EN|FR|RU
Социальные сети:

Новые похождения «северокорейских хакеров»

Константин Асмолов, 06 февраля

675445345234На фоне серии громких историй про «русских хакеров» автор возвращается к теме хакеров северокорейских, благо доказательная база обвинений что в одном, что в другом случае страдает характерными псевдоаргументами.

Вначале – дежурный список громких историй, начиная с марта 2016 года, когда южнокорейские спецслужбы сообщили о попытке хакеров из КНДР взломать сети, управляющие транспортной системой.

12 мая 2016 г. сайт военно-воздушных сил РК подвергся кибератаке. На основе предварительных результатов расследования подтвердить вину Пхеньяна не удалось, но «нельзя исключать возможности его причастности». В тот же день южнокорейские военно-промышленные компании и агенты по торговле оружием получили электронные письма с вирусом, направленные якобы с адреса Корейского агентства оборонных закупок.

В конце мая 2016 г. КНДР обвинили в причастности к нашумевшей краже 81 млн долларов из ЦБ Бангладеш. Атака произошла примерно 4–5 февраля, когда бангладешский регулятор не работал. Всего злоумышленники рассчитывали похитить $951 млн, но списание большей части средств удалось предотвратить.

Как писала The New York Times со ссылкой на экспертов компании Symantec, есть неопровержимые доказательства, что серия хакерских атак на банки, в результате которой был похищен как минимум $81 млн, была организована одной группировкой. Код, который использовали воры, очень напоминает программу, которую использовали компьютерные взломщики при атаке на Sony Pictures в 2014 году, а также южнокорейских банков и медиакомпаний в 2013 году.

Шум был очень громким, но 17 июня того же года после анализа серии атак на 12 азиатских банков следствие связало c причастностью к краже $81 млн хакеров из России, Молдавии и Казахстана. К такому выводу пришли после анализа примененного вредоносного ПО, — в нескольких атаках был задействован нетбот Dridex, который используется кибергруппировками из стран бывшего СССР, в том числе России, Молдавии и Казахстана. Dridex попадает в компьютер через электронную почту и собирает персональные данные пользователя (имя пользователя, пароли и т.д.), которые потом могут быть использованы для доступа в привилегированные сети.

Не исключая, что за атакой на банки могли стоять группировки, использующие Dridex, или северокорейские хакеры, следствие допустило, что вредоносное ПО могло быть продано злоумышленникам на черном рынке. Однако по оценке все той же Symantec, кибергруппировка, использующая Dridex, отличается четкой организацией и дисциплиной, придерживается пятидневной рабочей недели и даже берет паузу на новогодние праздники. Это почти подстегнуло версию причастности КНДР, вот только непонятно, почему пхеньянские хакеры делают перерыв на Рождество. Наверняка из особо конспиративных соображений.

Почти одновременно с этим 31 мая 2016 г. Прокуратура РК пришла к выводу, что произошедшая в 2015 году хакерская атака, связанная с сертификатом подписания кода, является делом рук северокорейских хакеров. Таковые взломали сервер одной из компаний, занимающихся разработкой компьютерных программ, и скопировали материалы о сертификате подписания кода. Эти данные впоследствии были применены в 10 вредоносных программах, распространённых по всемирной сети для того, чтобы проникнуть на сайт одного научного учреждения РК. После этого вредоносными программами были заражены 19 компьютеров 10 правительственных учреждений, связанных с данным сайтом. На северокорейский след указало то, что сервер компании, подвергшийся хакерскому взлому, в течение двух месяцев 26 раз посещался пользователем с северокорейским IP-адресом, принадлежащим КНДР.

13 июня 2016 г., по сообщению Reuters, хакеры из КНДР взломали свыше 140 тысяч компьютеров, работающих в крупных южнокорейских компаниях и госучреждениях, и установили на взломанных компьютерах вредоносное ПО, которое планировалось использовать для масштабной кибератаки. Взлом был осуществлен с северокорейского IP-адреса, с которого в 2013 году были атакованы южнокорейские банки. Целью новой атаки было ПО, используемое в 160 южнокорейских компаниях и ведомствах для управления внутренними сетями. Предположительно, хакеры получили доступ к 42 тысячам 608 файлам, в том числе с информацией об американском истребителе F-15, однако в полиции РК заявили, что серьезной угрозе военные секреты не подверглись. Большинство документов даже не имели грифа ДСП и потому и находились в открытом доступе.

20 июня 2016 г. южнокорейская полиция подтвердила, что обладает секретными доказательствами того, что атаке пхеньянских хакеров должна была подвергнуться единая административная сеть, через которую ведется управление компьютерами многих корпораций и госучреждений, включая компании из группы SK, Hanjin, Korean air, KT. Согласно данным полиции, северокорейские хакеры могли в любое время проникнуть в компьютерные сети компаний, внедрить вредоносный код, который взял бы под контроль 130 тысяч компьютеров.

По оценкам экспертов РК, готовившаяся кибератака могла более чем вдвое превзойти атаку, случившуюся в 2013 году. Тогда нападению подверглись финансовые и вещательные компании, а общий ущерб составил почти 900 млн долларов. С учётом того, что IP-адреса предыдущей и нынешней атак совпадают, можно предположить, что кибератака готовилась в течение долгого времени на государственном уровне, причём Пхеньян намеревался расширить ее масштабы.

22 июля в министерстве научного прогнозирования РК сообщили, что в первой половине этого года количество северокорейских кибератак выросло более чем вдвое по сравнению с тем же периодом прошлого года, что объясняется стремлением Пхеньяна к дестабилизации и созданию недоверия к правительству. Так, хакеры проводят масштабные атаки на смартфоны, в отношении представителей правительства и важных государственных объектов.

11 июля 2016 г. след северян обнаружился в кибератаке на одну из крупнейших южнокорейских торговых интернет-площадок, которая произошла в мае. В результате несанкционированного доступа к серверу владельца сайта Interpark похищена база данных десяти миллионов пользователей, содержащая имена, адреса и номера телефонов клиентов компании. Оказалось, что вредоносный код идентичен тому, что использовался в 2009, 2012 и 2013 годах против южнокорейских государственных органов, финансовых компаний и СМИ, а письмо с требованием выкупа содержало слова и выражения, характерные для северокорейского диалекта и прошло через четыре IP-адреса в трёх странах, но источником был IP-адрес министерства связи и телекоммуникаций КНДР.

2 августа 2016 г. произошла утечка паролей электронной почты 56 сотрудников южнокорейских правительственных учреждений: госслужащим рассылались сообщения о необходимости смены действующего пароля электронной почты по причине его утечки, для чего надо было пройти на специально созданные хакерами 27 сайтов, замаскированные под ведомственные или принадлежащие Google или Naver. Уведомления от хакеров получили 90 человек, среди которых сотрудники МИД, министерства обороны, научных учреждений, связанных с изучением КНДР, а также сотрудников СМИ. Опять же, использованные хакерами IP и сервер были идентичны тем, которые применялись во время кибератаки на Корейскую корпорацию гидро- и атомной энергетики.

Похожая атака была совершена в ноябре — южнокорейским пользователям рассылался файл, озаглавленный «Обеспокоенность Республики Корея». В файле была различная информация о скандале вокруг Пак Кын Хе и Чхве Сун Силь, но с открытием в компьютер пользователя проникала троянская программа, которая начинала похищать информацию.

Как обычно, «удалось установить», что первоначальным отправителем сообщений был IP-адрес, расположенный в Пхеньяне. Чтобы скрыть северокорейский след, отправители использовали прокси-серверы в США, откуда затем и шла рассылка в Южную Корею, но такой же IP-адрес из Пхеньяна использовался и 20 марта 2013 года, когда северокорейские хакеры осуществили серию атак на сайты различных СМИ и финансовых институтов РК. Поэтому в Сеуле уверены, что и недавние атаки являются делом рук северокорейских хакеров.

25 января 2017 г. «северокорейские хакеры, возможно, совершили атаку на сайт крупного южнокорейского оборонного предприятия». Формат кибератаки — wormhole hacking, когда вирус ворует информацию лиц, посещающих сайт.

Теперь поговорим о том, как «выявляется северокорейский след» и почему подобные аргументы некорректны.

  • «Похожее программное обеспечение применялось во время предыдущих атак северокорейских хакеров». Даже если вынести за скобки вопрос, точно ли предыдущие атаки были северокорейскими, можно отметить, что уникального хакерского ПО немного, и большинство взломщиков применяют ограниченный набор средств. А там где ПО названо по имени, оно точно не северокорейское;
  • «Это был айпи из КНДР». Программы подмены айпи распространены еще больше, чем хакерские: по сути, любой браузер с функцией VPN позволяет выдавать себя за пользователя другой страны. И да, 26 посещений за два месяца – на самом деле очень мало;
  • «Атака проводилась из Шэньяна, значит, это точно северокорейцы». Ну да, раз из Китая, значит, это КНДР. Хотя китайские спецслужбы и аффилированные с ними хакеры известны кибератаками на своих противников;
  • «У нас есть секретные доказательства» (но мы их вам не покажем, потому что они секретные). Без комментариев.

На этом фоне забывается, что:

  • воровать чужие электронные подписи — довольно типичный бизнес киберпреступников, учитывая полезность сертификатов подписи ПО от Microsoft;
  • Южная Корея лидирует по числу незащищенных или плохо защищенных точек доступа Wi-Fi: 47,9% точек в Корее очень уязвимы;
  • по данным доклада, опубликованного компанией провайдером интернет-услуг Akamai Korea, в первом квартале текущего года в РК совершено 4,500 DDoS-атак, на четверть больше, чем за тот же период прошлого года, причем мощность 19 из них превысила 100 Гбит в секунду. Первое место по числу DDoS-атак занял Китай, на долю которого пришлись 27,2% всех DDoS-атак, совершённых в мире;
  • доказательства причастности определенного компьютера бывают, когда компьютер физически берут и исследуют его, доказывая, что именно отсюда шла атака;
  • Атаки на КНДР, в отличие от рассказов Юга, реальны. В марте 2013 года против республики развернули настоящую радиоэлектронную войну, и на ее территории было блокировано подключение к интернету. А в январе 2015 года американская газета The New York Times сообщила, что в 2010 году Агентство национальной безопасности (АНБ) США проникло в компьютерные сети КНДР. По данным The New York Times, АНБ удалось внедрить в сети КНДР шпионское программное обеспечение, которое помогало, в частности, отслеживать работу интересовавших американскую разведку компьютеров.

Так что на самом деле мы имеем дело с привычкой объявлять северокорейский след в случае любой более-менее громкой кибератаки, вне зависимости от того, кто это мог быть на самом деле. Враг демонизируется, бдительность повышается, а растет ли при этом непосредственный уровень кибербезопасности – вопрос.

Константин Асмолов, кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Института Дальнего Востока РАН, специально для интернет-журнала «Новое Восточное Обозрение».