На фоне серии громких историй про «русских хакеров» автор возвращается к теме хакеров северокорейских, благо доказательная база обвинений что в одном, что в другом случае страдает характерными псевдоаргумента
Вначале – дежурный список громких историй, начиная с марта 2016 года, когда южнокорейские спецслужбы сообщили о попытке хакеров из КНДР взломать сети, управляющие транспортной системой.
12 мая 2016 г. сайт военно-воздушных сил РК подвергся кибератаке. На основе предварительных результатов расследования подтвердить вину Пхеньяна не удалось, но «нельзя исключать возможности его причастности». В тот же день южнокорейские военно-промышлен
В конце мая 2016 г. КНДР обвинили в причастности к нашумевшей краже 81 млн долларов из ЦБ Бангладеш. Атака произошла примерно 4–5 февраля, когда бангладешский регулятор не работал. Всего злоумышленники рассчитывали похитить $951 млн, но списание большей части средств удалось предотвратить.
Как писала The New York Times со ссылкой на экспертов компании Symantec, есть неопровержимые доказательства, что серия хакерских атак на банки, в результате которой был похищен как минимум $81 млн, была организована одной группировкой. Код, который использовали воры, очень напоминает программу, которую использовали компьютерные взломщики при атаке на Sony Pictures в 2014 году, а также южнокорейских банков и медиакомпаний в 2013 году.
Шум был очень громким, но 17 июня того же года после анализа серии атак на 12 азиатских банков следствие связало c причастностью к краже $81 млн хакеров из России, Молдавии и Казахстана. К такому выводу пришли после анализа примененного вредоносного ПО, — в нескольких атаках был задействован нетбот Dridex, который используется кибергруппировка
Не исключая, что за атакой на банки могли стоять группировки, использующие Dridex, или северокорейские хакеры, следствие допустило, что вредоносное ПО могло быть продано злоумышленникам на черном рынке. Однако по оценке все той же Symantec, кибергруппировка
Почти одновременно с этим 31 мая 2016 г. Прокуратура РК пришла к выводу, что произошедшая в 2015 году хакерская атака, связанная с сертификатом подписания кода, является делом рук северокорейских хакеров. Таковые взломали сервер одной из компаний, занимающихся разработкой компьютерных программ, и скопировали материалы о сертификате подписания кода. Эти данные впоследствии были применены в 10 вредоносных программах, распространённых по всемирной сети для того, чтобы проникнуть на сайт одного научного учреждения РК. После этого вредоносными программами были заражены 19 компьютеров 10 правительственны
13 июня 2016 г., по сообщению Reuters, хакеры из КНДР взломали свыше 140 тысяч компьютеров, работающих в крупных южнокорейских компаниях и госучреждениях, и установили на взломанных компьютерах вредоносное ПО, которое планировалось использовать для масштабной кибератаки. Взлом был осуществлен с северокорейского IP-адреса, с которого в 2013 году были атакованы южнокорейские банки. Целью новой атаки было ПО, используемое в 160 южнокорейских компаниях и ведомствах для управления внутренними сетями. Предположительно
20 июня 2016 г. южнокорейская полиция подтвердила, что обладает секретными доказательствами того, что атаке пхеньянских хакеров должна была подвергнуться единая административная сеть, через которую ведется управление компьютерами многих корпораций и госучреждений, включая компании из группы SK, Hanjin, Korean air, KT. Согласно данным полиции, северокорейские хакеры могли в любое время проникнуть в компьютерные сети компаний, внедрить вредоносный код, который взял бы под контроль 130 тысяч компьютеров.
По оценкам экспертов РК, готовившаяся кибератака могла более чем вдвое превзойти атаку, случившуюся в 2013 году. Тогда нападению подверглись финансовые и вещательные компании, а общий ущерб составил почти 900 млн долларов. С учётом того, что IP-адреса предыдущей и нынешней атак совпадают, можно предположить, что кибератака готовилась в течение долгого времени на государственном уровне, причём Пхеньян намеревался расширить ее масштабы.
22 июля в министерстве научного прогнозирования РК сообщили, что в первой половине этого года количество северокорейских кибератак выросло более чем вдвое по сравнению с тем же периодом прошлого года, что объясняется стремлением Пхеньяна к дестабилизации и созданию недоверия к правительству. Так, хакеры проводят масштабные атаки на смартфоны, в отношении представителей правительства и важных государственных объектов.
11 июля 2016 г. след северян обнаружился в кибератаке на одну из крупнейших южнокорейских торговых интернет-площадо
2 августа 2016 г. произошла утечка паролей электронной почты 56 сотрудников южнокорейских правительственны
Похожая атака была совершена в ноябре — южнокорейским пользователям рассылался файл, озаглавленный «Обеспокоенность Республики Корея». В файле была различная информация о скандале вокруг Пак Кын Хе и Чхве Сун Силь, но с открытием в компьютер пользователя проникала троянская программа, которая начинала похищать информацию.
Как обычно, «удалось установить», что первоначальным отправителем сообщений был IP-адрес, расположенный в Пхеньяне. Чтобы скрыть северокорейский след, отправители использовали прокси-серверы в США, откуда затем и шла рассылка в Южную Корею, но такой же IP-адрес из Пхеньяна использовался и 20 марта 2013 года, когда северокорейские хакеры осуществили серию атак на сайты различных СМИ и финансовых институтов РК. Поэтому в Сеуле уверены, что и недавние атаки являются делом рук северокорейских хакеров.
25 января 2017 г. «северокорейские хакеры, возможно, совершили атаку на сайт крупного южнокорейского оборонного предприятия». Формат кибератаки — wormhole hacking, когда вирус ворует информацию лиц, посещающих сайт.
Теперь поговорим о том, как «выявляется северокорейский след» и почему подобные аргументы некорректны.
- «Похожее программное обеспечение применялось во время предыдущих атак северокорейских хакеров». Даже если вынести за скобки вопрос, точно ли предыдущие атаки были северокорейскими
, можно отметить, что уникального хакерского ПО немного, и большинство взломщиков применяют ограниченный набор средств. А там где ПО названо по имени, оно точно не северокорейское; - «Это был айпи из КНДР». Программы подмены айпи распространены еще больше, чем хакерские: по сути, любой браузер с функцией VPN позволяет выдавать себя за пользователя другой страны. И да, 26 посещений за два месяца – на самом деле очень мало;
- «Атака проводилась из Шэньяна, значит, это точно северокорейцы». Ну да, раз из Китая, значит, это КНДР. Хотя китайские спецслужбы и аффилированные с ними хакеры известны кибератаками на своих противников;
- «У нас есть секретные доказательства» (но мы их вам не покажем, потому что они секретные). Без комментариев.
На этом фоне забывается, что:
- воровать чужие электронные подписи — довольно типичный бизнес киберпреступнико
в, учитывая полезность сертификатов подписи ПО от Microsoft; - Южная Корея лидирует по числу незащищенных или плохо защищенных точек доступа Wi-Fi: 47,9% точек в Корее очень уязвимы;
- по данным доклада, опубликованного компанией провайдером интернет-услуг Akamai Korea, в первом квартале текущего года в РК совершено 4,500 DDoS-атак, на четверть больше, чем за тот же период прошлого года, причем мощность 19 из них превысила 100 Гбит в секунду. Первое место по числу DDoS-атак занял Китай, на долю которого пришлись 27,2% всех DDoS-атак, совершённых в мире;
- доказательств
а причастности определенного компьютера бывают, когда компьютер физически берут и исследуют его, доказывая, что именно отсюда шла атака; - Атаки на КНДР, в отличие от рассказов Юга, реальны. В марте 2013 года против республики развернули настоящую радиоэлектронную войну, и на ее территории было блокировано подключение к интернету. А в январе 2015 года американская газета The New York Times сообщила, что в 2010 году Агентство национальной безопасности (АНБ) США проникло в компьютерные сети КНДР. По данным The New York Times, АНБ удалось внедрить в сети КНДР шпионское программное обеспечение, которое помогало, в частности, отслеживать работу интересовавших американскую разведку компьютеров.
Так что на самом деле мы имеем дело с привычкой объявлять северокорейский след в случае любой более-менее громкой кибератаки, вне зависимости от того, кто это мог быть на самом деле. Враг демонизируется, бдительность повышается, а растет ли при этом непосредственный уровень кибербезопасност
Константин Асмолов, кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Института Дальнего Востока РАН, специально для интернет-журнала «Новое Восточное Обозрение».