Последний раз мы касались темы северокорейских хакеров, когда Министерство финансов США ввело санкции против хакера Пак Чин Хёка из КНДР и северокорейской компании Chosun Expo Joint Venture, на которую он работал в качестве программиста, в связи с кибератаками, проведенными по заданию Пхеньяна.
После этого мы столкнулись с просьбой рассказать поподробнее о том, на каком уровне находится северокорейское «хакерское дело», и хотя из-за скудости источников полной картины дать нельзя, вот несколько фактов.
25 августа 2018 г. американская радиостанция «Свободная Азия» сообщила, что 1-2 октября в Пхеньяне состоится международная конференция по технологиям блокчейн и криптовалютам. Как сообщил очередной анонимный эксперт, планируется не только конференция но и «переговоры между северокорейскими деловыми кругами и экспертами в данной теме». Затем новость подавалась как пример того, что КНДР намерена продемонстрировать собственные достижения в передовых технологиях, которые позволяют обеспечить высокую безопасность транзакций, прозрачность переводов и движений средств, сохранение анонимности при полном доступе ко всей хранимой информации, однако новости о том, что в указанное время конференция действительно состоялась, автору не попадались.
Зато в августовском номере журнала на английском языке, выпускаемом южнокорейским научным обществом Korean Society for Internet Information, размещена научная работа по компьютерным технологиям авторства шести северокорейских учёных. В работе был рассмотрен вопрос повышения скорости обработки данных при их сохранении в облачном хранилище, а также изложены новейшие методы применения технологий искусственного интеллекта, основанных на биотехнологиях. Сообщается, что северокорейские учёные изъявили желание разместить статью в журнале ещё в апреле, после чего материал проходил процедуру его оценки и рецензирование, и в итоге статья оказалась вполне достойной научного журнала южнокорейского образца.
7 ноября в КНДР в Храме науки и техники (данное заведение сочетает качества крупнейшей электронной библиотеки страны и аналога политехнического музея) открылась «29-ая общенациональная выставка успехов информационной технологии», на которой было представлено более 800 экспонатов в девяти секциях. На платформе выставки прошел конкурс программ (в том числе машинного перевода или распознавания лиц и голоса), а также лекции о тенденциях развития информационных технологий.
Вообще, Северная Корея постепенно расширяет доступ к интернету. В ближайшее время должны получить свободный доступ студенты университетов. Как считает Американский кореец Пак Чхан Мо, ректор Пхеньянского университета науки и техники (первого частного университета в Северной Корее), «Программные технологии Северной Кореи достигли уровня, сопоставимого с уровнем развитых стран, и это было доказано на многих международных конкурсах программного обеспечения и кодирования».
Кстати, если еще в 2008 г. на 24-25 млн жителей КНДР приходилось около 550 тыс. мобильных телефонов. Сегодня, по информации министерства объединения РК, это число оценивается примерно в 6 миллионов среди ее населения в 25 миллионов, причем каждое устройство стоит от 100 до 200 долларов США.
Еще одна недавняя новость — Северная Корея внедрила технологию распознавания лиц для управления записями людей, входящих и выходящих из некоторых государственных объектов. На веб-сайте Meari говорится, что научно-исследовательский институт университета Ким Ир Сена в Пхеньяне разработал технологию и что система распознавания лиц была установлена в больнице в столице и других зданиях. Заметим, что еще в октябре 2012 года Нодон синмун сообщала о том, что ученые страны уделяют особое внимание разработке продуктов распознавания лиц «мирового класса».
Разговоры о северокорейских хакерах тоже продолжают периодически всплывать, однако можно обратить внимание на специфическую деталь: главный месседж подобных сообщений в том, что взломщики из Пхеньяна маскируются под русских.
Так, в докладе американской компании FireEye северокорейцами оказывается известная группа хакеров APT38, причастная к финансовым преступлениям. Созданный ими вирус NACHOCHEESE «содержал плохо переведенные на русский язык строки кода — скорее всего для того, чтобы сбить с толку следствие».
Можно найти в СМИ и информацию о том, что в начале 2018 года Пхеньян разместил в Google Play три приложения, призванных собирать данные о перебежчиках с Севера, обосновавшихся в других странах, прежде всего в Южной Корее. Два этих приложения были замаскированы под программы, усиливающие безопасность устройства пользователя, третье — под программу о содержащихся в еде ингредиентах. В реальности же все три программы собирали информацию об устройстве, личные фотографии, а также копировали контакты и текстовые сообщения, а специалисты фирмы по кибербезопасности McAfee обнаружили в коде программ «уникальные корейские слова, не используемые жителями Южной Кореи, что говорило о причастности именно Пхеньяна».
Привлекает внимание и заявление некоторых газет РК о хакерских атаках на министерство по делам воссоединения перед проведением межкорейского саммита в Пхеньяне в сентябре 2018 года. По словам представителя ведомства, хакерские атаки продолжались в течение всего года, однако о северокорейском следе и тем более его доказательствах открыто не говорили.
22 ноября 2018 г. на совещании закрытого совещания комитета по делам разведки РК было отмечено, что точно известно о продолжении хакерских атак в мире, осуществляемых КНДР. По-видимому, речь шла об инциденте, в ходе которого с адресов по меньшей мере двух высоких должностных лиц администрации Мун Чжэ Ина рассылались электронные письма, «направленные на создание раскола между Южной Кореей и Соединенными Штатами». Ссылаясь на получателей этих писем, администрация президента РК заявила, что это были либо попытки украсть секретную информацию о политике Северной Кореи, либо вбить клин в альянс РК и США, с использованием поддельных документов.
Размах скандала был связан с тем, что 27 ноября газета «Asia Business Daily» опубликовала статью о недоверии США к Южной Корее на основании подобной «подделки». Спикер Голубого дома Ким Ый Гём назвал это «самым злонамеренным случаем в истории журналистики», и добавил, что на тех, кто за это ответственен, «начинается охота»
В первом случае некто отправил письма от имени секретаря президента по государственным делам Юн Гын Ёна, требуя, чтобы получатели сдали ему цифровые документы, связанные с политикой Северной Кореи. Однако один из получателей письма удивился, что документы надо отправлять на личную почту Юна, а не его официальный электронный адрес в Голубом Доме. Он позвонил Юну и выяснилось, что, похоже, злоумышленники взломали его почтовый ящик, которым тот не пользовался много лет, а судя по IP, человек, писавший от имени Юна, делал это из-за границы.
Во всяком случае, такова официальная версия, и до сих пор непонятно, какой объем конфиденциальной или секретной информации получил владелец взломанной почты.
Во втором случае кто-то выдал себя за сотрудников службы кибербезопасности и отправил электронные письма десяткам экспертов по безопасности. К письму прилагался файл PDF «Оценка ситуации на Корейском полуострове и в Северо-Восточной Азии», в котором отмечалось, что несогласие между Южной Кореей и США относительно методов денуклеаризации КНДР увеличивается, а недоверие Вашингтона к Сеулу растет.
Asia Business Daily сообщила об этом, как если бы файл был реальным текстом, однако Голубой Дом объявил, что документ был подделан, указывая, что его шрифт, стиль и другие детали полностью отличаются от принятых в Чхонвадэ.
В декабре 2018 г. в южнокорейском центре переселения «Ханавон» в провинции Северный Кенсан один из компьютеров оказался заражен вирусом, отчего хакерам оказались доступны имена, даты рождения и адреса 997 перебежчиков из Северной Кореи. В министерстве объединения подчеркнули, что эта утечка стала крупнейшим инцидентом подобного рода. Ведомство совместно с полицией ведет расследование, пытаясь выяснить, кто стоит за кибератакой. Ибо, как мы помним, нередко такую информацию получают брокеры для того, чтобы продолжать подвергать беженцев рэкету и не только.
Последний инцидент относится к январю 2019 г. Электронное письмо со сжатым файлом, предположительно содержащее вредоносный код, было отправлено десяткам репортеров, в основном тех, кто освещает отношения с Северной Кореей или членам пресс-корпуса министерства объединения. Отправитель — частный адрес электронной почты от человека по имени Юн Хон Гын, и, как отметил представитель министерства Пэк Тхэ Хен, «сначала этого года многие попытки взлома и кибератаки были осуществлены теми, кто маскировался под правительство и Минобъединения». Информация передана в соответствующие органы, и анонимный технический эксперт, который проанализировал электронное письмо, сказал, что оно могло произойти из Северной Кореи, на основе имен прикрепленных файлов и того, как оно вписывается в шаблон атак. Правда, в отличие от времен правления консерваторов, он все же отметил, что необходимо больше времени для определения того, кто осуществил атаку, учитывая, что сам код и способ его проникновения в компьютерную систему относительно редки.
Неясно, насколько новая президентская администрация прекратила вешать все неприятности на происки хакеров из КНДР, или это временная мера на почве диалога. Автор по-прежнему будет стараться отслеживать новости на данную тему в развитие предыдущих исследований.
Константин Асмолов, кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Института Дальнего Востока РАН, специально для интернет-журнала «Новое Восточное Обозрение».