Антипхеньянская пропаганда периодически «радует» мир историями об «ужасах в КНДР», которые хорошо расходятся по СМИ, вынуждая автора давать разъяснения. Во второй половине ноября это случилось дважды.
16 ноября Radio Free Asia, «частная некоммерческая служба новостей, финансируемая правительством США», поведала миру душераздирающую историю о том, что в Северной Корее расстреляли контрабандиста, который незаконно ввёз в страну копии сериала Netflix «Игры в кальмара». Как сообщил (разумеется, анонимный) источник издания, на мужчину вышли благодаря поимке семерых старшеклассников. Школьника, который купил флешку, приговорили к пожизненному заключению, остальных — к пяти годам каторги. «Источник Radio Free Asia в правоохранительных органах» рассказал по этому поводу, что вынесение приговоров за сериал — первый случай казни несовершеннолетних после того, как в январе 2021 года в Северной Корее приняли закон «Об искоренении реакционной мысли и культуры». Если верить тем же анонимам и представленным ими доказательств в виде листа неизвестного текста, напечатанного на машинке без каких-либо указаний на авторство, за распространение, просмотр или хранение фильмов или книг из капиталистических стран Южной Кореи и США теперь карают смертной казнью.
Затем «утку» распространила бульварная «Дэйли Мэйл», причем к исходным данным добавили драматизма. Контрабандист, который просто ввозил USB-флешки и карты памяти с южнокорейскими сериалами, превратился в школьника или студента, который продал копии всего нескольким людям, включая сокурсников или даже просто устроил совместный просмотр. Однако «об этом сообщили куда следует», после чего по всей школе и ближайшим рынкам прошли обыски, а директор школы, секретарь по делам молодежи и классный руководитель были уволены. «Несомненно, что их отправят на тяжелую работу в угольные шахты или выгонят в сельские районы страны, поэтому все другие школьные учителя беспокоятся, что это может случиться и с ними, если один из их учеников также будет вовлечен в подобное». «Все жители дрожат от страха, потому что они будут безжалостно наказаны за покупку или продажу устройств хранения памяти, какими бы маленькими они ни были», рассказывают анонимные свидетели, размазывая по лицу виртуальные слезы, — ведь «скоро подуют кровавые ветры расследования и наказания».
Впрочем, поскольку мир должен быть несправедлив, немедленно оказалось, что «ходят слухи, что среди семи арестованных студентов один с богатыми родителями смог избежать наказания, потому что они подкупили власти за $3000». Не обошлось без философствований: оказывается, мрачный мир игры «проигравших игроков, которых предают смерти, явно перекликается с северокорейцами, живущими в условиях диктатуры». А особенные симпатии у жителей Севера вызывает персонаж, сыгранный актрисой Чон Хо Ен — перебежчицы из Северной Кореи.
К истории приложили опрос 200 перебежчиков, проживающих в Южной Корее, в ходе которого 90% заявили, что они, живя на Севере, использовали иностранные СМИ, а 75%, — что знали кого-то, кто был наказан за это.
Но так ли все это? Во-первых, граница закрыта фантастически жестко. То есть, если там и есть движение, то крайне ограниченное и через карантинную инфраструктуру. В такой ситуации с трудом поверишь в школьника, который просто взял и поехал в Китай за флешкой.
Во-вторых, УК КНДР доступен в Сети на многих языках: 183 и 185 cтатьи кодекса карают за просмотр или сбыт «декадентской культуры», но сроки куда мягче. Что же до закона, то пока в РК его текст доступен только на антипхеньянских сайтах и в режиме «верьте нам, что этот листочек мы не напечатали сами».
В-третьих, если контрабандиста и впрямь поймали и казнили, то не за флешку, а за нарушение «чрезвычайных противоэпидемических мер». Здесь факты репрессий подтверждаются не только анонимными источниками, но и статьями в СМИ КНДР, и за регулярное перемещение через границу и продажу любых предметов, через которые может передаться вирус, и впрямь можно получить высшую меру как за потворство биологической атаке на страну.
В-четвёртых, и в главных, поскольку «Радио Свободная Азия» не читает северокорейский контент, они не знают, что в СМИ КНДР этот фильм удостоился скорее положительной рецензии. Например, в статье «О популярном телесериале, раскрывающем реалии южнокорейского общества» отмечено: «Через образ богатого человека, организатора игры, который получает удовольствие от ужасающей бойни, сериал представляет общество, в котором свирепствуют тирания и произвол власть предержащих. […] Многие южнокорейцы, посмотревшие данную телевизионную драму, задумались о серьезном экономическим неравенстве, которым пропитана Южная Корея: в нынешнем южнокорейском обществе количество «выбывших» из-за жесткой конкуренции за рабочие места, недвижимость и акции значительно возрастает».
Впрочем, данное радио породило и порождает не меньше уток, чем знаменитое Daily NK. Уже после истории с кальмарами оно с Дэйли Мэйл родило замечательную «утку» про кожаный плащ, в котором Ким был замечен во время недавнего «руководства на месте»: оказывается, таким образом Ким «направляет своего внутреннего Гитлера», что однозначно свидетельствует о якобы нацистских симпатиях лидера КНДР. И хотя сам Гитлер такой плащ носил нечасто, в нем ходили Йозеф Геббельс и Генрих Гиммлер, а также Иосиф Сталин. — Похоже, комментарии излишни. Более того, хотя впервые Кима показали по ТВ в кожаном плаще в 2019 году, внезапно выяснилось, что такие плащи в КНДР запретили, «заявив, что неуважительно подражать модному выбору лидера страны».
Вторая «утка» началась с заявления американской компании по кибербезопасности Proofpoint о том, что «хакерская группировка Kimsuky, предположительно из Северной Кореи, атакует российских ученых, экспертов в области внешней политики и неправительственные организации, которые занимаются теми или иными вопросами взаимодействия с КНДР». А также рассылает экспертам по Корее фишинговые письма, составленные от лица известных в РФ экспертов.
Факт рассылок подтвердил ряд коллег автора, и это классический фишинг – предлагается открыть документ, для чего надо ввести логин и пароль от почтового ящика. Эта форма похожа на всплывающее окно Windows для запароленных сетевых ресурсов, после чего хакеры получают учетные данные в открытом виде.
Однако совсем недавно автор уже пояснял аудитории НВО, отчего «Кимсуки» для его уха выглядят подозрительно: на английском это название, возможно, звучит без каких-то подвохов, но любой русскоязычный увидит в этом вполне определённое звучание, которое, если перевести его на английский, будет выглядеть как Kims Bitches. То же самое касается названий других хакерских групп типа Lazarus или Andariel, после чего читатель должен сделать вывод, что среднестатистический хакер из КНДР читал не только библию, но и произведения Толкиена. Именно поэтому в корейском происхождении группировок имеются обоснованные сомнения.
Теперь разберём фишинговые письма, которые «приходят российским специалистам по КНДР» или от имени российских специалистов по КНДР другим адресатам. Если мы представим себе, что речь идёт о северокорейских хакерах на госслужбе, которые собирают некие данные по запросу государства, то атаки на российских специалистов не имеют особого смысла. Большинство из них относятся к Северу нейтрально или дружественно, а кроме того, поскольку их немного, то позиция каждого из них широко известна в Пхеньяне. Кроме того, северокорейские дипломаты и чиновники из Ассоциации работников общественных наук знают и то, кто какой пост занимает.
Между тем большинство фишинговых писем идёт или просто с адресов, которые непохожи на настоящие, или речь идёт о месте работы трёх-четырёхлетней давности. И представителям других стран, не имеющих прямого контакта с Северной Кореей, куда интереснее знать, что думают и какой информацией обмениваются российские специалисты. Кроме того, весьма часто подобную корреспонденцию (в том числе и от «специалистов по Корее») получают российские специалисты по Китаю, не связанные напрямую с северокорейской тематикой. Для автора такой выбор целей говорит о многом.
Еще одна любопытная деталь. Более всего о злокозненных хакерах из КНДР вещали эксперты компании по кибербезопасности под названием Group-IB. Основателю которой намедни предъявили обвинения в государственной измене.
В завершение хочется еще раз обратить внимание аудитории на вопрос, как именно доказывается связь той или иной хакерской атаки с «пресловутыми Кимсуками». В «расследованиях» это подаётся как данность, но автор в очередной раз напоминает свой разбор наиболее частых «доказательств».
В данной атаке используются эксплойты или элементы кода, применяемого хакерами из КНДР. Уникального хакерского программного обеспечения мало, и большинство применяет ограниченный набор средств. К тому же, если такой код есть в открытом доступе, его элементы вполне могут быть доработаны: заимствование является повсеместной практикой для экономии времени, а также с целью ложно обвинить непричастную сторону. Вдобавок, хакерский рынок давно индустриализовался, авторы вирусов и их распространители часто совсем разные люди.
Похожее программное обеспечение применялось во время предыдущих атак северокорейских хакеров. Стиль программирования или избранная тактика — неплохая косвенная улика. Но на больших объемах, позволяющих гарантированно определить, что это не случайное совпадение. С учетом того, что причастность КНДР и к предыдущим атакам может быть под вопросом, доказательство «от повторения» на самом деле подменяется навыком экстраполяции и создает порочный круг, когда одно «хайли лайкли» нагромождается на другое, но в выводах это «возможно» исчезает, и на причастность КНДР указывается как на доказательство.
«Это был айпи из КНДР». Программы подмены айпи распространены еще больше, чем хакерские: по сути, любой браузер с функцией VPN позволяет выдавать себя за пользователя другой страны. Да, бытовые анонимайзеры достаточно легко обойти и отследить реальный ip, но есть и более сложные способы.
«У нас есть секретные доказательства» («но мы их вам не покажем, потому что они секретные»). Иногда это может означать, что вместо доказательств, соответствующих процедурам судопроизводства, есть доказательства, которые либо кажутся надежными аналитикам, но недостаточны для суда, либо источник доказательств или методы их добывания по каким-то причинам не светят, однако эта же фраза может означать утверждения, взятые с потолка.
«Давайте поместим этот случай в политический контекст; КНДР уже была замешана в разнообразных грязных делах, что мешает ей совершить еще и это»? Здесь речь идет не столько об учете «предшествующих преступлений и дурной репутации», сколько о формировании пресуппозиции: если «ужасный кровавый пхеньянский режим» может заниматься киберпреступностью, то отчего бы ему ее не практиковать? Именно благодаря данному тезису любую кибератаку в РК принято атрибутировать как северокорейскую, если ее можно отнести к угрозам национальной безопасности, а следы иного происхождения не видны слишком сильно. То же самое касается фраз класса «группировки, связанные с Пхеньяном»: такое утверждение — не аксиома, факт связи стоит доказать чем-то большим, чем «они работают против его врагов».
К более вероятным, но все равно косвенным уликам относятся результаты лингвистической экспертизы, когда определяют родной язык хакера по допущенным ошибкам, или анализ кода, при котором можно выяснить режим работы хакера, его часовой пояс или выбор языка по умолчанию. Однако и в них остается вероятность того, что «русский язык в коде» принадлежал эмигранту, который уже 10 лет как живет в США, — в системе политических интриг даже логику «кому выгодно» надо применять с осторожностью из-за возможности провокаций.
В результате серьезные улики возникают только там, где цифровой мир соприкасается с реальным. Например, хакера поймали непосредственно в момент атаки или на его компьютере нашли исходники вируса или иные доказательства того, что атака была оттуда. Часто бывает доказан факт получения хакером похищенных денег (отследили перевод на аффилированный счет в цепочке платежей, сняли момент снятия денег в банкомате, выявили использование похищенных номеров кредиток и т.п.), и именно так «раскрутили» Галеба Алаумари, который заявлял, что отмывал деньги для хакеров из КНДР.
В общем, хочется еще раз напомнить, что «Радио Свободная Азия» — иноагент, создавалось как пропагандистское радио для борьбы с коммунизмом и остается таковым, отчего «утки» составляют значительный процент его контента.
Константин Асмолов, кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Института Дальнего Востока РАН, специально для интернет-журнала «Новое Восточное Обозрение».