О «кознях хакеров из КНДР» автор пишет постоянно, и после рассказа о том, с какими проблемами сталкивается кибербезопасность РК, пора поговорить о том, в чем в последнее время обвиняли хакеров с Севера.
Похищение криптовалюты
То, что пхеньянский режим зарабатывает на ракетно-ядерную программу хакерскими действиями, стало в обвинениях КНДР настолько общим местом, что почти каждый материал в СМИ РК или Запада не обходится без пассажа об этом.
20 апреля 2022 г. об этом говорил координатор Группы экспертов по санкциям Совета Безопасности ООН против Северной Кореи Эрик Пентон-Воак. А 17 ноября 2022 г. представитель Белого дома Энн Нойбергер сообщила, что треть расходов КНДР на военные нужды якобы финансируется за счет доходов от кибератак.
14 апреля 2022 г. ФБР США заявило, что северокорейские хакеры из группы Lazarus произвели успешную атаку на сайт онлайновой игры «Axie Infinity». Особенностью игры является использование криптовалюты и возможность для успешных игроков зарабатывать на игре заметные суммы. В ходе атаки на сайт хакерам удалось похитить $620 миллионов. СМИ РК заявили, что это стоимость более 30 баллистических ракет.
15 апреля 2022 г. Министерство финансов Соединенных Штатов ввело санкции в отношении хакерской группировки Lazarus Group.
6 мая 2022 г. Соединенные Штаты впервые ввели санкции против микшера виртуальной валюты Blender.io (Blender), «который используется Корейской Народно-Демократической Республикой для поддержки своей вредоносной кибер-деятельности и отмывания денег от украденной виртуальной валюты» в размере более $20,5 миллионов. Якобы Blender был использован при обработке незаконных доходов все той же «спонсируемой государством хакерской группы» Lazarus.
В августе 2022 г. аналогичные санкции были введены против микшера Tornado Cash, который якобы помог отмыть более $455 миллионов, украденных Lazarus Group.
Сколько всего «налутили» хакеры? По данным блокчейн-аналитической компании Chainalysis, в 2021 году Северная Корея (точнее, всё та же группа Lazarus) якобы украла цифровые активы на сумму до $400 миллионов в результате по меньшей мере семи атак на криптовалютные платформы. А в 2022 г. северокорейские хакеры якобы похитили $1 млрд криптовалюты, что составляет около половины от общей суммы цифровой валюты, добытой незаконными способами.
В других источниках (как можно заметить, цифры разнятся, что видимо, связано с вопросом о том, каких хакеров считать северокорейскими) пишут, что с момента взлома сайтов по торговле криптовалютами и иными виртуальными активами в 2017 году Северная Корея якобы заработала более $1,17 млрд, в том числе более $78 миллионов в Южной Корее, причем около 800 млрд вон только в 2022 году.
По словам бывшего сотрудника Национальной разведывательной службы по фамилии Чхве, Северная Корея переводит средства с использованием криптовалюты следующим образом:
- Банки взламываются, а деньги крадутся.
- На украденные деньги покупается криптовалюта, такая как биткоин или эфириум
- Условеый биткойн переводится в Иран, Сирию или ОАЭ по ссылкам в электронной почте и PayPal
- Там криптовалюта дополнительно торгуется и увеличивается в цене.
- После нескольких небольших транзакций криптовалюта переводится в Китай
- В Китае криптовалюта превращается в наличные деньги, которые переводятся в Северную Корею.
Фишинг и охота за данными
Второй блок обвинений заключается в вымогательстве и попытках воровать не деньги, а информацию. Занимаются этим многие, и автору минимум раз в месяц приходят письма с приложенными «документами», отравленными вредоносным ПО.
Директор ФБР США Кристофер Рэй называл КНДР, наряду с Китаем, Россией и Ираном, одной из угроз США в киберпространстве. По его словам, северокорейские хакеры в течение последних двух лет совершали неоднократные атаки на больницы, медицинские центры, образовательные и научно-исследовательские учреждения, занимающиеся разработками вакцин против COVID-19. В качестве инструментария злоумышленниками используются программы-вымогатели, блокирующие компьютерные сети и требующие для их разблокировки денежные средства.
Утверждается, что хакеры, связанные с Северной Кореей, атаковали читателей веб-сайта DailyNK вредоносным ПО, способным красть файлы и пароли. По словам исследователей компании по кибербезопасности Volexity, в ходе атаки использовались две известные уязвимости в веб-браузерах Microsoft Internet Explorer и Edge для установки вредоносного ПО, получившего название “Bluelight”.
12 сентября 2021 г. фирма по кибербезопасности ESTsecurity известила, что «хакерская группа Thallium, предположительно связанная с Северной Кореей», попыталась украсть данные у южнокорейских экспертов, работающих в качестве членов консультативной группы министерства обороны.
В ноябре 2021 г. NKNews сообщали, что хакеры из КНДР, точнее — «Lazarus», используют южнокорейские серверы и Google Диск для сокрытия вредоносных атак и внедряет вредоносный код в поврежденные PDF-файлы, замаскированные под вакансию для компании Samsung.
6 июля 2022 г. ФБР и минфин США выпустили рекомендации по кибербезопасности против программ-вымогателей, которые, по их словам, используются «киберпреступниками, спонсируемыми КНДР». Утверждается, что для нападения на организации сектора здравоохранения и общественного здравоохранения северокорейские хакеры используют программу-вымогатель Maui. Это код, который позволяет удаленному субъекту взаимодействовать с вредоносным ПО и идентифицировать файлы для шифрования. Потенциальным жертвам напомнили, что платить выкуп не стоит, поскольку предоставление денег или других товаров Северной Корее может повлечь за собой наказание в соответствии с санкциями США и Совета Безопасности ООН.
В июле 2022 г. заместитель генерального прокурора Лиза Монако заявила, что ФБР и Министерство юстиции пресекли деятельность хакерской группы, спонсируемой правительством Северной Кореи и нацеленной на больницы США с помощью указанной выше программы «Maui». ФБР удалось вернуть полмиллиона долларов, включая весь выкуп, выплаченный больницей.
В октябре 2022 г. комитет 1718 Совета Безопасности ООН выпустил экспертный доклад, посвящённый КНДР. В нём указано, что Северная Корея заработала около $635 млн на продаже личных и персональных данных и приложений для голосового фишинга киберпреступникам, в т.ч. из числа граждан РК.
25 декабря 2022 г. Тхэ Ён Хо — перебежчик, ставший депутатом парламента РК, публично предостерег Ким Чен Ына от использования поддельных аккаунтов для отправки фишинговых писем от имени его офиса после того, как полиция установила, что в мае «северокорейские хакерские организации» рассылали массовые фишинговые электронные письма с адреса его секретаря. Но история действительно вышла громкой: с апреля по октябрь 2022 г. хакеры, предположительно из группы Kimsuky выдавали себя за репортёров, освещающих проблемы национальной безопасности РК, а также помощника Тхэ Ён Хо. Целью атак стали 892 эксперта по вопросам безопасности, внешней политики и обороны (профессура и сотрудники аналитических центров). 49 из них перешли по полученным от злоумышленников ссылкам и их почта была взломана.
СМИ РК писали, что хакеры взломали 326 серверов в 26 странах мира, чтобы замаскировать свои действия, однако адреса интернет-протокола, тип вируса и использование северокорейской лексики аналогичны атаке северян на корпорацию Korea Hydro & Nuclear Power (KHNP) в 2014 году.
Правда, о том, что взлом KHNP в 2014 году и отправка электронных писем от имени Управления национальной безопасности в 2016 году — дело рук «Кимсук», разведка РК сообщила только в связи с этой историей.
Северокорейские айтишники под иным флагом
В мае 2022 г. Министерство финансов США сообщило, что Северная Корея отправляет тысячи квалифицированных ИТ-работников за границу в поисках работы, выдавая их за граждан США или других стран. В документе, совместно опубликованном Госдепартаментом и ФБР, говорится, что нанятые северокорейские ИТ-работники обычно занимаются работой, отличной от злонамеренной кибератаки, но могут использовать доступ, который они получили в качестве подрядчиков, для обеспечения кибератак, а полученные ими доходы могут быть направлены на программы создания оружия массового уничтожения. Поэтому наем северокорейских ИТ-работников может нести «репутационные риски», а также «потенциальные юридические последствия» за нарушение санкций США и Совета Безопасности ООН. С некоторыми видоизменениями данный месседж озвучивался в течение всего года.
15 июня 2022 г. помощник госсекретаря по международной безопасности и нераспространению Элиот Кан провёл встречу с представителями компаний IT-отрасли и предостерёг их об опасностях найма северокорейских компьютерщиков. 16 июля Элиот Кан вновь проинформировал представителей промышленности и правительства о рисках, связанных с наймом северокорейцев, предупредив о рисках, включая кражу интеллектуальных данных, юридические последствия и ущерб репутации.
8 декабря 2022 г. уже Южная Корея выпустила межведомственную рекомендацию против найма замаскированных северокорейских айтишников. Местные компании призвали усилить проверку биографических данных при приеме на работу ИТ-работников в стране и за рубежом, «поскольку государство-затворник все чаще отправляет высококвалифицированных людей по всему миру для получения дохода для финансирования своего оружия массового уничтожения и программы баллистических ракет». «Подделка документов, удостоверяющих личность, — один из самых простых способов скрыть их личность. Они незаконно собирают водительские права и удостоверения личности иностранцев и с помощью Photoshop заменяют фотографии в документе, удостоверяющем личность, своими собственными. Более того, они используют «веб-сайт службы аутентификации телефонных звонков через прокси, когда необходимо пройти процесс аутентификации телефонных звонков», — говорится в рекомендациях. Отличительной особенностью является и отказ от участия в сеансах видеосвязи.
Как правило, северокорейские засланцы специализируются на создании программного обеспечения, в т.ч. для мобильных устройств. Правительство РК призывает национальные коммерческие структуры проявить бдительность и незамедлительно информировать соответствующие органы (полиция, МИД, НРС) в случае выявления подозрительных случаев.
Чего ждать в 2023 г.?
В Индексе кибермощи 30 стран, составленном Белферовским центром Гарвардского университета в сентябре 2023 г., Северная Корея заняла 14-е место в общем зачете (США, Китай и Россия входят в тройку лидеров, а Южная Корея занимает седьмое место).
С точки зрения киберзащиты Северная Корея занимает последнее место, но при этом занимает пятое место после США, России, Китая, Великобритании и Ирана с точки зрения разрушительной силы своих кибервозможностей.
Но у страха (или хайпа) глаза велики и 22 декабря 2022 г. Национальная разведывательная служба Южной Кореи провела пресс-конференцию по вопросам Северной Кореи и кибербезопасности, где аудиторию старательно пугали: ведь, если верить разведчикам, каждый день инфраструктура РК сталкивается с 1,18 млн попыток кибератак. За 55,6% (600 000) из них стоит КНДР, и только 4,7% приходится на Китай
Во-первых, в 2023 году северокорейские хакерские группы, скорее всего, сосредоточатся на краже южнокорейских технологий, связанных с атомными станциями, чипами и оборонной промышленностью, а также на сборе информации о Южной Корее и политике Соединенных Штатов в отношении Севера. Кроме того, они будут совершать еще больше киберпреступлений, связанных с кражей криптовалют, будучи лучшими в мире в плане возможностей и потенциала для взлома и хищения цифровых активов.
Во-вторых, КНДР может активнее использовать технологии дипфейк для изготовления и тиражирования видеороликов, призванных вызвать хаос и рост социальной нестабильности в РК. Правда, пока о таких роликах автор не слышал и полагает, что объяснение «это был дипфейк из Пхеньяна» призвано обнулить возможный видеокомпромат.
В-третьих, с большой долей вероятности объектом повышенного внимания северокорейских хакеров станет президент Южной Кореи Юн Сок Ёль и используемые им техгнические реквизиты (мобильный, электронная почта, мессенджеры и т.п.). Тут автор просто разводит руками относительно цифровой безопасности первого лица – то ли Юн пользуется незащищенной почтой, которая была у него с прокурорских времен, то ли цифровая граница на замке примерно так же, как сухопутная против БПЛА КНДР.
Что из этого сбудется, покажет новый год, а в ожидании очередной раз напомним, что, по мнению автора, считать «КимСуки» или «ЛазаРус» северокорейскими хакерами русскоязычный читатель может с ОЧЕНЬ большой натяжкой.
Константин Асмолов, кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Института Китая и современной Азии РАН, специально для интернет-журнала «Новое Восточное Обозрение».