Северокорейские хакеры или южнокорейское разгильдяйство?

Таинственные «боевые хакеры КНДР», как выяснилось, нанесли новый удар: Южная Корея обвинила Северную в хакерских атаках на компьютерные системы своих АЭС, совершенные в конце 2014 г. Выяснилось, что компьютеры, с которых производилась атака, находятся на северо-востоке КНР в Шэньяне, а также ряде других городов, расположенных недалеко от границы с КНДР. Было также выявлены и другие совпадения с предыдущими хакерскими атаками, которые приписывают Пхеньяну.

Напомним, что в декабре прошлого года неизвестные «представители антиядерной группы из Гавайев» взломали и выложили в открытый доступ информацию о личных данных сотрудников компании-оператора АЭС, а также чертежи некоторых узлов реакторов. Те же хакеры объявились недавно снова, опять выложив новые чертежи ряда ключевых узлов южнокорейских АЭС. На этот раз они потребовали денег за свое молчание, утверждая, что из 16 тысяч запущенных ими вирусов найдено и обезврежено только семь тысяч. В ответ власти РК заявили, что некоторые из личных и рабочих компьютеров сотрудников компании-оператора АЭС действительно были заражены, но все эти программы нейтрализованы, а безопасности атомных реакторов ничто не угрожает.

Как сообщил представитель прокуратуры, «характер использованных IP-адресов и кодов примерно на 70 % совпадает» по составу и методам воздействия с вредоносным программным обеспечением, которое используют северокорейские хакеры, желавшие «затруднить эксплуатацию южнокорейских АЭС путём повреждения жёстких дисков компьютеров». Как установило следствие, кибератака была совершена между 9 и 12 декабря 2014 г. путем рассылки  на адреса электронной почты сотрудников корпорации фишинговых писем с вредоносным кодом. Злоумышленники более двухсот раз проводили подключения из китайского города Шэньяна, где, по мнению прокуратуры, расположена одна из основных баз северокорейских хакеров.

Что же, каждый раз, когда объектом хакерской атаки становятся крупный банк или важное предприятие, немедленно выясняется, что это были северокорейские хакеры. Даже в том случае, когда какое-то время спустя на поверхность всплывают отголоски корпоративного скандала, связанного с вопиющей безответственностью внутри компании. Так, не все помнят, что в марте 2013 г. официальные власти РК сообщили, что нашумевшая атака против ряда телекомпаний и банков была осуществлена с территории РК, а не с китайского IP , как это заявлялось ранее. Не упоминая, кто же именно стоял за атакой, было заявлено, что борцы с киберугрозой спутали частный адрес, используемый внутри банка Нонхёп, с официальным IP, относящемся к КНР. Более того, применительно к самой разрекламированной атаке всего через четыре дня выяснилось, что на самом деле атаки шли из РК, и предполагаемый хакер был арестован.

Честно говоря, если хакеры и впрямь «хотели затруднить эксплуатацию южнокорейских АЭС путём повреждения жёстких дисков компьютеров», а равно – «опубликовать в сети конфиденциальные документы корпорации», то это означает, что управляющие АЭС компьютеры с программным обеспечением — те же подключенные к интернету машины, на которых находится взломанная почта сотрудников? Если так, то либо налицо вопиющие проблемы в системах безопасности, либо был всего лишь взлом почты, отчего хакерам оказалась доступной вся переписка, которую хранили на гугл-диске.

Но одно дело – продемонстрировать широкой публике собственное разгильдяйство, а другое – стать жертвой секретных компьютерных служб ужасного тоталитарного режима. Почувствуйте разницу, не забывая про «закон Стоунфиша»: Северная Корея – она же такая таинственная и закрытая, что в ней может происходить все, что угодно. Северокорейские хакеры могут проникать во внутреннюю сеть компании, которая не связана «с внешним миром», но при этом использовать приемы из арсенала компьютерных хулиганов старшей школы. Это отнюдь не знаменитый Stuxnet – то вредоносное программное обеспечение, которое вывело из строя иранские системы управления центрифугами (производство Siemens, работает под управлением Windows, без подключения к интернету).

Затем все базы северокорейских хакеров почему-то всегда обнаруживаются в Китае. То, что со времени появления нового руководителя КНР отношения между двумя странами существенно охладели, да и вообще – Пекин не любит, когда Китай используют в качестве прикрытия для чужих тайных операций, никого не волнует. Зато есть железный аргумент: по типу эти хакерские атаки похожи на предыдущие атаки, которые мы сочли продуктом деятельности Северной Кореи. Правда, похожие приемы (точнее, типы программного обеспечения) можно найти не только в атаках на южнокорейские сайты, но и в иных атаках, не имеющих к Северной Корее никакого отношения, а исходный код этих программ уже достаточно давно находится в открытом доступе, в связи с чем им может пользоваться любой киберпреступник. IP-адреса здесь не показатель, ибо сколько-нибудь вменяемый хакер, приобретший возможность посылать сообщения с сети адресов (так называемый ботнет) даже минимального размера, не светит и не собирается светить IP кроме тех, на которых работает ботнет.

В этом контексте нельзя не вспомнить еще одну «северокорейскую кибератаку», связанную с фильмом «Интервью». Там тоже, несмотря на целый ряд нестыковок, виновником назначили КНДР и под этим соусом приняли против нее дополнительные санкции, хотя с самого начала напрашивался вопрос «Откуда у предполагаемых северокорейских хакеров даже не техническая мощность, необходимая для осуществления подобной атаки, а такое совершенное знание культурного контекста США»? Как набор украденного, так и то, куда информация была выложена и каким журналистам «слита», говорит о том, что хакеры очень хорошо знают именно внутриамериканскую аудиторию.

Резюмируя: практически в каждом случае «северокорейской кибератаки» на поверхность вылезают обычные коррупция и разгильдяйство, а реальная причастность КНДР оказывается под большим вопросом. Зато благодаря «хакерской версии» убивается несколько зайцев. Разгильдяй превращается в жертву, Пхеньян получает +1 к демонизации, а на борьбу с вражескими хакерами можно выбить дополнительные средства, ведь северокорейская компьютерная угроза – это же так опасно!

Константин Асмолов, кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Института Дальнего Востока РАН, специально для Интернет-журнала «Новое Восточное Обозрение».