Тема северокорейских хакеров кажется неизбывной и, на фоне очередного всплеска разоблачающих материалов про них, стоит в очередной раз оценить, в чем их обвиняют и насколько это верно.
30 мая 2019 г. радиостанция Голос Америки сообщила, что, по мнению спецслужб США, в связи с экономическими сложностями из-за санкций, КНДР активизировала кибератаки на банки и другие финансовые учреждения с целью получения средств. Глава Интеграционного центра сбора информации о киберугрозах при Национальной службе разведки Эрин Чо указывал, что северокорейские кибератаки нацелены на сбор виртуальной валюты, что является относительно новым способом кражи средств.
Наделало шуму в СМИ и выступление бывшего старшего советника Госдепартамента США Бальбины Хван в августе 2019 г. Приглашенный профессор Джорджтаунского университета комментировала статью Associated Press, в которой цитировался доклад Совета Безопасности ООН о том, что Северная Корея использует киберпространство «для запуска все более сложных атак, чтобы украсть средства у финансовых учреждений и криптовалютных бирж». Сильнее всего пострадала Южная Корея, ставшая жертвой 10 северокорейских кибератак, за ней последовали Индия с тремя атаками и Бангладеш и Чили с двумя атаками.
Оказывается, южнокорейская Bithumb, одна из крупнейших криптовалютных бирж в мире, была атакована по меньшей мере четыре раза: две атаки в феврале и июле 2017 года привели к потерям примерно в $7 млн, атака в июне 2018 года привела к потере $31 млн, а атака в марте 2019 года — к потере $20 млн.
13 сентября 2019 г. Министерство финансов США внесло в санкционный список «три хакерские группы из КНДР» — Lazarus Group, Bluenoroff и Andariel. По мнению минфина, Lazarus Group в 2014 года провела кибератаку на Sony Pictures, а также заразила вирусами 300 тыс. компьютеров в 150 странах мира. Bluenoroff пыталась украсть 1 млрд 100 млн долларов в различных финансовых институтах, в том числе 80 млн долларов в Центральном банке Бангладеш. Andariel подозревается в преступлениях против правительства РК и инфраструктуры, в том числе в попытке выкрасть секретную военную информацию.
В конце сентября 2019 г. эксперты «Лаборатории Касперского» обнаружили в сетях индийских финансовых организаций и исследовательских центров неизвестное ранее шпионское программное обеспечение Dtrack, разработанное все той же группировкой Lazarus. Malware может удаленно контролировать зараженное устройство, в том числе загружать и выгружать данные, имея сходство с DarkSeoul — программой, которая имеет отношение к кибератаке на Южную Корею в 2013 году.
В октябре 2019 г. специалист по безопасности компьютеров Mac в софтверной компании Jamf Патрик Уордл сообщил, что «хакеры, предположительно работающие на деньги властей КНДР», нашли способ получить доступ к компьютерам Mac. В этом им помогает фейковое приложение для купли-продажи криптовалюты — для того, чтобы сделать его более правдоподобным, хакеры учредили подставную компанию JMT Trading и завели ей презентабельный сайт.
В январе 2020 г. российская компания «Лаборатория Касперского» сообщила, что группа Lazarus накопила большие запасы криптовалюты, используя популярное и ориентированное на конфиденциальность приложение Telegram. В результате ссылки на вредоносные группы Telegram можно найти на большинстве поддельных веб-сайтов. Кроме того, Lazarus разрабатывает и запускает многочисленные поддельные веб-сайты, например UnionCryptoTrader, которые маскируются под криптовалютные торговые платформы или ICO, но вместо этого крадут конфиденциальные данные пользователей. Более того, malware от Lazarus способно загружаться исключительно в память устройств (RAM), минуя жесткие диски, что делает его еще более опасным.
С хакерами пытались связать инцидент, когда в январе 2020 г. 16 северокорейских программистов в Камбодже были признаны работающими нелегально и получили приказ покинуть страну. Однако вскоре стало известно, что это были не хакеры, а кибер-отходники, работавшие на китайскую онлайн-игорную компанию.
17 февраля 2020 г. базирующаяся в Сеуле группа безопасности ESTsecurity сообщила, что, вероятно, северокорейские хакеры взломали мобильный телефон бывшего северокорейского дипломата Тхэ Ен Хо, перебежавшего на юг в 2016 году. Используя все тот же фишинг, хакеры заполучили его новое имя, текстовые разговоры, фотографии и другую информацию. По утверждению экспертов, схемы атак были похожи на те, которые ранее использовались северокорейскими хакерскими группами, такими как «Geumseong121», которая ранее атаковала сайты правительственных ведомств, организаций, связанных с Северной Кореей, и представителей СМИ. Название группы достаточно патриотическое. Чтобы походить на северокорейскую, но «есть вероятность, что другая хакерская группа использовала такие схемы атак, чтобы создать впечатление, что она является северокорейской группой». Как пояснил Est Security Мун Чжон Хён, Geumseong121, за которой, по мнению южнокорейских экспертов, стоят спецслужбы КНДР, смогла взломать мобильные телефоны ряда местных граждан, которые по роду своей деятельности имеют отношение к северокорейской проблематике и внешней политике, включая Тхэ Ён Хо. Мун пояснил, что рассылались сообщения или письма по электронной почте, озаглавленные как «информация по Северной Корее», где была гиперссылка, при переходе по которой в устройство загружалось программное обеспечение, позволяющие извлекать данные.
2 марта 2020 г. Минюст США предъявил двум гражданам КНР, Тянь Иньину и Ли Цзядуну, обвинение в отмывании денег. Пока в деле два эпизода на более чем $100 млн, но, согласно результатам совместного расследования американских спецслужб и южнокорейской полиции, с конца 2017 г. северокорейские хакеры похитили с криптовалютных бирж и отмыли с помощью китайских товарищей около четверти миллиарда долларов, которые пошли на финансирование ракетно-ядерной программы КНДР. Это не первое такое обвинение – в 2017 г. США утверждали, что китайская компания Mingzheng International Trading Ltd была «ширмой» для находящегося под санкциями северокорейского банка. Сумма претензий составила $1,9 млн.
23 марта 2020 г. полиция Кипра выпустила предупреждение, в котором говорится, что они получили ряд жалоб на телефонные звонки, которые, по-видимому, поступают из Северной Кореи, так как номер телефона начинается с 00850 (код КНДР). Предполагается, что это мошенничество, приводящее к тому, что получатели будут переплачивать.
Все эти страшные истории, к сожалению, имеют большую проблему с доказательной базой, и в свое время автор посвятил им целое исследование. Поэтому просто напомним:
- Аргумент о том, что в данной атаке были замечены элементы кода, применяемого хакерами из КНДР, некорректен. Уникального хакерского программного обеспечения немного, и большинство взломщиков применяют ограниченный набор средств. Заимствование элементов кода является повсеместной практикой для экономии времени, а также с целью ложно обвинить непричастную сторону. А с учетом того, что причастность КНДР и к предыдущим атакам может быть под вопросом, «доказательство» на самом деле подменяется экстраполяцией и создает порочный круг, когда одно «хайли лайкли» нагромождается на другое, но в выводах это «возможно» исчезает, и на причастность КНДР указывается как на доказательство.
- «Лингвистическое» доказательство северокорейского следа на основании общих элементов кода – тоже довольно ущербное: любая преступная группа может внести в свой вредоносный код какое-нибудь северокорейское словечко типа «чхоллима», чтобы правоохранители искали в другом месте.
- Программы подмены IP или телефонного номера распространены еще больше, чем хакерские: по сути, любой браузер с функцией VPN позволяет выдавать себя за пользователя другой страны.
- Разговоры о взломе закрытой системы, не подключенной к интернету (куда относятся обычно и внутренние серверы банков) вызывают вопрос – КАК? Вирус нужно неким образом занести, требуется принципиальная возможность доступа к объекту «со стороны интернета». И если такой физической возможности нет, проще искать не вредоносную программу из ниоткуда, а инсайдера. Либо речь идет о таком уровне халатности, при котором эта сеть не была полностью изолирована от внешнего мира.
- Громкие утверждения класса «Х могла быть причастна к У» являются спекулятивными, если не сопровождаются хотя бы какими-то основаниями. То же самое касается фраз класса «группировки, связанные с Пхеньяном»: такое утверждение не аксиома, факт связи стоит доказать чем-то большим, чем «они работают против его врагов». Вдобавок с учетом закрытости КНДР названия групп наподобие Lazarus Group, Bluenoroff и Andariel смотрятся фантастично по сравнению с Geumseong121.
- Вообще, по поводу Lazarus в экспертном сообществе ведутся активные споры, «чьи это хакеры». Особенно радует постоянно используемое в рассказах про группировку внутреннее разделение с использованием слова «чхоллима», обозначающего легендарного крылатого коня, пробегающего тысячу ли в день, который долго был символом северокорейских темпов, но уже минимум пару лет его скорость увеличилась в 10 раз, и теперь принято говорить о темпах «маллима».
Впрочем, мошенничество в сфере IT начинает распространяться не только в самой Северной Корее: там, где есть более чем 600 000 пользователей мобильных телефонов, появляются и телефонные мошенники. По словам перебежчиков, преступники притворяются правоохранителями или финансовыми инспекторами, которые угрожают арестовать их, если они не переведут деньги куда следует. Такие аферы работают, потому что жертвы не могут проверить, настоящий ли чиновник им звонил.
Скорее всего, к КНДР или просеверокорейским хакерам имеют отношение попытки т.н. фишинга, когда жертва получает письмо с приложением, попытка открыть которое приводит к утрате пароля и другой личной информации. В сентябре 2019 г. такие письма с вредоносными ссылками или вложениями пришли нескольким людям, занимающимся КНДР. Такие атаки случаются с 2010 г. и обычно исполняются с адресов, похожих на адреса госучереждений или иных специалистов по Северной Корее.
В опубликованном в январе 2020 г. докладе компании по кибербезопасности Palo Alto Networks отмечается, что «группа хакеров, подозреваемых в связях с Северной Кореей», атаковала исследователей, работающих над проблемами КНДР новым типом вредоносного ПО. Хакеры слали электронные письма с шестью различными документами Microsoft Word на русском языке, которые содержали вредоносные макросы, направленные на предоставление злоумышленникам контроля над устройством.
Последняя фишинговая атака была совершена в конце февраля 2020 г.
Подводя итоги: похоже, что складывается интересная ситуация. Уровень санкций вынуждает КНДР искать новые источники дохода, а поскольку цифровая активность не входит в санкционный список или сложно отслеживается, на Севере начинают делать ставку на нее. Деятельность северокорейских специалистов в IT и производимое ими ПО пока не является объектом санкций, и в Пхеньяне начали этим пользоваться: например, сделанное по китайскому образцу приложение для денежных переводов позволяет отправлять деньги, минуя стандартные банковские процедуры.
Разумеется, эти каналы очень хотят перекрыть, усилив «цифровую блокаду» и раздувая для этого истории про хакеров. Но действие рождает противодействие и, возможно, в рамках самосбывающегося пророчества северокорейские хакеры из мифов превратятся в реальность.
Константин Асмолов, кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Института Дальнего Востока РАН, специально для интернет-журнала «Новое Восточное Обозрение».
