейцев, однако никаких известных мер против кибермошенников предпринято не было. По всей видимости, КНДР и КНР придерживаются молчаливой конвенции о сетевом ненападении.