15 октября 2021 г. Корейское национальное полицейское агентство (KNPA) сообщило, что в ходе совместного расследования, в котором также участвовали полиция Украины, Федеральное бюро расследований Соединенных Штатов и Интерпол, были задержаны четыре члена неназванной преступной организации по отмыванию денег, в том числе ее руководитель.
Трое украинцев и еще один иностранец обвиняются в распространении программы-вымогателя Clop, парализовавшей около 720 компьютерных систем, содержащих академические и деловые данные, и вымогавшей выкуп в 65 биткоинах в 4,5 миллиарда вон (3,8 миллиона долларов США). Двух из них в скором времени экстрадируют в РК.
Это были ключевые члены международной преступной организации, подозреваемые в проведении массовых хакерских атак с использованием программ-вымогателей на южнокорейские компании и университеты в феврале 2019 года.
Подразделение по кибертерроризму Национального полицейского агентства РК, начавшее расследование сразу после совершения преступления, проанализировало Clop, инструменты атаки и методы вторжения в компьютерную сеть, поделилось информацией об отслеживании со спецслужбами 20-ти стран, и выяснилось, что виртуальные активы, вымогаемые подозреваемыми, были конвертированы в наличные деньги на зарубежных биржах. Затем, после проведения совместной операции и выявления преступников, KNPA обратилось в Интерпол с запросом о задержании хакеров и их пособников. Что и было сделано.
Сейчас эти ссылки недоступны, но автор хорошо помнит, как два года назад данную атаку активно укладывали в рамки козней пхеньянских хакеров, которые обвинялись в рэкете, чтобы якобы обеспечить валютой ядерную программу страны и закупать предметы роскоши для семьи Ким, пока народ голодает.
Между тем, когда автор впервые узнал, что вредоносная программа, используемая для парализации компьютерных систем путем изменения расширений их файлов, а затем использования ее в качестве шантажа для требования оплаты криптовалютой, называлась Clop, он сразу отметил, что для российского уха это звучит вполне конкретно, означая соответствующее насекомое-паразита.
Вообще же, ситуация с кибербезопасностью в РК вызывает интерес властей. Так, 16 декабря 2020 г. Голубой дом рассмотрел позицию Южной Кореи в области кибербезопасности во время межведомственного совещания высокого уровня, где глава департамента национальной безопасности администрации президента Со Хун отметил, что на фоне распространения бесконтактных видов деятельности, таких как онлайн-занятия и работа из дома, важность кибербезопасности увеличилась, и особенно это касается использования программ-вымогателей.
5 июня 2021 г. агентство Ёнхап отмечало, что в 2020 г. в Южной Корее участились сообщения об атаках программ-вымогателей, поскольку пандемия коронавируса привела к увеличению активности в Интернете.
По данным Министерства науки и ИКТ, в 2020 году число сообщений об атаках вымогателей составило 127, что более чем в три раза больше, чем 39 в 2019 году, а в первом полугодии 2021 г. было зарегистрировано 78 случаев.
Атаки вымогателей были направлены на различные предприятия. Например, в мае 2021 г. операции компании по доставке продуктов питания Super Hero были парализованы на несколько часов после атаки, затронувшей 15 000 работников доставки по всей стране. В ноябре 2020 г. местный гигант моды и розничной торговли E-Land Group был взломан хакерами, вынудив 23 из 50 филиалов универмага прекратить свою деятельность.
Как отмечает профессор кибербезопасности Ким Сын Чжу, формируется порочный круг. Во время пандемии компании все больше полагаются на удаленную работу, и атаки вымогателей становятся большей угрозой, поскольку могут повредить всю рабочую систему; соответственно, все больше компаний выплачивают выкуп, что поощряет еще больше атак вымогателей.
В результате министерство создало группу круглосуточного мониторинга для поддержки компаний, на которые направлены атаки и провело двухнедельные учения по кибербезопасности для 230 компаний.
4 августа министерство науки и информационно-коммуникационных технологий повысило уровень предупреждения о киберугрозах на одну ступень, приняв решение активизировать мониторинг вредоносных программ и других киберугроз, а также усилить меры реагирования. Как сообщили в министерстве, соответствующее решение принято в целях превентивной реакции на угрозу распространения программ-вымогателей и после того, как спецслужбы выявили хакерские атаки, направленные на крупные местные больницы в преддверии планов массовой вакцинации.
В рамках укрепления сотрудничества в области кибербезопасности, как сообщил на своей странице в Twitter Совет национальной безопасности США, заседание состоялось и его участники договорились распространить мощь двустороннего альянса на борьбу с киберпреступлениями. Рабочая группа была создана в соответствии с договорённостью, достигнутой в мае президентами двух стран Мун Чжэ Ином и Джо Байденом с целью укрепления партнёрства в противодействии глобальным киберугрозам.
Кроме того, министерство расширило поддержку малого бизнеса, чтобы помочь им предотвратить угрозы подобного рэкета, предложив им системы резервного копирования, шифрования и восстановления данных для защиты их внутренних данных, чтобы в случае атаки помочь восстановить их системы.
Развивается и международное сотрудничество. 5 августа РК и США договорились укреплять сотрудничество в сфере реагирования на глобальные киберугрозы. Стороны договорились работать над совместными мерами противодействия им и сотрудничать в разработке различных систем обмена информацией. А 10 сентября РК и США провели первое заседание совместной рабочей группы по борьбе с программами-вымогателями; видимо, задержание украинских хакеров на их собственной территории – одно из следствий этого проекта.
При этом серию громких скандалов в РК весны-лета 2021 г. даже не пробовали связать с хакерами с Севера, и автор надеется, что после такого инцидента «пхеньянский след» не будут искать где попало. Посмотрим и на то, не окажется ли данная хакерская группировка причастной к иным киберпреступлениям, и подтвердится ли догадка автора о том, что переводить стрелки на КНДР – распространенный прикол в среде хакеров совсем иного региона.
Константин Асмолов, кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Института Дальнего Востока РАН, специально для интернет-журнала «Новое Восточное Обозрение».
