Наш очередной текст про северокорейских хакеров спровоцирован тремя вещами.
Во-первых, 24 июля 2020 г. армия США выпустила руководство, посвященное КНА и описывающее, чего ждать от Северной Кореи как противника. Хакеров «включили в штат» и выяснилось, что Северная Корея может иметь более 6000 кибербойцов, работающих от ее имени за рубежом, в том числе в Индии и КНР. Прежде всего, это группы, подчиняющиеся военному киберкомандованию КНДР, т.н. Бюро 121. Впрочем, в этот же список входят и те, кто занимается электронной разведкой.
Во-вторых, целый ряд чиновников и экспертов по компьютерной безопасности выступили с заявлением на одну и ту же тему: только «стесненная в средствах Северная Корея» использует своих хакеров не для разведки, как это делают Россия, Китай и Иран, а для того чтобы воровать деньги из зарубежных банков. В этой среде тезис о том, что «изощренные кибератаки Северной Кореи сигнализируют об отчаянном положении режима, пораженного тройным ударом санкций, тайфунов и COVID-19», не подлежит сомнению.
Пол Накасоне, командующий киберкомандованием США, заявил в журнале Foreign Affairs, что Пхеньян использует хакерство как способ бросить вызов санкциям, введенным против коммунистического государства «взламывая международные финансовые сети и криптовалютные биржи для получения доходов, которые финансируют ее деятельность по разработке оружия».
В докладе панели экспертов Совету безопасности ООН от августа 2019 года сообщается, что «крупномасштабные атаки на криптовалютные биржи» позволяют КНДР незаметно получать средства для реализации программ по созданию «оружия массового уничтожения», причем общая сумма поступлений на тот момент оценивалась в 2 миллиарда долларов.
Глава Центра реагирования на киберугрозы (ESRC) и эксперт командования кибероперациями минобороны РК Мун Чжон Хён в интервью РИА Новости также отмечал, что северокорейские хакеры — единственные правительственные хакеры в мире, которые занимаются взломом банков и финансовых систем, включая кражу криптовалюты с бирж и у частных пользователей. По его словам, во многих случаях эксперты Южной Кореи регистрируют атаки хакеров КНДР, но не могут сообщить открыто, что взлом совершен Северной Кореей. Приходится учитывать политику нынешнего правительства, которое стремится к миру с КНДР.
Кстати, именно в этом контексте 26 августа в совместном предупреждении с Министерством финансов США, ФБР и киберкомандованием США Агентство кибербезопасности и безопасности инфраструктуры (CISA) заявило, что «киберакторы северокорейского правительства» используют вредоносные программы для получения незаконного доступа к «банкам во многих странах для инициирования мошеннических международных денежных переводов и обналичивания банкоматов.»
Утверждается, что за сложные кампании по обналичиванию банкоматов с киберподдержкой, которые публично были идентифицированы как «FASTCash» в октябре 2018 года, несет ответственность хакерская группа BeagleBoyz (название, правда, дано правительством США). Тогда вследствие атаки тысячи банкоматов в Северной Америке, Восточной Азии и Африке начали одновременно выдавать бумажные купюры, которые подбирали местные криминальные элементы, и предполагается, что часть этих денет ушло в Пхеньян. С 2015 года BeagleBoyz нацелились на более чем 30 стран, включая Южную Корею, Японию и Индию.
Имеется и информация о том, что власти США намерены заблокировать 280 криптовалютных счетов, связанных с северокорейскими хакерами, которые украли криптовалюту на миллионы долларов с двух виртуальных бирж и пытались отмыть средства через китайских трейдеров. В гражданском иске о конфискации министерство юстиции США связало киберхищение с Северной Кореей, сославшись на отчет группы экспертов ООН, в котором говорится, что поддерживаемые государством северокорейские хакеры украли около 500 млн долл. по крайней мере с пяти бирж в Азии в 2017 и 2018 годах.
Как пишут NKNews со ссылкой на анализ компании Kaspersky Labs, цена выкупа, которую требуют хакеры, дешевле, чем расходы на резервное копирование и восстановление информации, так что жертве проще заплатить.
В этом контексте 1 октября 2020 года управление США по контролю за иностранными активами (OFAC) опубликовало руководящие принципы, которые предупреждают, что выплата выкупа хакерам из КНДР будет караться серьезными штрафами или иными санкциями.
22 октября Джон Демерс, помощник министра юстиции США по вопросам национальной безопасности, отметил, что, с точки зрения ноу-хау и защиты КНДР может получать поддержку своей незаконной кибердеятельности из Китая.
В третьих, в российской печати прошла целая череда публикаций о том, что северокорейские хакеры начали охоту за оборонными секретами РФ. Журнал «Коммерсант» писал, что Хакерская группировка Kimsuky из Северной Кореи атакует военные и промышленные организации: как заявила руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова, в попытке сбора конфиденциальной информации из аэрокосмических и оборонных компаний она использовала тематику пандемии и рассылала мошеннические письма с данными о вакансиях.
По данным Telegram-канала SecAtor, в апреле 2020 года Kimsuky атаковали «Ростех», однако в «РТ-Информ» (дочерняя компания госкорпорации «Ростех», которая занимается информационной безопасностью) эту информацию не подтвердили и не опровергли, отметив увеличение количества инцидентов и кибератак на информационные ресурсы корпорации и ее организаций в период с апреля по сентябрь. Ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Денис Кувшинов заявляет, что тактика и используемый инструментарий Kimsuky имеет пересечения с группами Lazarus и Konni.
Другой материал той же газеты повествует о том, что «Лаборатория Касперского» обнаружила, что в России активизировалась известная северокорейская хакерская группировка Lazarus, которая атакует через приложения для трейдеров криптовалют, чтобы красть информацию для доступа к кошелькам и биржам, а также собирает исследования и промышленные данные: скорее всего, ее особенно интересуют военно-космическая сфера, энергетика и IT.
К сожалению, в обоих материалах нет ни одного пояснения, как именно была установлена принадлежность атаки.
Россия фигурирует и в отчете охранной фирмы Intel 471. В этой версии «Северная Корея, скорее всего, заплатила российским киберпреступникам за помощь во взломе банков и других корпоративных сетей для кражи денег и данных», что «показывает доверительные отношения, которые северокорейские хакеры построили с элитными русскоязычными киберпреступниками».
19 октября Министерство юстиции США совместно с ФБР предъявило обвинения шести офицерам Главного разведывательного управления Генерального штаба России за «подрывную, деструктивную и дестабилизирующую деятельность в киберпространстве». Оказывается, именно якобы хакеры ГРУ стояли за кибератаками на зимние Олимпийские игры 2018 года в Пхенчхане, в результате которых десятки интернет-серверов и сотни компьютеров, поддерживающих игры, были выведены из строя. Однако никаких доказательств США не приводят.
А что до кибератак, то напомним, у кого учатся любые хакеры, ибо это очередная история из серии «Нарушена монополия США нарушать правила». В 2006 году правительство Соединенных Штатов “перешло Рубикон”, когда провело секретную наступательную кибератаку и распространило вредоносное ПО на ядерный объект Ирана. По словам журналиста The New York Times Дэвида Сэнгера, именно этот шаг “толкнул мир на совершенно новую территорию».
Завершим материал любопытным дайджестом хакерских атак против госструктур РК, который всплыл во время осеней парламентской проверки соответствующих учреждений.
3 октября 2020 г. официальные лица Министерства обороны РК заявили, что число попыток взлома оборонной информационной системы Южной Кореи за последние пять лет быстро возросло. По состоянию на конец августа этого года было выявлено в общей сложности 8 700 попыток взлома системы, а за весь 2019 год эта цифра составила 9 121, согласно данным. Большинство IP-адресов, использованных для атак, были прослежены в районах Китая (27,9%) и Соединенных Штатов (16,7%), но откуда эти атаки на самом деле, определить трудно.
Однако 10 октября 2020 г. были обнародованы данные о том, что число попыток взлома Южной Кореи через Китай за последние три года выросло в десять раз. Согласно данным, предоставленным военными Национальному собранию, попытки взлома через Китай, нацеленные на южнокорейские военные сети, составили 10 655 случаев в 2019 году по сравнению с 1051 случаем, обнаруженным в 2017 году. В 2020 году было предпринято 7113 попыток, однако военные отметили, что такие попытки взлома не обязательно означают, что в них замешаны китайские хакеры. Конечно же, это может быть Северная Корея! Конечно, это не значит, что северокорейских или просеверокорейских хакеров нет совсем. Так, 25 июня 2013 года, в годовщину начала Корейской войны, был взломан вебсайт президентской администрации, и на нем появилось объявление с примерным содержанием: «Ура президенту Ким Чен Ыну». А несколько недель назад, по сообщению Мун Чжон Хена, в РК была обнаружена мошенническая организация хакеров КНДР, которая маскировалась под Центр по положению прав человека в Северной Корее южнокорейского министерства объединения. Но слухи об их возможностях и размахе – сильно преувеличены.
Константин Асмолов, кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Института Дальнего Востока РАН, специально для интернет-журнала «Новое Восточное Обозрение».