Хакерские Атаки Угрожают Онлайн Покеру

Основная статья:Информационная безопасность

Что такое киберпреступность

Основная статья:Киберпреступность

Киберпреступность – незаконные, противоправные действия, которые осуществляются людьми, использующими информационно-телекоммуникационные технологии, компьютеры и компьютерные сети для преступных целей.

Кибервойны между странами

Информация о соглашениях об электронном ненападении, а также о киберконфликтах между странами, выделена в отдельную статью:

Киберпреступность в коммерческом секторе

Обзор событий киберпреступности в банковской сфере вынесен в отдельную статью:

Потери от киберпреступности

Обзор потерь мировой экономики от киберпреступности в статье:

Расценки пользовательских данных

Анализ условий работы хакеров в статье

Кибератаки

Виды кибератак и обзор ключевых событий.

Кого и как атакуют хакеры на Ближнем Востоке, и почему там закладывают миллиарды долларов на кибербезопасность

Количество и сложность кибератак растёт во всём мире, но в этой сфере есть и региональная специфика. Об особенностях киберпреступности и подходов к защите на Ближнем Востоке в октябре года на международной выставке GITEX в Дубае, где побывал TAdviser, рассказали представители «Лаборатории Касперского», которая работает в регионе уже не первый год.

Руководитель исследовательского центра «Лаборатории Касперского» на Ближнем Востоке, в Турции и Африке Амин Хасбини в разговоре с TAdviser отметил, что атаки на корпоративных пользователей в регионе часто зависят от размера организации. В случае с СМБ они нередко направлены на получение платежей и переводов на «чёрные» счета, использующиеся для отмывания средств в разных регионах мира, например в Азии или Латинской Америке. Против организаций для этого часто используются программы-вымогатели, требующие крупные выкупы.

Атаки на крупные организации отличаются своими подходами. Здесь часто применяются APT-атаки (Advanced Persistent Threats), способные нанести намного больший ущерб. Нередко они используются для шпионажа. Таковые могут применяться, например, в отношении банков или правительственных организаций. И даже против больниц, потому что те хранят чувствительную медицинскую информацию о своих клиентах.

На открытии павильона кибербезопасности Cyber Valley на выставке GITEX (фото: GITEX)

Продвинутые атаки в регионе META (Ближний Восток, Турция, Африка) в «Лаборатории Касперского» называют ночным кошмаром пользователей и организаций. Такой вид атак характеризуется тем, что злоумышленники изменяют свои методы и инструменты, чтобы обойти защиту, используют продвинутые технические навыки и средства, чтобы избежать обнаружения, и часто они организованы таким образом, чтобы пройти незамеченными для жертвы.

Директор по исследованиям и разработке «Лаборатории Касперского» Антон Иванов привёл данные, основанные на расследованиях, проведённых их компанией, что наиболее часто продвинутым атакам в регионе подвергаются именно страны на Ближнем Востоке. В году в топ-5 наиболее атакуемых стран были ОАЭ, Египет, Турция, Иордания и Сирия. А топ-3 злоумышленников по продвинутым атакам в регионе – это хакерские группы Lazarus (Andariel, cookietime, Bluenoroff), Kittens (CharmingKitten, Muddywater, Lyceum), а также китайскоговорящие группы (Honeymyte, APT15, Plugx, Blackmoule).

Одна из старейших и наиболее известных хакерских преступных группировок, орудующих в регионе, – OilRig, также известная, как APT34 и Helix Kitten. Впервые её заметили в году, и она до сих пор действует, рассказал Антон Иванов. Преимущественно она атакует финансовые, энергетические, телекоммуникационные и химические компании.

Примеры атак с последствиями на критическую инфраструктуру и другие объекты в регионе META в году (из презентации Антона Иванова на GITEX)

Амин Хасмини отмечает тенденцию к тому, что при атаках на крупный бизнес в регионе киберпреступники склонны объединяться. Иногда несколько преступных групп работают сообща: одна организует проникновение в ИТ-инфраструктуру, другая внедряет вредоносное ПО, третья обеспечивает коммуникацию, например, для шантажа и последующей продажи данных.

По словам Амина Хасбини, к региональной специфике можно отнести и такое явление: в последнюю пару лет на Ближнем Востоке набирает популярность наём хакеров для выполнения киберпреступной работы. Существуют специальные компании (hack-for-hire), в которых можно нанять хакеров для различных задач. Часто их привлекают для конкурентной разведки.

К примеру, есть два конкурирующих банка, которые на легальном уровне, через юристов, атакуют друг друга. И один из банков нанимает хакерскую команду, чтобы она взломала системы конкурента, нашла чувствительную или «грязную» информацию, которую в дальнейшем против компании можно использовать.

Полученная информация используется, чтобы нанести ущерб репутации компании, или для применения юристами в судебных спорах, - объясняет Амин Хасбини.

Разумеется, это нелегально, но в «Касперском» видят много такой активности в ближневосточном регионе. Аналогичное использование хакеров-наёмников можно встретить и в Европе, в том числе, в западных организациях, но на Ближнем Востоке такой вид хакинга имеет очень большую активность.

Возможно, что это связано с тем, что в регионе очень высокая конкуренция в бизнесе, - полагает Амин Хасбини.

Также это может быть связано и с некоторыми пробелами в текущей законодательной базе, затрудняющими блокировку и прекращение деятельности подобных преступников.

Нельзя сказать, что за последние годы хакеров на Ближнем Востоке стало больше, говорит Амин Хасбини. Скорее, для региональных хакеров стало характерно объединение в группы для выполнения различных задач. Иногда можно заметить схожие вещи в их активностях, и тогда можно предположить, что это одна и та же группа. Одна и та же группа может атаковать промышленные объекты в регионе, а другая – финансовые учреждения, например.

При этом ИТ-системы и сервисы на Ближнем Востоке уже достигли определённого уровня зрелости, так что злоумышленникам стало сложнее компрометировать организации. Но, например, в промышленности в области операционных технологий (ОТ) дело обстоит несколько иначе, потому что долгое время никто не занимался кибербезопасностью именно в этой сфере. Кроме того, многие индустриальные системы, которые используются для снабжения водой, электричеством, в области атомной энергии и др. являются старыми: им может быть по лет, такие системы быстро не обновляются. А ущерб от кибератак здесь может быть огромным, т.к. это критическая инфраструктура.

Защита критической инфраструктуры оказалась одной из центральных тем в повестке по кибербезопасности на GITEX. Совет по кибербезопасности ОАЭ представил на выставке макет с различными инфраструктурными объектами и описанием ключевых киберугроз для них (фото: TAdviser)

Одна из особенностей ближневосточного региона по сравнению, например, с Европой – здесь другие приоритеты в области ИБ, и отдельные страны на Ближнем Востоке не всегда работают так же сообща по повестке в области кибербезопасности, как страны ЕС. В основном, каждая страна стремится развиваться в области ИБ сама по себе, поясняет Амин Хасбини.

При этом для каждой страны Ближнего Востока очень важен собственный суверенитет, поэтому они хотят разворачивать свои решения локально. И из соображений суверенитета страны стремятся принимать законы, которые обязывали бы глобальных вендоров локализовываться, чтобы те присутствовали в стране, случись что.

У самой «Лаборатории Касперского», к примеру, есть офисы в ОАЭ (здесь расположена штаб-квартира для всего региона META), Турции и Саудовской Аравии. В Саудовской Аравии наиболее жёсткие требования к локальному присутствую, поэтому в этой стране у «Лаборатории Касперского» также открыт центр прозрачности, где заказчики могут ознакомиться с исходным кодом продуктов, и используются свои локальные вычислительные ресурсы: часть серверов на собственной площадке, и часть – от провайдеров. Это позволяет хранить данные локально, что важно для местного правительства, и быстрее отправлять апдейты клиентам.

Кроме того, наказания за киберпреступления зачастую более жёсткие в странах Ближнего Востока, чем в Европе. К киберпреступности здесь относятся очень серьёзно и стараются как можно быстрее ловить киберпреступников. По словам Амина Хасбини, «Лаборатория Касперского» взаимодействует с различными локальными спецслужбами и делится с ними информацией о кибератаках, чтобы помогать им находить атакующих.

Многие страны региона двигаются в сторону повышения зрелости своей киберзащиты, у них уже есть правовые режимы, чтобы защищать свои государства, правительства и пользователей от киберугроз. Это вопрос национальной безопасности. Поэтому они ищут продвинутые технологии, позволяющие такую защиту обеспечивать. Проекты в госструктурах и на критической инфраструктуре сейчас среди самых крупных, рассказал TAdviser Амин Хасбини.

В «Лаборатории Касперского» видят для себя регион META в целом и Ближний Восток, в частности, как очень перспективный рынок. По оценкам ResearchAndMarkets, объём рынка кибербезопасности на Ближнем Востоке составлял $20,3 млрд в году, а в году аналитики прогнозируют его объём в $44,7 млрд со среднегодовым ростом на 17,1%^[1].

Генеральный менеджер компании по Ближнему Востоку, Египту, Руанде и Пакистану Рашид Аль-Момани говорит, что крупные бюджеты на кибербезопасность на Ближнем Востоке закладывают в том числе, под влиянием геополитических факторов. Кроме того, если брать ОАЭ, там проводятся различные крупные международные мероприятия, например, в сфере технологий и спорта, которые привлекают всё больше участников, что также требует лучшей защиты.

С учётом курса на усиление киберзащиты в регионе, «Лаборатория Касперского» расширяет здесь и своё присутствие, включая численность локальной команды, а также стратегическое сотрудничество с местными властями, регуляторами, центральными банками, отмечает Рашид Аль-Момани.

Помимо «Лаборатории Касперского», к рынку ИБ Ближнего Востока проявляют всё больше интереса и другие отечественные ИБ-поставщики: на выставке GITEX совокупно присутствовало порядка 15 стендов компаний из России, где в описании заявлена кибербезопасность как основное направление или одно из направлений.

У аргентинского финрегулятора похитили 1,5 Тбайт данных. Хакеры требуют выкуп $ тыс. и обещают уничтожить банковскую систему

В июне года Национальная комиссия по ценным бумагам Аргентины стала жертвой кибератаки, предположительно совершенной хакерской группировкой Medusa, занимающейся разработкой вирусов-вымогателей. Хакеры требуют крупный выкуп в размере $ тыс. в течение недели, угрожая в противном случае слить в интернет 1,5 Тб документов и баз данных комиссии. Подробнее здесь.

Обновлённый пакистанский троян ReverseRAT нацелен на госучреждения Индии

ИБ-компания ThreatMon обнаружила целевую фишинговую кампанию, нацеленную на правительственные учреждения Индии, которая приводит к развертыванию обновленной версии RAT-трояна ReverseRAT. Специалисты ThreatMon приписали эту активность группировке SideCopy. Об этом стало известно 21 февраля года. Подробнее здесь.

Хакеры атаковали одну из крупнейших в Канаде энергетических компаний

В середине января года крупный поставщик электроэнергии в Канаде Qulliq Energy пострадал от кибератаки, в результате которой компьютеры были выведены со строя, а ее клиенты лишились возможность платить за услуги с помощью банковских карт. Пострадала подстанция в городе Нунавут. Подробнее здесь.

APT-группировка Dark Pink наносит киберудары по азиатским правительственным и военным структурам

APT-группировка Dark Pink наносит киберудары по азиатским правительственным и военным структурам. Об этом стало известно 11 января года.

В ходе атак хакеры используют набор мощных кастомных инструментов и новых тактик.

Проводя расследование, Group-IB подчеркнула, что Dark Pink может быть совершенно новой APT-группировкой. Свое название банда хакеров получила из-за имен некоторых электронных ящиков, на которые высылались украденные данные. Однако китайские исследователи дали ей другое название – Saaiwc Group. Подробнее здесь.

Раскрыта одна из самых сложных цепочек заражения компьютеров в истории

5 января года эксперты Check Point Research (CPR) рассказали об одной из самых сложных цепочек заражения в истории кибератак, которую группировка Blind Eagle использует для организации нападений на жертв в Южной Америке. Подробнее здесь.

Хакеры начали массово атаковать операторов связи по всему миру, чтобы завладеть чужим телефонным номером

2 декабря года ИТ-специалисты CrowdStrike сообщили об обнаружении новой киберпреступной схемы: злоумышленники атакуют телекоммуникационные компании и организации в области аутсорсингабизнес-процессов (BPO) с тем, чтобы завладеть чужим телефонным номером.

Киберпреступная кампания получила название Scattered Spider. Эксперты говорят, что цель хакеров заключается в том, чтобы получить доступ к сетям операторов мобильной связи и выполнить атаку с подменой SIM-карты. Впоследствии такой метод даёт возможность принимать одноразовые пароли финансовых транзакций для обхода двухфакторнойаутентификации. В результате, могут быть похищены денежные средства жертв.

Хакеры начали массово атаковать операторов связи по всему миру

Для получения первоначального доступа к атакуемой системе могут применяться различные методы. Это, в частности, схемы социальной инженерии, в том числе посредством телефонных звонков и SMS-уведомлений, а также сообщений в мессенджерах. Злоумышленники выдают себя за ИТ-специалистов, чтобы заставить жертв ввести учётные данные на фишинговой странице или загрузить и установить определённый инструмент удалённого доступа, например, AnyDesk, BeAnywhere, DWservice, Logmein, ManageEngine, N-Able, Pulseway или Rport. Более того, киберпреступники применяют персонализированный подход для получения одноразовых паролей. Кроме того, могут эксплуатироваться уязвимости в ПО.

После проникновения в целевую систему хакеры выполняют анализ сред Windows, Linux, Google Workspace, Azure Active Directory, Microsoft и AWS. Кроме того, производится выполнение горизонтального перемещения. Затем могут загружаться дополнительные инструменты для сбора данных о параметрах VPN и модулях многофакторной аутентификации. Отмечается, что в большинстве случаев злоумышленники действуют чрезвычайно настойчиво и нагло. ^[2]

Северокорейская хакерская группировка Kimsuky атакует политические и дипломатические организации Южной Кореи

Согласно отчету Лаборатории Касперского, северокорейскаяAPT-группа Kimsuky проводит кампанию против политических и дипломатических организаций Южной Кореи, а также профессоров южнокорейских университетов, исследователей аналитических центров и правительственных чиновников. Об этом стало известно 25 августа года. Подробнее здесь.

Волна кибератак Killnet разбилась об эстонские системы защиты

Волна кибератак Killnet разбилась об эстонские системы защиты. Об этом стало известно 19 августа года.

Масштабные DDoS-атаки были направлены на госучреждения и предприятия Эстонии.

О масштабных хакерских атаках сообщил в своем Twitter заместитель вице-канцлера по цифровому развитию Министерства экономики и коммуникаций Эстонии Луукас Кристьян. По его словам, это были самые интенсивные кибератаки с года, направленные как на государственные учреждения, так и на частный сектор.

При этом Луукас отметил, что атаки, совершенные хакерами, были неэффективными.

Глава компьютерной группы реагирования на чрезвычайные ситуации Эстонии Тону Таммер уточнил, что кибератаки были направлены, в частности, на сайты полиции, правительства и логистических фирм, но смогли вызвать лишь незначительные перебои в работе правительственныхИТ-систем.

Ответственность за кибератаки на себя взяла Killnet группировка. Хакеры заявили, что их атака стала ответом на демонтаж памятника Т в Нарве^[3].

Албания ушла в оффлайн после кибератаки

Национальное агентство Албании по вопросам информационного общества (The Albanian National Agency for the Information Society, AKSHI, NAIS) было вынуждено закрыть государственные онлайн-сервисы и правительственные веб-сайты после продолжающейся кибератаки. Об этом стало известно 18 июля года.

Чтобы противостоять этим беспрецедентным и опасным ударам, мы были вынуждены отключить правительственные системы до тех пор, пока вражеские атаки не будут нейтрализованы, — говорится в заявлении агентства.

Национальное агентство находится в полной боевой готовности и круглосуточно работает с командой Microsoft, командой Jones Group International и группами албанских компаний в области ИКТ, чтобы не допустить ущерб или компрометации албанской ИТ-системы, — добавило AKSHI.

Закрыты веб-сайты парламента и канцелярии премьер-министра, а также сайт « e-Albania » — правительственный портал, которым должны пользоваться все албанцы, а также иностранные резиденты и инвесторы, чтобы получать государственные услуги^[4].

Русскоязычные хакеры из Killnet парализовали работу нескольких госструктур Литвы

Хакеры из группы Killnet, предупреждавшие власти Литвы о готовящихся масштабных кибератаках из-за блокирования железнодорожного транзита товаров по территории страны в Калининградскую область, сдержали своё обещание и атаковали литовские государственные структуры. Об этом стало известно 27 июня года. Уточняется, что серьезные проблемы в работе на конец июня года испытывают многие государственные структуры Литвы, среди которых точно от кибератаки пострадали: Государственная налоговая инспекция, входящая в Министерство финансов Литвы, официальные сайты крупнейших литовских нефтегазовых портов, система видеонаблюдения по всей стране. При этом некоторые атакованные сайты открываются, но получить какие-либо услуги на них пользователи не могут. В Telegram-канале группировки Killnet говорится о том, что в результате крупномасштабной DDoS-атаки хакерам удалось отключить более литовских сайтов. Русскоязычные хакеры также представили скриншот с главной страны сайты литовской полиции, в котором указано, что сайт заблокирован.

литовских сайтов были отключены из-за серьезного сбоя, который происходит у местного провайдера. У какого именно провайдера – об этом вы узнаете из официальных источников, – заявили в Killnet.

Иностранные СМИ уточняют, что пророссийские хакеры их Killnet атакуют государственные сайты Литвы в течение всего дня. Отмечается наличие проблем в работе официальный сайтов литовских аэропортов, которые не могли подключиться к системам поставщиков финансовых слуг. Веб-сайты крупных поставщиков телекоммуникационных услуг в Литве также пострадали от DDoS-атаки: некоторые из них загружались необычно медленно, а другие вообще вышли из строя. Национальный центр кибербезопасности Литвы (NCSC) ещё несколько дней назад заявил о росте числа DDoS-атак против страны, заявив, что злоумышленники нацелены на государственные учреждения, транспортный и финансовый секторы^[5].

Банда Killnet объявила о масштабной атаке на Италию

Банда Killnet объявила о "масштабной и беспрецедентной" атаке на Италию. Об этом стало известно 30 мая года.

На конец мая года атаки не вызвали проблем у итальянских организаций.

Пророссийская группа «хактивистов» Killnet — одна из самых активных негосударственных структур, действующих с начала спецоперации на Украине. Исследователи из cyberknow опубликовали хронологию атак, проведенных хактивистами:

CyberKnown считает, что хакеры объединились в полуформальную структурированную организацию KillNet Order of Battle (ORBAT).

С разными уровнями командования и постановкой задач. Анализ говорит о том, что, независимо от изощренности совершаемых атак, преступники обладают надежной структурой управления и контроля, — считают в CyberKnown.

Одной из основных целей бандитов является Италия. Группа призвала к действию своих членов, предоставив им список итальянских целей, включая банки, СМИ, энергетические компании и многое другое. Только три правительственных веб-сайта были недоступны во время первой волны атак.

Теперь группа объявила о массированном нападении на Италию, запланированном на 30 в , шайка также угрожает хактивистам Anonymous.

Ниже приведены сообщения, опубликованные Killnet в Telegram:

Итальянская csirt опубликовала предупреждение о том , что сохраняются признаки и угрозы возможных неизбежных нападений, в частности, на национальные государственные организации, частные организации критической инфраструктуры, или частные организации, чей имидж отождествляется со страной^[6].

Российских хакеров заподозрили в кибератаках на немецкие компании по возобновляемой энергетике

Три немецкие компании по возобновляемой энергетике подверглись взлому из-за отказа страны от российской нефти. Об этом стало известно 27 апреля года. Подробнее здесь.

Закрыт RaidForums-хакерский форум по торговле краденными базами данных

Власти США заблокировали работу RaidForums, форума, где по сети торговали похищенными данными. Об этом говорится в заявлении Минюста США, распространенном 12 апреля года. Сайт был был закрыт правоохранительными органами США, Соединенного Королевства, Швеции, Португалии и Румынии в ходе операции «TOURNIQUET», координируемой Европолом.

Власти США предъявили обвинения основателю и главному администратору форума - летнему Диего Сантосу Коэльо из Португалии. Он был задержан 31 января в Великобритании по запросу американской стороны. Министерство юстиции США добивается его экстрадиции, после которой он предстанет перед окружным судом США Восточного округа штата Вирджиния. Против Коэльо выдвинуты обвинения по шести пунктам, включая сговор, получение доступа к устройствам мошенническим образом и хищение личных данных при отягчающих обстоятельствах в связи с его предполагаемой ролью главного администратора RaidForums в период с 1 января года по 31 января года. При этом обвиняемый и его возможные сообщники, по версии следствия, разработали и администрировали работу программного обеспечения и компьютерной инфраструктуры указанной платформы, устанавливали правила для пользователей, а также рекламировали незаконные услуги RaidForums.

Департамент заявил, что получил одобрение суда на арест трех разных доменных имен, на которых размещен веб-сайт RaidForums: goalma.org, goalma.org и goalma.org

По версии Минюста США, с помощью RaidForums ранее были проданы "сотни баз данных", содержащих похищенные сведения. На сайте продавались украденные данные для доступа к банковским счетам, информация о кредитных картах, учетные данные для входа в систему и номера социального страхования.

Объем рынка RaidForums, по сведениям Минюста США, включал сотни таких данных, содержащих более 10 миллиардов единиц учетных данных физических лиц, проживающих в США и иных государствах.

Наряду с незаконной торговлей данными, еще во время основания форума в году, RaidForum выступал площадкой для организации и поддержки онлайн-травли в форме подавления работы коммуникационных устройств потерпевших путем передачи подавляющего потока данных или практики ложного уведомления правоохранительных органов о якобы имеющих место ситуациях, требующих немедленного значительного или даже вооруженного вмешательства со стороны таких органов^[7].

Интерпол провел крупнейшую операцию по задержанию киберпреступников

В конце ноября года Интерпол провел масштабную операцию по задержанию киберпреступников. В ходе операции, правоохранительные органы более чем 20 стран арестовали более 1 тыс. человек и перехватили около $27 млн незаконных средств в рамках борьбы с финансовыми преступлениями с использованием кибертехнологий.

Операция под кодовым названием HAECHI-II проводилась с июня по сентябрь года. В ней приняли участие специализированные полицейские подразделения из 20 стран, включая Гонконг и Макао, которые занимались конкретными видами интернет-мошенничества, такими как романтические аферы, инвестиционное мошенничество и отмывание денег, связанных с незаконными азартными играми в интернете. В результате данной специальной операции были арестованы 1 тыс. человека, а следователи закрыли 1,6 тыс. дел. Были заблокированы 2,3 тыс. банковских счетов, связанных с незаконными доходами от финансовых преступлений и было выявлено 10 новых преступных методов работы. В ходе операции сотрудники Интерпола опробовали новый глобальный механизм прекращения платежей, протокол быстрого реагирования по борьбе с отмыванием денег (ARRP), который оказался решающим для успешного перехвата незаконных средств в нескольких случаях в операции HAECHI-II.

Интерпол провел крупнейшую операцию по задержанию киберпреступников - арестованных и изъятие $27 млн

Это вторая подобная операция в рамках проекта, запущенного в году для борьбы с финансовыми преступлениями с использованием кибертехнологий при участии стран-членов Интерпола на всех континентах. Интерпол планирует официально запустить ARRP в году. На ноябрь года его отдел по борьбе с финансовыми преступлениями работает со странами-членами над интеграцией системы в существующие каналы связи.

Только благодаря такому уровню глобального сотрудничества и координации национальные правоохранительные органы могут эффективно бороться с параллельной пандемией киберпреступности. Используя новую сеть ARRP, были задействованы каналы международного полицейского сотрудничества между бюро Интерпола в Пекине, Боготе и Гонконге, чтобы заморозить переведенные средства более 94% денег было перехвачено в рекордно короткие сроки, - сказал генеральный секретарь Интерпола Юрген Шток (Jurgen Stock).

Интерпол сообщил, что известная текстильная компания в Колумбии была обманута более чем на $8 млн с помощью сложной аферы по компрометации деловой электронной почты. Выдавая себя за законного представителя компании, преступники отдали распоряжение перевести более $16 млн на два китайских банковских счета. Половина денег была переведена до того, как компания обнаружила мошенничество и предупредила местные судебные органы, которые связались с подразделением Интерпола по борьбе с финансовыми преступлениями через свое Национальное центральное бюро (НЦБ).^[8]

Южная Корея стала мировым центром цифрового секс-шантажа

В середине июня года стало известно, что передовые технологии Южной Кореи вызвали целую волну цифровых преступлений в сфере секс-шантажа. По словам жертв, исследователей и правозащитных групп, страна стала глобальным центром незаконной съемки и обмена откровенными изображениями и видео. Подробнее здесь.

Group-IB помогла Интерполу выявить преступников из Нигерии, атаковавших компании по всему миру

25 ноября года Group-IB, международная компания, специализирующаяся на предотвращении кибератак, приняла участие в операции Интерпола «Falcon» по пресечению деятельности киберпреступников из Нигерии.

Фото: INTEPROL

Группа, названная специалистами Group-IB TMT, несколько лет совершала массовые взломы корпоративной почты и похищала аутентификационные данные пользователей из браузеров, электронной почты и FTP-серверов, в том числе на продажу.

Преступники, действующие как минимум с года, скомпрометировали не менее тысяч государственных и частных компаний в более чем странах, в том числе России. В результате трансграничной операции, в которой участвовали Управление по борьбе с киберпреступностью Интерпола, полиция Нигерии и компания Group-IB (отдел по расследованию международных киберпреступлений, Сингапур) в Лагосе были арестованы три киберпреступника. Расследование продолжается, некоторые участники преступной группы на ноябрь года остаются на свободе.

Группа занималась BEC-атаками (от англ. business email compromise — компрометация деловой почты) — это тип фишинг-атаки, основанный на социальной инженерии. Фишинговые электронные письма могут быть нацелены на определенных сотрудников организации или рассылаться массово. Они часто маскируются под запросы денежных переводов, сообщения от HR-департамента или коммерческие предложения и предназначены для кражи конфиденциальных данных.

Три члена группы, известные под инициалами «OC» (32 года), «IO» (34 года) и «OI» (35 лет), личности которых были установлены благодаря использованию технологий слежения за киберпреступниками Group-IB, а также оперативной работе международной команды расследований Group-IB и Центра реагирования на инциденты кибербезопасности CERT-GIB, были арестованы в Лагосе нигерийским отделом киберполиции в рамках операции «Falcon». По сообщению представителей нигерийской полиции, сведения, обнаруженные на устройствах арестованных членов группы TMT, подтвердили их причастность к преступной схеме и содержали данные, принадлежащие, как минимум, 50 тысячам пострадавших.

Информация о предполагаемых злоумышленниках, которых Group-IB смогла отследить, была передана в Управление по борьбе с киберпреступностью Интерпола.

Для рассылки фишинговых писем злоумышленники использовали инструменты Gammadyne Mailer и Turbo-Mailer. Кроме того, они пользовались платформой MailChimp, чтобы узнать, открыла ли жертва полученное сообщение.

Чтобы избежать обнаружения и отслеживания традиционными системами безопасности, группа использует публичные крипторы. Для коммуникации с командным сервером злоумышленники, в частности, применяли протоколы SMTP, FTP, HTTP.

В Киргизии взломан сайт парламента

В парламенте Киргизии сообщили о взломе своего официального сайта и требованиях хакеров The Black Pirate $10 тысяч в качестве выкупа. Об этом стало известно 19 октября года. Подробнее здесь.

Взлом крупнейших баз данных ДНК, кража генеалогических профилей

В конце июля года стало известно, что база данных ДНК GEDmatch, которая позволяет пользователям искать родственников по ДНК-данным, была взломана. Полученные адреса электронной почты хакеры использовали в фишинг-атаке на другой ведущий генеалогический сайт, MyHeritage. Подробнее здесь.

Германия объявила международный розыск россиянина, обвинённого в кибератаках на бундестаг

В начале мая года генеральная прокуратура Германии выдала ордер на арест Дмитрия Бадина, которого обвиняют в кибератаках на Бундестаг. летний россиянин объявлен в международный розыск. Подробнее здесь.

Выявлено 1,3 тыс. вредоносных программ с названием сервисов видеоконференций

В середине апреля года «Лаборатория Касперского» сообщила о выявлении около 1,3 тыс. вредоносных программ, которые маскируются под популярные сервисы для видеоконференций, включая Zoom, Webex и Slack.

По данным российского разработчика антивирусов, при помощи такой схемы распространяется порядка видов угроз, в основном рекламные приложения — DealPly и DownloadSponsor. Оба ПО являются установщиками, которые показывают рекламу или загружают рекламные модули.

Вредоносное ПО начало чаще прикидываться сервисами для онлайн-конференций

В результате атак таких программ конфиденциальная информация человека без его согласия может оказаться на серверах третьих лиц.

Как заявляют в «Лаборатории Касперского», опасность рекламного софта, который мимикрирует под названия сервисов, не стоит недооценивать. В результате атак таких программ конфиденциальная информация человека без его согласия может оказаться на серверах третьих лиц. Причём объём данных, которые собирают такие программы, действительно разнообразен: предпочтения пользователей, история поиска, геолокация и многое другое, пояснили в компании.

Платформы для онлайн-конференций сейчас приобрели большую популярность в мире, ими пользуются в больших и маленьких компаниях для организации видеоконференций, к ним обращаются рядовые пользователи, чтобы пообщаться с друзьями и родными, поэтому не можем исключать, что количество вредоносных файлов, которые эксплуатируют названия таких сервисов, в ближайшем будущем будет расти, — прокомментировал эксперт по безопасности «Лаборатории Касперского» Денис Паринов.

Что касается популярности того или иного сервиса у киберпреступников, доли распределились так: на первом месте Zoom (42,42%), второе досталось WebEx (22,51%), третье — GoToMeeting (12,86%).

Кроме того, обнаружены угрозы, которые прячутся под видом файлов с расширением .lnk — ярлыков к приложениям. Подавляющее большинство этих файлов на деле оказалось зловредными элементами, которые используют уязвимости в различных программах.^[9]

Как киберпреступники зарабатывают миллионы на коронавирусе

13 марта года антивирусная компания Eset выпустила сообщение о том, как киберпреступники наживаются на коронавирусе.

По данным экспертов, злоумышленники распространяют новости от имени Всемирной организации здравоохранения (ВОЗ), призывая пользователей перейти по вредоносным ссылкам для получения якобы секретной и крайне важной информации о вирусе. Таким образом, они похищают личную информацию и платежные данные, получая доступ к счетам жертв. В Eset рекомендуют быть внимательнее и проверять адрес e-mail, с которого пришло сообщение: например, адреса @goalma.org, @goalma.org или @goalma.org не имеют отношения к ВОЗ.

Eset сообщила о появлении новых киберугроз в связи с распространением коронавируса

Мошенники также прибегают к фейковым благотворительным акциям, создавая рассылки с призывом отправить пожертвование на поиск вакцины от коронавируса для детей в Китае.

Кроме того, набирает популярность мошенничество с фейковыми объявлениями о продаже медицинских масок и антисептиков для рук. С их помощью злоумышленники выманивают данные кредитных карт пользователей и похищают деньги со счетов. Так, по данным Sky News только в феврале года в Великобритании преступники заработали на подобной кампании не менее тыс. фунтов стерлингов ($1 млн).

В Eset советуют не поддаваться паническим настроениям в обществе и быть особенно внимательны к любым ресурсам и рассылкам, содержащим упоминание коронавируса. Необходимо остерегаться мошеннических благотворительных организаций или краудфандинговых кампаний, направленных на борьбу с эпидемией, а также игнорировать сообщения, в которых запрашиваются ваши личные или платежные данные. Ещё одна мера защиты от киберпреступников — применять комплексные антивирусные решения с модулями защиты электронной почты и функцией защиты от фишинга.^[10]

В Индонезии задержаны киберпреступники, заразившие сотни онлайн-магазинов по всему миру

27 января года стало известно о том, что киберполиция Индонезии совместно с Интерполом и Group-IB задержали участников преступной группы, заразивших JavaScript-снифферами — популярным видом вредоносного кода — сотни онлайн-магазинов в Австралии, Бразилии, Великобритании, Германии, Индонезии, США и других странах мира. Среди жертв есть российские и украинские пользователи. Преступники похищали у покупателей данные банковских карт и использовали их для покупки гаджетов и предметов роскоши. Ликвидация этой преступной этой группы стала первой успешной операцией против операторов JS-снифферов в Азиатско-Тихоокеанском регионе (APAC).

Как сообщалось, совместная операция «Night Fury» киберполиции Индонезии, INTERPOL’s ASEAN Cyber Capability Desk (ASEAN Desk) и отдела расследований Group-IB в APAC была проведена в декабре — в результате были арестованы трое жителей Индонезии в возрасте от 23 до 35 лет. Всем им предъявлены обвинения в краже электронных данных с помощью снифферов GetBilling. Операция еще в 5 других регионах Азиатско-Тихоокеанского региона продолжается.

Впервые семейство снифферов GetBilling было описано в отчете Group-IB «Преступление без наказания» в апреле года. JavaScript-снифферы — популярный вид вредоносного кода, который используется в атаках на онлайн-магазины для кражи личных и платежный данных покупателей: номеров банковских карт, имен, адресов, логинов, номеров телефона и пользовательских данных из платежных систем. Специалисты Threat Intelligence Group-IB отслеживают семейство GetBilling JS-sniffer с года. Анализ инфраструктуры, контролируемой арестованными в Индонезии операторами GetBilling, показал, что им удалось заразить почти веб-сайтов в Индонезии, Австралии, Европе, Соединенных Штатах, Южной Америке и некоторых других странах.

В году команде отдела расследований Group-IB удалось установить, что часть инфраструктуры GetBilling была развернута в Индонезии. INTERPOL’s ASEAN Desk оперативно проинформировал об этом киберполицию Индонезии. Несмотря на то, что операторы сниффера GetBilling старались скрыть свое местонахождение, например, для соединения с сервером для сбора похищенных данных и контролем над сниффером преступники всегда пользовались VPN, а для оплаты услуг хостинга и покупки доменов использовали только украденные карты, экспертам Group-IB вместе с местными полицейскими удалось собрать доказательства, что группа работает из Индонезии, а затем выйти на след самих подозреваемых.

В современном цифровом мире киберпреступники очень быстро внедряют передовые технологии для того, чтобы скрыть свою незаконную деятельность, и для того, чтобы похитить большие массивы личных данных с целью финансового обогащения. Для того, чтобы обеспечить доступ правоохранительных органов к информации, необходимой для борьбы с киберпреступностью, требуется прочное и плодотворное партнерство между полицией и экспертами по информационной безопасности. рассказал Крейг Джонс, директор по расследованию киберпреступлений INTERPOL

Этот кейс явно демонстрирует международный размах киберпреступности: операторы JS-сниффера жили в Индонезии, но атаковали e-commerсе-ресурсы по всему миру, что усложняло сбор доказательств, поиск жертв и судебное преследование. Однако международное сотрудничество и обмен данными могут помочь эффективно противодействовать актуальным киберугрозам. Благодаря оперативным действиям индонезийской киберполиции и Интерпола, «Night Fury» стала первой успешной международной операцией против операторов JavaScript-снифферов в регионе APAC. Это пример скоординированной трансграничной борьбы с киберпреступностью. рассказала Веста Матвеева, руководитель отдела расследований инцидентов информационной безопасности APAC Group-IB

В ходе обыска полицейские изъяли у задержанных ноутбуки, мобильные телефоны различных производителей, процессоры, идентификационные карты и банковские карты. По данным следствия, украденные платежные данные использовались подозреваемыми для покупки гаджетов и предметов роскоши, которые они затем перепродавали на индонезийских сайтах ниже рыночной стоимости. Подозреваемым уже предъявлены обвинения в краже электронных данных — согласно уголовному кодексу Индонезии это преступление карается лишением свободы сроком до десяти лет. Расследование продолжается.

Сексуальное вымогательство через умные камеры

В середине января года исследователи забили тревогу из-за волны нового вида мошенничества — сексуального вымогательства на фоне паники по поводу безопасности умных камер. Подробнее здесь.

Число атак на роутер стало в десятки раз больше

Атак на роутеры в году стало в десятки раз больше: если в январе фиксировалось порядка млн попыток в месяц, то в декабре — уже млн. Об этом свидетельствуют данные компании Trend Micro.

По словам экспертов, взлом роутеров занимает довольно мало времени, поскольку во многих этих устройствах по умолчанию установлены общеизвестные пароли. Злоумышленники используют для заражения маршрутизатора такой вирус, который при удачной попытке взлома заставит его в автоматическом режиме пытаться взломать роутеры других пользователей.

Trend Micro сообщила о взрывном росте количества атак на пользовательские маршрутизаторы

Еще одна причина растущего числа атак на такое оборудование заключается в конкуренции между разными группировками киберпреступников, которые стараются скомпрометировать как можно больше пользовательских маршрутизаторов, чтобы присоединить их к своим ботнет-сетям.

В дальнейшем ботнеты продаются на специализированных ресурсах в виде инструмента осуществления DDoS-атак, либо предлагаются в качестве инструмента анонимизации разного рода противозаконных действий, в том числе кражи данных, захвата учётных записей или накрутки кликов. Отмечается, что конкуренция в этом сегменте настолько серьёзна, что хакеры удаляют любое чужое вредоносное ПО, которое обнаруживается на взломанных устройствах.

Авторы исследования также указывают, что в условиях пандемии COVID и увеличения масштабов удаленной работы, данная проблема стала актуальной.

Чтобы защититься от взлома, специалисты Trend Micro рекомендуют следовать нескольким советам:

• проверять журнал роутера на предмет подозрительной активности, странных подключений и других аномалий;
• систематически обновлять версию прошивки на маршрутизаторе;
• использовать сложный и трудно угадываемый пароль, при этом меняя его время от времени;
• отключить удаленный вход, разрешив подключаться к роутеру только из локальной сети.^[11]

27% компаний в мире столкнулись с кибератаками на смартфоны сотрудников

В году 27% компаний в мире столкнулись с кибератаками на смартфоны сотрудников, свидетельствуют данные разработчика решений для информационной безопасностиCheck Point Software Technologies.

Сейчас мы свидетели эпидемии мобильного рекламного ПО – одной из наиболее распространенных форм киберугроз, нацеленной на сбор личной информации с устройства пользователя. Примерно 4 млрд человек заходят в интернет со смартфона. Тем не менее, компании редко заботятся о безопасности мобильных устройств сотрудников, — говорится в сообщении Check Point.

Около 27% компаний в мире в году столкнулись с кибератаками на мобильные устройства сотрудников

В компании отмечают, что для кражи корпоративных данных и проникновения в сеть организации злоумышленникам достаточно взломать всего одно мобильное устройство, принадлежащее работнику. Мобильные угрозы постоянно совершенствуются, и всё чаще мошенники пользуются рекламными вредоносными инструментами. Они показывают рекламные сообщения на смартфоне и используется киберпреступниками для проведения кибератак шестого поколения, отметили в Check Point.

В качестве одного из примеров нового мобильного рекламного ПО эксперты приводят вредоносную программу Agent Smith, которая была обнаружена в году. Тогда Agent Smith заразил около 25 млн мобильных устройств по всему миру, при этом пользователи даже не заметили этого. Программа имитировала приложение Google и использовала все известные уязвимости в системе Android, автоматически заменяя установленные приложения версиями, содержащими вредоносный код. Agent Smith также использовал ресурсы устройств, отображая фейковую рекламу, которая могла красть банковские учетные данные и прослушивать разговоры.

ИБ-специалисты рекомендуют скачивать приложения только из официальных каталогов, регулярно обновлять ОС и софт в смартфонах, не позволять приложениям работать в фоновом режиме и следить за правами доступа.^[12]

Хакеры атакуют бензоколонки и крадут банковские данные автомобилистов

В середине декабря года Visa предупредила клиентов, что несколько хакеров начали атаковать бензоколонки путем внедрения вредоносного ПО в корпоративные сети, чтобы выкрасть данные платежных карт автомобилистов.

Согласно отчету Visa, хакеры отошли от старой методики кражи банковских данных, в рамках которой устанавливали физические скиммеры на бензоколонках. Аналитики выявили два инцидента, когда злоумышленники внедряли вредоносное ПО в напрямую корпоративные сети торговцев. Проникнув в ИТ-инфраструктуру торговых сетей, хакеры получали доступ к торговым автоматам, содержавшим незашифрованные данные кредитных и дебетовых карт. Для распространения вирусов хакеры использовали электронную почту компаний, отправляя письма с подставных аккаунтов.

Visa предупредила клиентов, что несколько хакеров начали атаковать бензоколонки путем внедрения вредоносного ПО в корпоративные сети, чтобы выкрасть данные платежных карт автомобилистов

Аналитики Visa отметили, что торговые точки по продаже топлива зачастую пренебрегают базовыми технологиями безопасности для защиты данных карт, такими как сквозное шифрование или токенизация. Кроме того, в отчете Visa отмечается, что многие автозаправочные станции все еще полагаются на устройства считывания карт с магнитной полосой, а не чип-карт, что повышает риск взлома.

Любой бизнес, который принимает, хранит, обрабатывает и передает данные платежных карт, должен соответствовать стандартам PCI. Однако опрос Verizon, проведенный в декабре года среди более чем организаций, показал, что только 37% из них постоянно обеспечивают полноценное соблюдение всех требований безопасности.

Одним из предлагаемых методов борьбы со злоумышленниками является сегментация сетей. Она не только требует от хакеров большего мастерства и времени для проникновения в нужную часть сети, но и создает точки обнаружения, где защитники смогут отследить активность злоумышленника.^[13]

Рассекречена самая большая хакерская группировка в истории

В начале декабря года министерство финансов США назвало компанию Evil Corp крупнейшей хакерской группировкой в истории и заявило, что она базируется в Москве. Подробнее здесь

У посетителей воруют данные кредиток

В конце ноября года стало известно о серии кибератак, которые обрушились на отели по всему миру. Своими действиями хакеры пытаются украсть данные кредитных карт, которые хранятся в ИТ-системах самих гостиниц, а также турагентств.

О новой вредоносной кампании, от которой пострадали не менее 20 представителей гостиничного бизнеса в Бразилии, Аргентине, Боливии, Чили, Коста-Рике, Франции, Италии, Мексике, Португалии, Испании, Таиланде и Турции, сообщили в «Лаборатории Касперского».

Кибератаки, которые обрушились на отели по всему миру

Для сбора информации из буферов обмена, устройств для вывода на печать и скриншотов документов злоумышленники используют троянские программы удаленного администрирования, распространяя их через вредоносные вложения в Word, Excel, PDF в фишинговых письмах. Письма, имитирующие официальные запросы на групповую бронь от реальных людей из реальных компаний, выглядят весьма убедительно, в них включены копии официальных документов и подробные разъяснения причин, по которым был выбран именно этот отель. Единственное, что выдает подделку, — ошибки в написании домена компании.

Злоумышленники не только сами используют удаленный доступ к зараженным компьютерам, но и продают его на нелегальных форумах. В кампании участвуют несколько кибергруппировок, среди которых — RevengeHotels и ProCC.

По данным сервиса goalma.org, который использовался для сокращения вредоносной ссылки, она распространялась и во многих других странах, кроме перечисленных выше, а значит, объем скомпрометированных данных может быть значительно больше.

«Лаборатория Касперского» рекомендует путешественникам использовать для бронирования отеля через онлайн-турагентства виртуальную платежную карту, а для расчета на месте либо виртуальный кошелек, либо карту с ограниченным количеством денег на счету. ^[14]

Белорус украл у банков тысяч евро и вернул деньги биткоинами

12 ноября года Следственный комитет Белоруссии сообщил о расследовании уголовного дела о хищении денежных средств со счетов зарубежных банков. летний житель Гродно, причастный к преступлениям, был арестован при содействии американского ФБР. Подробнее здесь.

Чиновники во всём мире атакованы через WhatsApp

В конце октября года стало известно о масштабной атаке хакеров на высокопоставленных чиновников по всему миру через WhatsApp. Киберпреступники воспользовались уязвимостью мессенджера для получения доступа к смартфонам более 1,4 тыс. пользователей. Подробнее здесь.

Fortinet Operational Technology Security Trends Report

• В году значительно выросло число атак, направленных на устаревшее программное обеспечение OT-cистем
• Киберпреступники используют в своих интересах отсутствие стандартизированного протокола для OT-сетей
• Атаки на OT-системы не дифференцируются по географическому или отраслевому признаку
• 85% новых угроз были обнаружены на устройствах с OPC Classic, BACnet и Modbus

Проанализировав данные за год^[15], исследователи выявили множество атак с использованием IT-сетей (IT-based), направленных, в первую очередь, на промышленные сети, программное обеспечение которых давно не обновлялось. С другой стороны, подобные действия в отношении ИТ-систем более не являются эффективными. Кроме того, наблюдается рост количества атак, направленных на SCADA и ICS.

Такие угрозы зачастую нацелены на самые уязвимые части OT-сетей и используют сложности, вызванные отсутствием стандартизации протоколов. Примечательно также, что подобные атаки не дифференцируются по географическому или отраслевому признаку – в наблюдался рост по всем направлениям и во всех регионах мира.

Эксперты Fortinet также выявили тревожную тенденцию увеличения распространенности эксплоитов практически для каждого поставщика ICS / SCADA. В дополнение к атакам на необновленные OT-системы, 85% новых угроз были обнаружены на устройствах с OPC Classic, BACnet и Modbus. Кроме того, киберпреступники также используют в своих интересах широкий спектр OT-протоколов, не имеющих единого стандарта и отличающихся в зависимости от функционала системы, географии и индустрии. Это создает сложности в разработке решений по безопасности OT-систем для вендоров по всему миру.

В целом исследование показало, что риски, связанные с конвергенцией IT/OT, вполне реальны и должны серьезно восприниматься любой организацией, которая начала подключать свои промышленные системы к ИТ-сетям. Злоумышленники продолжат использовать более медленные циклы замены и обновления технологии на предприятиях. Такая тенденция, вероятно, будет сохраняться на протяжении многих лет. Лучший способ противостоять новым угрозам – принять и внедрить комплексный стратегический подход, который упростит функционирование OT-систем и задействует всех имеющихся в организации экспертов в области IT и ОТ.

Цена хакерского взлома

Расходы от хакерских атак окупаются сразу после первого хищения, сообщается в исследовании экономики хакеров от Positive Technologies. Начальная стоимость хакерской атаки на финансовые организации составит порядка 45–55 тыс. долларов США, сообщают в мае года специалисты.

Примерно 2,5 тыс. долларов США стоит месячная подписка на сервис по созданию документов с вредоносом, инструменты по созданию вредоносных файлов стоят долларов, исходный код программы-загрузчика вредоноса — от 1,5 тыс. долларов, программа по эксплуатации уязвимостей для внедрения — порядка 10 тыс. долларов, легальные инструменты, которые могут использовать хакеры, знатоки рынка оценили в 30–40 тыс. долларов.

Самые незначительные расходы идут на рассылку вредоносов. Так по оценкам эксперта, они составляют порядка 1 тыс. долларов в месяц.

Мошенник выманил у Google и Facebook $ млн

В конце марта года Министерство юстиции США вынесло обвинение гражданину Литвы, который выманил у Google и Facebook $ млн. Мошенник, признавший себя виновным, обманул американские компании с помощью компрометации корпоративного e-mail. Подробнее здесь.

Массовые задержания пользователей теневого интернета

В конце марта года стало известно о массовых задержаниях преступников, которые вели свою незаконную деятельность в теневом интернете. Подробнее здесь.

В номерах десятков гостиниц встроили мини-камеры. Подглядывать за гостями можно было за $50 в месяц

В середине марта года стало известно, что в десятках гостиниц Южной Кореи были установлены мини-камеры. Тайная съемка ни о чем не подозревающих туристов транслировалась в прямом эфире – подглядывать за гостями можно было за $50 в месяц.

В целом в скандал оказались вовлечены 30 гостиниц в десяти городах страны; двое правонарушителей уже арестованы, еще двое находятся под расследованием. Камеры были спрятаны в коробках цифрового телевидения, настенных розетках и держателях для фена, а отснятый материал транслировался онлайн, говорится в заявлении отдела кибер-расследований Национального агентства полиции. На сайте трансляции было зарегистрировано более участников, 97 из которых платили за доступ к камерам ежемесячно. По данным полиции, в период с ноября года по март года эта услуга принесла нарушителям более $

Клиентов мотелей в Южной Корее записывали на скрытые камеры и транслировали видео онлайн

Южная Корея не впервые сталкивается с подобной ситуацией: в в полиции было зарегистрировано более случаев незаконных съемок, в году уже более случаев, и этот показатель растет. В году десятки тысяч женщин вышли на улицы Сеула и других городов в знак протеста против подобных нарушений под лозунгом «Моя жизнь не ваше порно!»

В ответ Сеул создал специальную группу женщин-инспекторов, которые проводят регулярные проверки около 20 общественных туалетов города для поиска потайных камер. Впрочем, критики осуждают этот шаг как поверхностную меру. Тем не менее, этим деятельность полиции не ограничивается: в январе года совладелец южнокорейского порносайта был приговорен к четырем годам тюрьмы и обязался выплатить штраф в размере $1,26 млн. Soranet, который был закрыт в году, был популярным сайтом для загрузки видео и фотографий, снятых с помощью скрытых камер.^[16]

Мошенники, представляясь техподдержкой Microsoft, устанавливали вирусы

В конце февраля года был заключен в тюрьму владелец компании Devine Technical Services Бальинджер Сингх (Baljinder Singh), который под видом техподдержки Microsoft предлагал пользователям устранить вирусы с компьютеров, но на самом деле устанавливал вредоносное ПО для кражи денег. Подробнее здесь.

Секс-шантаж в интернете набирает популярность

В августе года стало известно о набирающем популярность способе вымогательства денег через интернет. Кибермошенники шантажируют пользователей тем, что расскажут их друзьям и близким о просмотре порно.

Хакеры отправляют электронное письмо, в котором прикладывают используемые жертвой логины и пароли, утечка которых, скорее всего, произошло ранее. Авторы сообщения утверждают, что взломали веб-камеру и засняли, как человек смотрит порнографические ролики и что делает в это время. Затем мошенники требуют выкуп в биткоинах за то, чтобы они не рассылали видео, которое якобы есть у них.

Хакеры заработали $0,5 млн, шантажируя жертв тем, что расскажут близким о просмотре порно

В одном из таких писем было написано следующее:

Я знаю, что это ваш пароль. Сначала мы записали видео, которое вы смотрели (у вас хороший вкус, ха-ха), а потом сделали запись с вашей веб-камеры (да, именно то место, где вы занимаетесь грязными делишками).

В этом сообщении хакеры требуют перечислить $ на биткоин-кошелек в течение 24 часов. В качестве доказательства они изъявляют готовность разослать интимное видео нескольким друзьям.

Пользователи, которые боятся запятнанной репутации, соглашаются на требования мошенников.

На такой схеме, как рассказал изданию Motherboard генеральный директор занимающейся кибербезопасностью компании Banbreach Суман Кар (Suman Kar), мошенники с минимальными усилиями смогли заработать $ тыс., используя старые пароли.

В Banbreach изучили около электронных кошельков, которые указывали мошенники в сообщениях о порно-шантаже. Большинство () кошельков были пустыми, но в замечены более 1 тыс. транзакций на общую сумму в 71 биткоин.^[17]

Некоторые злоумышленники находят жертв в социальных сетях и вебкам-чатах, знакомятся с ними от лица привлекательной женщины или мужчины и вовлекают пользователя в откровенный разговор, целью которого является виртуальный половой акт. Как только преступникам удается запечатлеть жертву на камеру или получить скриншот интимной переписки, они начинают шантажировать ее, угрожая опубликовать видео- и фотоматериалы в открытом доступе. 

В начале июля г. Александр Атаманов — к.т.н., основатель компании ТСС (производит средства криптографической защиты информации) и Александр Мамаев — к.т.н., гендиректор «Лаборатории Цифровой Форензики» (специализируется на расследованиях киберинцидентов) подготовили «масштабное исследование, посвященное становлению кибервойск КНДР, тактике и стратегии северокорейских хакеров».

Материал под названием «Серверная Корея», который, по мнению авторов, полон сенсационных данных, привлек внимание специалистов по стране. Однако было чрезвычайно огорчительно обнаружить, что доклад, подписанный двумя кандидатами наук, написан на уровне плохого студенческого реферата, изобилующего ссылками на желтую прессу без каких-либо попыток перепроверки, при том что самостоятельного исследования специалистов по кибербезопасности в нем нет вообще.

По сути, авторы повторяют тезисы статьи в The New York Times за 15 октября г., где в огромном для газеты материале автор собрал все дежурные «доказательства северокорейской криминальной киберактивности». Выводы тоже скалькированы оттуда: недооценивать угрозу кибератак Севера нельзя; КНДР собирается ввергнуть мир в глобальный хаос, потому что никто не осмелится ответить на хакерскую атаку военной; при этом киберсистемы самой КНДР не развиты (так что ответный удар невозможен), а ее специалисты действуют вне границ страны, что позволяет объявить любую атаку северокорейской на основании неких секретных доказательств.

Однако если задачу «навариться» на модной теме авторы выполнили, то необходимость объективного исследования, посвященного киберактивности КНДР, из-за этого только возросла. По мере возможностей автор, который в течение нескольких лет разрабатывал данный вопрос, пытается заполнить лакуну. Работа тоже носит более описательный характер, чем хотелось бы, но это связано с проблемами, которые целесообразно отметить в отдельном разделе.

Часть первая. Методологические проблемы сбора информации и доказательной базы

Не гоняясь за сенсациями, автор сразу хочет отметить, что его исследование может страдать неполнотой по двум группам причин. Первая — определенные трудности, связанные со сбором информации касательно КНДР. Здесь сказывается, с одной стороны, закрытость страны, в результате чего при отсутствии иной информации исследователи вынуждены использовать данные «ненадежных рассказчиков» без возможности качественной перепроверки их историй.

К чему это ведет, можно вспомнить на примере ситуации с Син Дон Хёком, когда выяснилось, что главный свидетель доклада о правах человека в КНДР и автор бестселлера «Побег из Лагеря 14» попросту выдумал большую часть душераздирающих подробностей своей истории. Однако в материалах на исследуемую тему источниками новостей оказываются т.н. «карьерные перебежчики», гастролирующие по РК или США с репертуаром, состоящим из «ужасов о Севере».

С другой стороны, никуда не уходит и антисеверокорейская пропаганда, отчего еще некоторая часть источников информации, например, национальная служба разведки РК, не может восприниматься автором как полностью объективная. Демонизация режима осуществляется как за счет вбросов заведомо ложной информации, так и за счет ситуаций, когда вне зависимости от качества улик КНДР объявляется причастной «хайли лайкли» (весьма вероятно. — Прим. ред.). В результате вместо того, чтобы описывать реальный режим, пусть и одиозный, и авторитарный, из КНДР лепят условное «государство зла», которое должно быть черным зеркалом представлений об идеальном государстве. Соответственно, если те или иные практики в «нашем» обществе запрещены или угрожают другим (как, например, хакерство), «государство зла» их с удовольствием практикует.

В этом контексте автору вспоминаются предыдущие мифы о том, как КНДР выпускала фальшивые доллары уникального качества, которые, правда, в товарном числе так нигде и не обнаружились. Говорили также о героине в количестве, сравнимом с афганским. Следов поставок такового за пределами страны также найдено не было.

С третьей стороны, демонизация КНДР оказывается способом прикрытия собственной некомпетентности. Это хорошо видно по ситуации в РК: каждый раз, когда объектом кибератаки становятся крупный банк или важное предприятие, немедленно выясняется, что это были северокорейские хакеры. Нередко спустя некоторое время на поверхность всплывают отголоски корпоративного скандала, связанного с вопиющей безответственностью внутри компании. Ведь одно дело — продемонстрировать широкой публике собственное разгильдяйство, а другое — стать жертвой секретных компьютерных служб тоталитарного режима.

На этом фоне забывается, что Южная Корея лидирует по числу незащищенных или плохозащищенных точек доступа Wi-Fi (47,9%), а по данным доклада, опубликованного интернет-провайдером Akamai Korea, в первом квартале г. в РК совершено DDoS-атак, причем мощность 19 из них превысила Гбит в секунду.

Однако вторая сложность исследования даже важнее, чем первая. Она касается проблем доказательства хакерской деятельности не только применительно к КНДР, но и вообще. Это важно, потому что у массового читателя, недостаточно знакомого с особенностями кибербезопасности (даже если он хороший специалист в востоковедении или политологии), представления о возможностях хакеров или принципах информационной безопасности вообще могут быть совершенно голливудскими, и они могут «повестись» на аргументы или утверждения, ценность которых, по мнению автора, сомнительна. Ряд таких тезисов мы разберем ниже, причем «северокорейские» хакеры здесь могут быть и российскими, и американскими, и даже албанскими.

Утверждение №1. «Похожее программное обеспечение применялось во время предыдущих атак северокорейских хакеров / в данной атаке используются эксплойты или элементы кода, применяемого хакерами из КНДР». Даже если вынести за скобки вопрос, точно ли предыдущие атаки были северокорейскими, можно отметить, что уникального хакерского программного обеспечения (ПО) немного и большинство взломщиков применяют ограниченный набор средств. Заимствование элементов кода является повсеместной практикой, которую используют для экономии времени, а также с целью ложно обвинить непричастную сторону.

Если даже уникальное в первой атаке ПО есть в открытом доступе, его элементы вполне могут быть скопированы или доработаны. Вдобавок хакерский рынок давно индустриализовался, и авторы вредоносного ПО, его распространители и выгодополучатели — часто совсем разные люди.

Стиль программирования или избранная тактика — неплохая косвенная улика, но только на больших объемах, позволяющих гарантированно определить, что это не случайное совпадение. А с учетом того, что причастность КНДР и к предыдущим атакам может быть под вопросом, доказательство «от повторения» подменяется навыком экстраполяции и создает порочный круг, когда в ходе расследования одно «хайли лайкли» нагромождается на другое, но в выводах это «возможно» исчезает, и о причастности КНДР говорят уже безапелляционно.

Теоретически бывает уникальное ПО или методика, которую применяют только определенные силы. Но сказать с достаточной долей уверенности, что «эту методику применяет только АНБ (Агентство национальной безопасности) США, потому что она очень дорогая или сложно исполнимая», бывает непросто. Чуть ли не единственный относительно достоверный пример — атака на центрифуги в Иране с применением вируса Stuxnet.

Утверждение № 2. «Это был IP из КНДР». Программы подмены IP распространены еще больше, чем хакерские. По сути, любой браузер с функцией VPN позволяет выдавать себя за пользователя другой страны. Да, бытовые анонимайзеры достаточно легко могут обойти и отследить реальный IP, но есть и более сложные способы.

Сколько-нибудь вменяемый хакер, приобретший возможность посылать сообщения с сети адресов даже минимального размера (так называемый ботнет), не светит и не собирается светить IP-адресами, на которых не работает ботнет.

Таким образом, никакие промежуточные IP-адреса (а адрес считается промежуточным, пока не доказано обратное) не являются доказательством, хотя если все отслеженные цепочки уходят в КНДР, это сильная улика, говорящая о наличии хакера в регионе, но не позволяющая его идентифицировать.

Среди подобных утверждений часто можно услышать следующее: «Атака проводилась из Шэньяна, значит это точно северокорейцы». При этом китайские спецслужбы и аффилированные с ними хакеры известны кибератаками на своих противников, в том числе и на РК.

Утверждение № 3. «Хакеры атаковали систему, не подключенную к Интернету». Здесь у специалиста сразу возникнет вопрос КАК. Вирус нужно неким образом занести, требуется принципиальная возможность доступа к объекту «со стороны Интернета». И если такой физической возможности нет, проще искать не вредоносную программу из ниоткуда, а человека, который каким-то образом выполнил работу вместо хакера (например, воткнул в неподключенный к Интернету компьютер флешку с программой автозапуска вируса). Таковым может быть как инсайдер, сотрудничающий с «хакерами», так и лицо, ничего об этом не подозревающее. Поэтому, с точки зрения ряда знакомых автора, все разговоры про успешные атаки внутренней сети скорее указывают на то, что на самом деле эта сеть не была полностью изолирована от внешнего мира.

Утверждение № 4. «У нас есть секретные доказательства, но мы их вам не покажем, потому что они секретные». Иногда это может означать, что вместо доказательств, соответствующих процедурам судопроизводства, есть доказательства, которые либо кажутся аналитикам надежными, но недостаточны для суда, либо источник доказательств или методы их добывания по каким-то причинам не разглашают (см. Разоблачения Wikileaks и Сноудена про PRISM и ряд иных программ). Но эта же фраза может означать доказательства, взятые с потолка, что важно воспринимать в связке со следующим тезисом.

Утверждение № 5. «Давайте поместим этот случай в политический контекст. КНДР уже была замешана в разнообразных грязных делах. Что мешает ей совершить еще и это?» Хотя этот тезис активно используется даже такими относительно объективными компаниями, как Recorded Future, де-факто речь идет не столько об учете «предшествующих преступлений и дурной репутации», сколько о формировании пресуппозиции: если ужасный кровавый пхеньянский режим может заниматься киберпреступностью, то отчего бы ему ее не практиковать? Ведь он ужасный, кровавый и пхеньнянский. Теоретическая возможность таким образом приравнивается к доказательству, что весьма напоминает аргументы некоторых «активисток женского движения» о том, что каждый мужчина является скрытым насильником по факту наличия члена. Может — значит делает!

Однако именно благодаря тезису о «кровавом пхеньянском режиме» любую кибератаку в РК принято атрибутировать как северокорейскую, если ее можно отнести к угрозам национальной безопасности, а следы иного происхождения не слишком очевидны. Собственно, все новости класса «Х могла быть причастна к У» спекулятивны, если не сопровождаются хотя бы какими-то основаниями. То же самое касается фраз класса «группировки, связанные с Пхеньяном». Такое утверждение не аксиома. Факт связи стоит доказать чем-то большим, чем «они работают против его врагов».

К более вероятным, но все равно косвенным уликам относятся:

— результаты лингвистической экспертизы, когда родной язык хакера определяют по допущенным ошибкам;

— анализ кода, при котором можно выяснить режим работы хакера, его часовой пояс или выбор языка по умолчанию. Например, на идентификацию российского происхождения хакерской группировки APT29 указывали не только особенности вирусов, но и русские слова в коде и часы работы, совпадавшие с московским временем;

— ситуация, когда группировка признается в совершенном или берет на себя ответственность.

Однако и в этих случаях остается вероятность того, что умелый хакер путал следы, русский язык в коде принадлежал эмигранту, который уже 10 лет живет в США, а честолюбцы приписали себе чужие успехи или некто пошел на сделку с правосудием. В системе политических интриг даже логику «кому выгодно» надо применять с осторожностью из-за возможности провокаций.

В результате серьезные улики возникают только там, где цифровой мир соприкасается с реальным. Например, хакера поймали непосредственно в момент атаки или на его компьютере, оказавшемся в руках следствия, нашли исходники вируса или иные доказательства того, что атака была оттуда. Либо доказан факт получения хакером похищенных денег (отследили перевод на аффилированный счет в цепочке платежей, сняли момент снятия денег в банкомате, выявили использование похищенных номеров кредиток и т.п.). Либо нашли свидетелей, готовых дать показания против хакера.

Однако и в этих случаях могут возникнуть вопросы. Например, въедливый адвокат может заявить, что вредоносное ПО, из-за которого его клиент обвиняется в хакерстве, могло быть загружено туда в любой момент откуда угодно без оповещения владельца, включая время после конфискации.

В результате доля успешно раскрытых серьёзных киберпреступлений пока критически невелика. Большая часть из них — мелкое мошенничество в Сети, которое хакерством назвать можно с большой натяжкой, а серьезные инциденты с незаконным удалённым проникновением в корпоративные и государственные системы остаются нерасследованными почти без исключений, особенно если хакер работает с чужой территории. Связанные с ними обвинения основаны скорее на политической конъюнктуре.

Заметим, эти проблемы специалистам видны. Даже авторы «Серверной Кореи» сетуют на то, что применительно к КНДР «традиционные» методы идентификации организаторов атак (по IP, серверам или «лингвистическим следам» в коде) практически не работают». Однако это не мешает им демонстрировать гибкую совесть, обвиняя КНДР на основании косвенных улик, при том что в сети несложно найти материал, в котором один из авторов доклада Александр Мамаев рассказывает «Би-би-си», почему косвенные доказательства при расследовании киберпреступлений стоит подвергать сомнению. «Анализируя программы, специалисты способны выявлять некоторые особенности, свидетельствующие о национальной принадлежности. Однако с таким же успехом эти признаки в программном коде могут оставлять специально, чтобы запутать следы и перевести стрелки на северокорейских, китайских, русских хакеров (нужное подчеркнуть в зависимости от геополитической обстановки)», — говорит автор доклада.

Конечно, иногда бывает, что избыточную концентрацию косвенных улик можно приравнять к прямой — если, скажем, северокорейскими оказались и код, и адрес, и ответ на вопрос, кому выгодно. Проблема в том, что применительно к КНДР такая комбинация пока не выпадала либо существует только по данным секретных улик.

Часть вторая. Немного об IT-сфере в КНДР

Минимальный ликбез на эту тему необходим для ответа на вопрос о том, есть ли у Пхеньяна теоретическая возможность готовить хакеров.

Считается, что на момент смерти Ким Чен Ира в г. в КНДР было IP-адреса. Между тем, благодаря наличию Чхонрёна (Просеверокорейская ассоциация корейцев Японии) какое-то количество северокорейских сайтов находилось на японских доменах. Даже сайт ЦТАК какое-то время находился по адресу goalma.org А один из наиболее известных пропагандистских сайтов goalma.org имеет «нейтральное» окончание.

Сам домен .кр известен с г., но сайтов на нем не так много, хотя среди доменов второго уровня зарегистрированы goalma.org, goalma.org , goalma.org, goalma.org, goalma.org, goalma.org, goalma.org и goalma.org.

В г. компания HP, предоставившая свой отчет о северокорейской хакерской угрозе, назвала косвенной уликой существования кибервойск КНДР то, что в школах там всерьез изучают математику. Действительно, в школах в КНДР преподают математику на достаточно высоком уровне, а среди обязательных предметов есть и компьютерная грамотность. Эту информацию сообщил автору представитель школы, которую он посещал в г. По его словам, в компьютерном классе стояли новые моноблоки китайского происхождения.

Известно, что в КНДР сохраняется система подготовки одаренных детей: в каждой провинции существует т.н. школа №1, выпускников которой заранее отбирают представители вузов. И это не только Университет имени Ким Ир Сена, но и т.н. Институт Физики (Рихва тэхак — кор.), который занимает в северокорейском образовании нишу МФТИ.

Несмотря на то, что Интернет в КНДР подменен Интранетом, жизнь в нем кипит. Сеть «Кванмён» была создана в г. при содействии ПР ООН и полностью распространилась по стране в г. Как сообщали автору во время его поездок на Север, в Интранете есть и сервис знакомств, и доски объявлений, и онлайн-игры, и иные площадки для сетевой социализации. О чатах и форумах в Интранете сообщали и иным блогерам, посещавшим страну.

Учитывая, что значительная часть российских пользователей ставит знак равенства между Интернетом и соцсетями, можно предположить, что внутренняя сеть вполне покрывает большинство местных потребностей. Ведь существует даже планшетник, также завязанный на Интранет.

Что же до Интернета, то из крупных электронных библиотек типа Храма науки и техники туда можно выйти, хотя это напоминает поход в спецхран — обычно северокорейцы выходят в разнообразные базы данных типа goalma.org для того, чтобы найти и скачать конкретный материал.

Теоретически у номенклатуры выход во Всемирную сеть есть и дома. Перебежчики упоминают, что богатые молодые северокорейцы владеют персональными компьютерами и играют в такие видеоигры, как Counter-Strike. А согласно отчету компании Recorded Future, 65% всей интернет-активности в Северной Корее приходилось на игры и потоковое воспроизведение контента из китайского видеохостинга Youku, iTunes и сервисов BitTorrent и peer-to-peer. Для игр северокорейские пользователи предпочитали игры от Valve (Half-Life, Counter-Strike, Team Fortress, Dota 2 и др.) и многопользовательскую онлайн-игру под названием World of Tanks.

Подготовка молодых компьютерщиков тоже имеет место — еще в е гг. Ким Чен Ир рекламировал программирование как способ восстановления экономики страны, активно создавая индустрию станков с ЧПУ. При нем же появились соответствующие факультеты в технических вузах и ежегодные конкурсы по написанию программного обеспечения. При Ким Чен Ыне престиж ученых, особенно инженерных и IT-специальностей, тем более увеличился.

Северокорейские аниматоры часто рисуют не только японские, но и американские мультфильмы (аутсорсинг — вещь распространенная), а северокорейские компьютерщики нередко пишут программное обеспечение для китайских компаний. Любопытно, что при этом они находятся на казарменном положении под жестким контролем, как и северокорейские лесорубы в России. Видимо, отсюда растут ноги у тезиса про северокорейские базы хакеров на китайской территории.

Вообще из северокорейского ПО известны антивирусная программа SiliVaccine и ОС «Пульгын пёль»/Red Star, являющаяся одной из локализаций Linux. На г. в Пхеньяне могли похвастаться системой комплексной защиты компьютерных сетей «Чхольбёк», персональным файрволлом «Чхольонсон» или USB-устройством для аутентификации по отпечаткам пальцев.

В г. стало известно про первый северокорейский наладонник, в г. — про первый интернет-магазин, в г. — про стриминговый сервис в крупных городах, а в г. — про планшет, оптимизированный под работу в Интранете. К этому же времени относится информация о том, что на примерно 25 млн человек в КНДР приходятся 4 млн мобильных телефонов.

Как свидетельствует Глобальный индекс кибербезопасности, опубликованный 5 июля г. Международным союзом электросвязи, КНДР занимает ое место в мире по уровню кибербезопасности (РК — ое) по критериям правовой, технической и организационной подготовленности, готовности к сотрудничеству, развитию образовательного и исследовательского потенциала. Подобные данные говорят, что в стране хватает кадровых и технических ресурсов для создания кибервойск, состав и структура которых будут рассмотрены в следующей части.

Часть третья. Киберотходники и кибервойска

Анализ внутренней структуры северокорейских хакеров — наиболее спекулятивная тема, в рамках которой в наибольшей степени приходится работать с ненадежными источниками, пытаясь определить, «на сколько надо делить» предоставляемую ими информацию, и отчасти полагаясь на аналогии.

Первое, что надо сделать, — отделить, собственно, хакерские группировки от той части северокорейских гастарбайтеров, которые зарабатывают не ремонтом квартир или рубкой леса, а «программированием широкого профиля». Нашумевшее интервью перебежчика журналу Bloomberg Businessweek на самом деле описывает быт именно таких «киберотходников», и нужно заметить, что их печальные условия жизни не особо отличаются от условий жизни северокорейских и иностранных рабочих в Китае вообще.

Сам Чон, как себя назвал главный персонаж интервью, — типичный ненадежный рассказчик. Bloomberg Businessweek вышел на этого хакера не самостоятельно, а через «источники в правительстве» (читай, национальную службу разведки), которые вывели его на посредника, организовавшего встречу. В его рассказе много странных моментов вроде пересечения границы пешком (хотя вообще-то есть ж/д сообщение), получения степени магистра (хотя в КНДР специалитет) или полного отсутствия конкретных данных, позволяющих установить место его работы (имя «связанного с Пхеньяном магната», в доме которого работала группа программистов, можно было бы и сообщить). Нет и полезных технических деталей, позволяющих определить компьютерную квалификацию собеседника. Зато известно, что дезертировал он после некой «неприятной истории с госслужащим» (это может означать разное), после чего два года занимался фактически тем же, но работая на себя, и только устав и поиздержавшись, стал искать путь в РК.

Зато есть нужные для эмоционального эффекта истории о том, как он работал на арендованном у товарищей компьютере или о том, как молодому программисту сломали ребра за то, что его угостил кимчхи южнокорейский бизнесмен. Настоящих хакеров, которые вроде бы занимались серьезным шпионажем, он тоже видел, но мельком, и не говорил с ними. Зато интервьюируемый уверен в том, что все истории про таковых — правда, и готов их подтверждать.

В остальном же рассказ Чона совпадает с рассказами о быте и условиях жизни других отходников, отпущенных на относительно вольные хлеба: казарменное положение, старший, который распределяет контракты и получает деньги (самому хакеру остается 10% заработанного), прикомандированный офицер безопасности и фиксированный минимум, который надо сдавать, чтобы не уехать домой. При этом у разных рассказчиков сумма разнится: Чон говорит про тысяч долларов в год, иные респонденты — про 5 тысяч долларов в месяц. Принудительное возвращение на «перевоспитание» тех, кто пытался скрывать доходы или проявлять нелояльность режиму, — двухчасовые политзанятия по субботам. У таких работников фактически ненормированный график, тяжелые жизненные условия и отсутствие нормальной медицинской помощи.

При этом формально Чон считался стажером-исследователем и иногда даже создавал научное программное обеспечение, например, программу построения графиков данных, которую отправлял через границу. Это, конечно, заставляет задаться вопросом, зарабатывал ли он сам или по приказу родины, но сейчас это не так важно.

То, чем занимались отходники, не особенно отличалось от работы иных «китайских кодеров». Речь идёт о добывании бета-версий коммерческого программного обеспечения (включая видеоигры и программы безопасности) и изготовлении их пиратских реплик, которые затем напрямую или через брокерские веб-сайты со всего мира продавались в основном пользователям из Китая или Южной Кореи. Кроме того, отходники занимались взломом игровых сайтов и перепродажей информации, ботоводством в онлайн-играх, таких как Lineage и Diablo, в том числе развитием персонажей и продажей таковых примерно за долларов за штуку, разработкой и продажей приложений для iPhone и Android для вызова такси, интернет-магазинов, распознавания лиц — всем, что дает деньги. С помощью фальшивых удостоверений личности они также работали на таких фриланс-сайтах, как goalma.org При этом команды программистов отправляли на заработок самые разные организации — от государственного компьютерного центра до министерства железных дорог.

То, что северокорейские программисты выдают себя в Интернете за граждан других государств и/или торгуют ПО своей разработки, выдавая его за творчество иных стран, в целом не секрет. Еще в г. Северная Корея открыла совместное предприятие с Nosotek Joint Venture Company. Утверждается, что Nosotek с нуля учила программированию элитных студентов-математиков КНДР, после чего те выполняли для западных заказчиков проекты в области электронной коммерции, писали специализированные веб-приложения и компьютерные игры для мобильных телефонов, в том числе по мотивам фильмов «Большой Лебовски» и «Люди в чёрном».

Также автору известно, что на территории некоторых неработающих из-за санкций заводов северокорейская молодежь занимается созданием ПО, благо оно пока не является санкционным продуктом. Правда, такой активный приток молодежи в киберсферу начался в последние два-три года.

Заметим, что несмотря на санкции, аутсорсинг в КНДР не запрещен, однако южнокорейские, а вслед за ними и западные «эксперты» чохом записывают в хакеры всех работающих за рубежом программистов либо «открывают Америку» новостями о том, что компании, связанные с властями Северной Кореи, тайно разрабатывают и по всему миру продают разнообразное программное обеспечение.

Так, по мнению главы департамента информационной безопасности университета Корё Лим Чжон Ина, только в китайских пограничных городах Шэньян и Даньдун более ста китайских предприятий являются прикрытием для северокорейских хакеров. А после того как в рамках выполнения санкций СБ ООН Китай прикрыл эти предприятия, хакеры были перемещены в другие страны, такие как Россия и Малайзия. Другие эксперты РК утверждают, что КНДР отправила сотни хакеров в Китай, Индию и Камбоджу, где они собрали сотни миллионов долларов.

Существуют также похожие рассуждения о том, что «Пхеньян проводит кибератаки руками около тысячи хакеров, находящихся в Китае и странах Юго-Восточной Азии. В эти регионы они были направлены под видом простых рабочих, зарабатывающих для страны иностранную валюту», говорится в материале главы инновационного отдела Государственного института проблем безопасности Ким Ин Чжуна, представленном 31 марта г. на научной конференции на тему «Северокорейская киберугроза и ответная стратегия». Оказывается, Север отправил в Китай, Малайзию, Камбоджу и другие страны региона своих специалистов по информационно-коммуникационным технологиям. Они занимаются разработкой программного обеспечения и администрированием различных сайтов, а в случае получения приказа из Пхеньяна осуществляют кибератаку на указанный объект.

Самой громкой новостью на эту тему стал опубликованный в мае г. доклад Центра исследований проблем нераспространения Джеймса Мартина, вскрывший цепочки посредников (в основном, в Китае, Юго-Восточной Азии, Африке и России), через которых северокорейское ПО доходит до западного потребителя.

Среди предлагаемой продукции упоминаются программное обеспечение для шифрования данных и VPN, технологии искусственного интеллекта, технологии сканировании отпечатков пальцев и программы для распознавания лиц, технологии кодирования данных, системы управления бизнесом для корпоративных клиентов и др.

Эксперты Центра проанализировали работу нескольких IT-компаний, связанных с КНДР, в том числе Adnet International, которая до недавнего закрытия базировалась в Малайзии и поставляла продукцию в 14 стран мира, включая Россию, Китай, Канаду, Великобританию и Германии.

Adnet считается дочерней структурой оборонной компании Global Communications Co (Glocom), которая, в свою очередь, считается подставной компанией северокорейских спецслужб и продавала оборудование в сфере связи для «военных и военизированных» организаций. Точнее, две малайзийские фирмы, контролируемые инвесторами из КНДР, в г. зарегистрировали сайт Glocom, после чего Северная Корея покупала в Гонконге дешевую электронику, а затем переделывала ее в радиостанции военного назначения, которые продавались в развивающиеся страны за 8 тыс. долларов за штуку. За этим бизнесом стояла компания Pan Systems Pyongyang, которая находится под управлением разведывательных структур Северной Кореи и руководит сетью подставных компаний и агентов в Малайзии, Сингапуре и Китае. Другой пример — Aprokgang Technology Company, работающая в России, КНР и ряде стран Африки.

Тревогу американские эксперты забили, указывая на то, что деятельность КНДР в IT-секторе представляет собой «угрозу кибербезопасности, масштабы которой серьезно недооцениваются». А вдруг в этом программном обеспечении есть эксплойты, которые в случае чего могут быть активированы? И хотя первичный поиск таких не обнаружил, теоретически благодаря им КНДР может получить доступ к компьютерным системам и личным данным покупателей.

Теперь поговорим непосредственно о «боевых хакерах». Увы, при попытке проследить информационный след новости мы утыкаемся в то, что 90% информации исходит от одного перебежчика, который называет себя Ким Хын Гваном. По легенде, он преподаватель компьютерных наук, который бежал из страны в г., но до сих пор обладает источниками информации в Северной Корее и активно дает интервью «Би-би-си» и иным СМИ.

По словам Кима, после вторжения США в Ирак Ким Чен Ир заявил, что война XXI века связана с информацией, и начал укреплять этот сектор. Ким Чен Ын же решил расширить деятельность хакеров и сделать их атаки более интенсивными.

Главная хакерская контора, по словам Ким Хын Гвана, — разведка КНДР, в составе которой имеется некое Подразделение Кроме того, в г., еще при Ким Чен Ире, в КНДР создали специальное подразделение для проведения киберопераций под кодовым названием Подразделение , которое входит в состав разведывательного управления армии и подчиняется напрямую Генштабу КНДР. Другая северокорейская структура, предназначенная для ведения кибервойны, известна как Подразделение

По словам Ким Хын Гвана, Подразделение — один из приоритетных проектов правительства КНДР, получающий очень серьёзное финансирование. В нем служат около «военных хакеров», в задачи которых входят атаки на инфраструктурные объекты — линии связи и коммуникационные спутники. Про аналогичное число кибербойцов пишет (видимо, тоже со ссылкой на Кима) южнокорейская Белая книга по обороне г.

Хакеров набирают из числа студентов факультета автоматизации Политехнического университета имени Ким Чхэка в Пхеньяне, реже — выпускников соответствующей кафедры Пхеньянского университета, получивших дополнительное образование за рубежом — в России, Китае и Иране.

По сведениям иных перебежчиков, северокорейские хакеры вербуются из выпускников Пхеньянского университета науки и технологий, открытого в г. в рамках межкорейского сотрудничества. Существует еще одна версия, тоже от перебежчиков: перспективных кандидатов начинают отбирать с 11 лет и направляют в специальные школы, где обучают основам кибербезопасности и разработке компьютерных программ. Они освобождены от обычной военной службы, имеют привелигированный статус и улучшенное довольствие.

Ким Хын Гван утверждает, что Подразделение вовлечено в хакерские атаки на финансовые институты, и для осуществления атак хакеры из КНДР зачастую выезжают из страны под видом сотрудников торговых фирм или филиалов северокорейских компаний, чтобы «не оставлять следы».

С этой идеей согласен и заместитель министра иностранных дел Южной Кореи Ан Чхон Ги: «КНДР осуществляет хакерские атаки через третьи страны, чтобы скрыть происхождение атак, а также использует их инфраструктуру в области информационных и коммуникационных технологий». В результате, если следовать такой логике, любую атаку можно объявить северокорейской.

Другой источник данных о хакерах — материал главы инновационного отдела Государственного института проблем безопасности Ким Ин Чжуна, представленный 31 марта г. на научной конференции на тему «Северокорейская киберугроза и ответная стратегия». В этой версии под руководством северокорейских военных и Трудовой партии действуют семь организаций, объединяющих хакеров, кроме того в этой сфере в СК работают ещё 13 организаций, в которых числятся примерно сотрудников.

В докладе также повторяется тезис о том, что Пхеньян отправил в Китай, Малайзию, Камбоджу и другие страны региона своих специалистов по информационно-коммуникационным технологиям. Они занимаются разработкой программного обеспечения и администрированием различных сайтов, а в случае получения приказа из Пхеньяна осуществляют кибератаку на указанный объект.

С тех пор цифра в 7 тыс. хакеров кочует из одного отчета в другой. Например, она приводится в докладе на тему «Развитие науки и технологий и новые угрозы со стороны КНДР», который был подготовлен в Институте проблем воссоединения при министерстве объединения РК в мае г. Там структура расписана чуть иначе: имеется командование киберопераций в составе министерства народных вооружённых сил и аналогичный орган в Центральном комитете Трудовой партии Кореи. В общей сложности таких структур семь, и в них работают человек. Кроме того, в десяти организациях, оказывающих ту или иную помощь хакерам, работают ещё 6 тыс. человек. Следовательно, к кибертерроризму причастны примерно 17 организаций, в которых работают человек.

Такая же цифра в ха­ке­ров, спон­си­ру­е­мых го­су­дар­ством, и более вспо­мо­га­тель­ных со­труд­ни­ков фигурирует и у Фер­гу­са Хэн­со­на, главы Меж­ду­на­род­но­го цен­тра ки­бер­по­ли­ти­ки в Ав­стра­лий­ском ин­сти­ту­те стра­те­ги­че­ской по­ли­ти­ки, хотя без труда можно заметить, что к хакерам приписали как минимум обслуживающий персонал. Зато получается число, сравнимое с аналогичными силами США (6–7 тыс. человек), которым можно хорошо пугать аудиторию.

Другой специалист по северокорейским хакерам — некто Дмитрий Альперович — один из основателей компании CrowdStrike, занимающейся информационной безопасностью. Именно он в июне г. перед президентскими выборами в США первым сообщил о взломе почтовых серверов Демократической партии хакерами из России, а в феврале г. представил миру доклад о структуре северокорейских хакеров.

В интерпретации Д. Альперовича организация северокорейских хакеров носит общее название Lazarus и состоит из трёх групп. APT37 или «Лабиринт Чхоллима» занимается в основном похищением информации. Ранее она концентрировалась на кибератаках в отношении Республики Корея, но в последнее время действует против организаций и частных лиц из Японии, Вьетнама и ряда ближневосточных стран, которые реализуют антисеверокорейские санкции. В ее распоряжении есть вредоносные программы, позволяющие наносить атаки по компьютерным сетям, не подключённым к Интернету. Вторая группа под названием «Тихая Чхоллима» направляет кибератаки на компьютерные сети. Третья группа называется «Метеоритная Чхоллима», и её цель состоит в похищении денежных средств.

Авторы «Серверной Кореи» несколько доработали классификацию Д. Альперовича. В их интерпретации кибервойска КНДР можно разделить на четыре группы: Stardust Chollimа (коммерческие атаки), Silent Chollima (действия против СМИ и государственных учреждений), Labyrinth Chollima (действия против спецслужб), Ricochet Chollima (хищение данных пользователей). Оба автора даже привели корейские названия этих групп (чтобы показать, что это не условные имена, которые дают неизвестным хакерам западные авторы), и все бы было хорошо, если бы не одна деталь, хорошо знакомая корееведам.

Крылатый конь Чхоллима, пробегающий в день тысячу ли (1 ли = м), в течение долгого времени был символом чучхэйских темпов движения вперед, и движением Чхоллима назывался аналог стахановского движения в СССР. Однако в XXI веке «покемон обновился», и уже несколько лет вместо него используется термин Маллима — новый конь пробегает уже десять тысяч ли в день. СМИ КНДР теперь пишут о «новой эпохе Маллима», и использование старого термина выглядит примерно таким же анахронизмом (если не фальшивкой), как советский документ х гг., в котором вместо КПСС фигурирует ВКП(б).

Другая компания, специализирующаяся на компьютерной безопасности, FireEye, также упоминает группировку APT37 как команду хакеров, которая осуществляет разведывательную деятельность в пользу властей КНДР. По версии FireEye, APT37, именуемая также Reaper, в течение нескольких лет осуществляла кибератаки в отношении Республики Корея, а с г. также против Японии, Вьетнама и ряда ближневосточных стран. Ее целями были предприятия, связанные с производством электроники, а также здравоохранением, химической и авиационной промышленностью. Связь между APT37 и Пхеньяном удалось проследить с помощью анализа IP-адресов. Правда, надо понимать, что названия типа АРТ (сокращение от Advanced Persistent Threat) — это термины американских специалистов, а не самоназвания.

Основной базой северокорейских хакеров за рубежом считается Китай, особенно его северо-восточный регион. Шэньянский отель Чхильбосан, принадлежащий КНДР, традиционно позиционировался как цитадель хакеров.

Вообще, северокорейские хакеры часто пользуются китайскими провайдерами и интернет-сервисами, хотя бы потому что хакеры-отходники действуют в рамках или под видом китайских компаний. Таким образом, даже отслеженная атака как минимум идет с китайских IP, но поскольку китайских хакеров не меньше и среди них встречаются этнические корейцы, использовать этот аргумент как полное доказательство пхеньянского следа некорректно.

Кроме того, как утверждает The New York Times, спецслужбы США пытаются отслеживать северокорейских хакеров в Индии, Малайзии, Новой Зеландии, Непале, Кении, Мозамбике и Индонезии, через серверы которых Пхеньян «проводил атаки» на другие страны.

Если подвести итог, можно допустить следующее.

— большое число молодых программистов, которые в КНДР, безусловно, есть, не тождественно аналогичному числу хакеров;

— тем не менее какое-то число зарубежных отходников может заниматься хакерством — по собственной воле, в рамках работы на некорейского хозяина или по заданию центра;

— спецслужбы КНДР теоретически имеют в своем составе подразделения, отвечающие за информационную безопасность, однако дальнейшее раскрытие этих структур происходит по данным ненадежных рассказчиков. Эту информацию нельзя не принять к сведению, но доверять ей полностью не следует;

—  также не следует полностью исключать и вариант, при котором по тем или иным причинам та или иная группировка хакеров выдает себя за северокорейцев (или хотя бы намекает на это).

Часть четвертая. Хроника хакерских атак, предположительно связанных с КНДР

В данном разделе мы просто приводим новости, иногда указывая на то, как именно был обоснован северокорейский след. Полагаем, что аудитория достаточно хорошо помнит раздел по методологии, чтобы разбирать данные доказательства с отмеченной там точки зрения. В дальнейших разделах мы разберем наиболее громкие истории для того, чтобы определить уровень реальной причастности КНДР к этим событиям. В основном мы ориентировались на южнокорейские, реже — англоязычные или российские СМИ.

Первую хакерскую атаку на РК относят к г. Пред­по­ла­га­ет­ся, что тогда хакеры внед­ри­лись в бес­про­вод­ную сеть в Южной Корее и те­сти­ро­ва­ли вре­до­нос­ный ком­пью­тер­ный код.

В мае и июле г. кибератаки КНДР были направлены на сетевые структуры США и Южной Кореи. Атаки на некоторое время заблокировали доступ к сайтам Федеральной торговой комиссии США, Министерства финансов, Министерства транспорта и еще нескольких сайтов. Сайты Белого дома и Пентагона также были атакованы, но как будто не упали. В РК атаковали сайт президентской администрации, сайт Министерства обороны, а также сайты банков и газет. Однако, как считает директор компании SecureWorks Джо Стюарт, нет никаких свидетельств, что DDoS-атаки на американские и южнокорейские сайты организованы при поддержке правительства Северной Кореи. Более того, применительно к самой разрекламированной атаке, всего через четыре дня выяснилось, что на самом деле атаки шли из РК, после чего предполагаемый хакер был арестован, а управляющий сервер найден.

В сентябре г. атаке подвергся банк «Нонхёп». По данным прокуратуры и полиции, за этим стояли северяне.

4 августа г. Сеульское полицейское управление сообщило об аресте 15 граждан РК за создание незаконного программного обеспечения и хакерскую деятельность. По сообщению полиции, участники банды с помощью более 30 северокорейских разработчиков создали программу, с помощью которой переводили на собственные счета деньги со счетов южнокорейских игровых онлайн-сайтов. Таким образом, с г. банда получила деньги на сумму 6 млн долл. В ходе расследования выяснилось, что северокорейские хакеры действовали со специальных баз в Китае, созданных в июне г., и получали деньги на жизнь от своих южнокорейских спонсоров, переводя часть из них в КНДР.

В июне г. кибернападению подверглось консервативное СМИ «Чунан Ильбо», атака повредила сервер и веб-сайт. Полиция позже определила, что за нападение несет ответственность Северная Корея.

20 марта г. южнокорейские телевещательные компании и банковский сектор пострадали от кибертеракта, известного как DarkSeoul. Их работа была затруднена в течение 10 дней, а материальный ущерб составил почти млн долл. Однако Сеул сообщил, что нашумевшая атака была осуществлена с территории РК, а не с китайского IP, как это заявлялось ранее. Не упоминая, кто же именно стоял за атакой, в Южной Корее заявили, что борцы с киберугрозой спутали частный адрес, используемый внутри банка «Нонхёп», с официальным IP, относящимся к КНР. Компания SophosLabs также не смогла доказать северокорейское происхождение ПО, которое использовалось при атаке.

Впоследствии, когда стало принято считать атаку северокорейской, об этом факте забыли, но советуем обращать внимание на этот момент всякий раз, когда при доказательстве северокорейского следа главным аргументом будет то, что атака была сходна с атакой марта г.

марта последовала еще одна атака, нацеленная на сайты антисеверокорейского содержания (в основном управляемые перебежчиками), и в апреле власти РК объединили их, официально подтвердив северокорейский след. Как заявил глава Корейского центра интернет-безопасности Чон Гиль Су, из 76 фрагментов вредоносного кода, используемых в атаках, 18 битов кода использовались исключительно северокорейскими хакерами в предыдущих попытках взлома. Кроме того, из 49 обнаруженных маршрутов проникновения 22 были интернет-адресами, которые Север использовал с г. для запуска хакерских атак. Однако в конце июля в СМИ появились материалы, говорящие о том, что атака могла быть местного происхождения либо речь шла о просеверокорейски настроенном инсайдере или хакере из местных.

В августе г. хакеры преследовали британскую телекомпанию «Четвертый канал», которая объявила о планах создания телесериала о похищении в Пхеньяне британского ученого-ядерщика. Сначала северокорейцы просто протестовали против британского правительства, называя сериал скандальным фарсом и требуя прекращения работ. Когда это было проигнорировано, британские власти обнаружили, что северокоерйские хакеры взломали компьютерную систему телевизионной сети. Атака была остановлена до нанесения какого-либо ущерба, и главный исполнительный директор «Четвертого канала» Дэвид Абрахам первоначально пообещал продолжить производство. Однако инвестиции в проект внезапно иссякли, и он закрылся.

24 ноября г. ряд компьютеров американской кинокомпании Sony Pictures Entertainment был атакован хакерской группировкой, и южнокорейские СМИ сразу же заговорили о северокорейском следе. Более подробно этот кейс проанализируем в следующей главе.

Между 9 и 12 декабря г. «северокорейские хакеры» или, точнее, неизвестные «представители антиядерной группы из Гавайев Who Am I взломали и выложили в открытый доступ информацию о личных данных сотрудников KHNP (ведущей компании-оператора АЭС), а также чертежи некоторых узлов реакторов и некоторые тестовые данные. Хакеры слили информацию через социальные сети, предположительно, чтобы попытаться создать общественную панику и нарушить энергетическую политику на Юге. Хотя южнокорейские официальные лица утверждали, что произошла утечка только некритических ядерных данных, «страна подверглась потенциальным рискам отключения электроэнергии, а также радиоактивного загрязнения».

Как установило позднее следствие, кибератака была совершена путем рассылки на адреса электронной почты сотрудников корпорации фишинговых писем с вредоносным кодом. Злоумышленники более двухсот раз проводили подключения из китайского города Шэньяна, где расположена одна из основных баз северокорейских хакеров.

13 января г. независимые исследователи безопасности Ars Technica провели анализ официального web-сайта северокорейского новостного агентства ЦТАК и выяснили, что ресурс содержит исполняемый вредоносный код, замаскированный под обновление для Flash. Как сообщается, часть кода JavaScript, вызываемого с главной страницы web-сайта, скачивает на систему пользователя архив с названием FlashPlayerzip. Внутри него находятся два исполняемых файла Windows, один из которых является обновлением для давно устаревшего Flash Player 10, а второй — расширением для web-обозревателя. Наличие в архиве вредоносного кода удалось подтвердить при помощи сервиса VirusTotal.

В результате предварительного анализа экспертов стало ясно, что вирус находится на web-сайте как минимум с декабря г. Кроме того, работа ресурса настроена таким образом, что скачивание FlashPlayerzip может быть инициировано администрацией портала по собственному желанию (например, для пользователей определенных браузеров тех или иных версий).

В марте г. Южная Корея обвинила Северную в хакерских атаках на компьютерные системы своих АЭС, совершенные в конце г.: выяснилось, что компьютеры, с которых производилась атака, находятся на северо-востоке КНР в Шэньяне, а также ряде других городов, расположенных недалеко от границы с КНДР. Было также выявлены и другие совпадения с предыдущими хакерскими атаками, которые приписывают Пхеньяну.

Также в марте г. снова проявились хакеры Who Am I, опять выложив новые чертежи ряда ключевых узлов южнокорейских АЭС. На этот раз они потребовали денег за свое молчание, утверждая, что из 16 тысяч запущенных ими вирусов найдено и обезврежено только семь тысяч. В ответ власти РК заявили, что некоторые из личных и рабочих компьютеров сотрудников компании-оператора АЭС действительно были заражены, но все эти программы нейтрализованы, а безопасности атомных реакторов ничто не угрожает.

На этот раз северокорейский след Who Am I был изобличен. Как сообщил представитель прокуратуры, «характер использованных IP-адресов и кодов примерно на 70 % совпадает» по составу и методам воздействия с вредоносным программным обеспечением, которое используют северокорейские хакеры, желавшие «затруднить эксплуатацию южнокорейских АЭС путём повреждения жёстких дисков компьютеров» .

Правда, если хакеры и впрямь «хотели затруднить эксплуатацию южнокорейских АЭС путём повреждения жёстких дисков компьютеров», а равно «опубликовать в сети конфиденциальные документы корпорации», то это означает, что управляющие АЭС компьютеры с программным обеспечением — те же подключенные к Интернету машины, на которых находится взломанная почта сотрудников? Если так, то либо налицо вопиющие проблемы в системах безопасности, либо речь идет всего лишь о взломе почты, отчего хакерам оказалась доступной вся переписка, которую хранили на Google-диске.

В июле г. северокорейский след обнаружился и в атаке на компьютеры сотрудников корпорации «Сеульское метро». Тогда был найден несанкционированный доступ к компьютерам, зараженным вирусом. И хотя утечка информации происходила в течение нескольких месяцев, после обнаружения атаки все 4 тыс. рабочих компьютеров корпорации получили дополнительную защиту.

В начале октября г. хакеры КНДР пытались взломать компьютеры депутатов южнокорейского парламента и их помощников, а также сотрудников администрации президента, Министерства обороны, МИД, Министерства объединения. Спецслужбы РК предотвратили (по их собственным заявлениям) кибератаку, однако частные электронные почтовые ящики некоторых депутатов и их помощников оказались незащищёнными. Была украдена информация, имеющая отношение к регулярным парламентским проверкам деятельности госструктур, а также выстраиванию политики Сеула в отношении КНР. Действовали хакеры с территории Китая, но политический нюх разведчиков отличил китайских хакеров от северокорейских.

В ноябре г. вредоносные коды обнаружились и в компьютерах ведущих южнокорейских оборонных компаний, в том числе в десяти компьютерах отдела по связям с общественностью ведущей компании оборонной сферы «LIG Nex 1», которая занимается разработкой военных технологий. Вредоносное ПО было занесено электронными письмами и распространялось при попытке открыть приложенные файлы.

В январе г., предположительно, северокорейцами была проведена масштабная кампания фишинга, нацеленная на южнокорейских государственных чиновников и предназначенная для распространения вредоносных программ на их компьютеры.

19 февраля г. руководитель парламентского комитета по разведке депутат Ли Чхоль У «назначил» новую кибертатаку на март-апрель: дескать, каждый раз через какое-то время после ядерного испытания такие атаки случаются, а раз так, то понятно, кто их организует. Ранее на той же неделе полиция объявила, что огромный массив спама на адреса общественных организаций РК шлют именно северокорейские хакеры.

8 марта г. представители силовых министерств и ведомств провели экстренное совещание в связи с тем, что северокорейские хакеры совершили кибератаку на смартфоны высокопоставленных южнокорейских чиновников, ответственных за государственную безопасность. По данным Национальной службы разведки, в конце февраля — начале марта этого года со стороны Севера имели место примерно 50 кибератак. В десяти случаях хакерам с помощью текстовых сообщений удалось успешно внедрить вредоносный код, позволяющий записывать голосовые сообщения и завладевать файлами, взламывать текстовые сообщения, записи звонков и телефонную книжку. Кибератаке подверглась также одна из южнокорейских компаний по созданию и поставке программного обеспечения для безопасности интернет-банкинга.

12 мая г. кибератаке подвергся сайт военно-воздушных сил РК. На основе предварительных результатов расследования подтвердить вину Пхеньяна не удалось, но отмечалось, что «нельзя исключать возможности его причастности». В тот же день южнокорейские военно-промышленные компании и агенты по торговле оружием получили электронные письма с вирусом, направленные якобы с адреса Корейского агентства оборонных закупок.

В конце мая г. КНДР обвинили в причастности к нашумевшей краже 81 млн долл. из ЦБ Бангладеш. Атака произошла примерно февраля, когда бангладешский регулятор не работал. Всего злоумышленники рассчитывали похитить млн долл., но списания большей части средств удалось предотвратить.

Почти одновременно с этим 31 мая г. Прокуратура РК пришла к выводу, что произошедшая в г. хакерская атака, связанная с сертификатом подписания кода, является делом рук северокорейских хакеров. Таковые взломали сервер одной из компаний, занимающейся разработкой компьютерных программ, и скопировали материалы о сертификате подписания кода. Эти данные впоследствии были применены в 10 вредоносных программах, распространённых по Всемирной сети для того, чтобы проникнуть на сайт одного научного учреждения РК. После этого вредоносными программами были заражены 19 компьютеров десяти правительственных учреждений, связанных с данным сайтом. На северокорейский след указало то, что сервер компании, подвергшийся хакерскому взлому, в течение двух месяцев 26 раз посещался пользователем с северокорейским IP-адресом, принадлежащим КНДР.

13 июня г., по сообщению Reuters, хакеры из КНДР взломали свыше тыс. компьютеров, работающих в крупных южнокорейских компаниях и госучреждениях, и установили на взломанных компьютерах вредоносное ПО, которое планировалось использовать для масштабной кибератаки. Взлом был осуществлен с северокорейского IP-адреса, с которого в г. были атакованы южнокорейские банки. Целью новой атаки было ПО, используемое в южнокорейских компаниях и ведомствах для управления внутренними сетями. Предположительно, хакеры получили доступ к файлам, в том числе с информацией об американском истребителе F, однако в полиции РК заявили, что серьезной угрозе военные секреты не подверглись. Большинство документов не были даже ДСП-шными, а потому и находились в открытом доступе. 

20 июня г. южнокорейская полиция подтвердила, что обладает секретными доказательствами того, что атаке пхеньянских хакеров должна была подвергнуться единая административная сеть, через которую ведется управление компьютерами многих корпораций и госучреждений, включая компании из групп SK, Hanjin и KT. Согласно данным полиции, северокорейские хакеры могли в любое время проникнуть в компьютерные сети компаний и внедрить вредоносный код, который взял бы под контроль тысяч компьютеров.

С учётом того, что IP-адреса атак г. и г. совпадают, в РК предположили, что кибератака готовилась в течение долгого времени на государственном уровне.

22 июля г. в Министерстве научного прогнозирования РК сообщили, что в первой половине этого года количество северокорейских кибератак выросло более чем вдвое по сравнению с тем же периодом прошлого года, что объясняется стремлением Пхеньяна к дестабилизации и созданию недоверия к правительству. Так, хакеры проводят масштабные атаки на смартфоны, в отношении представителей правительства и важных государственных объектов.

11 июля г. след северян обнаружился в кибератаке на одну из крупнейших южнокорейских торговых интернет-площадок, которая произошла в мае. В результате несанкционированного доступа к серверу владельца сайта была похищена база данных десяти миллионов пользователей, содержащая имена, адреса и номера телефонов клиентов компании. Оказалось, что вредоносный код идентичен тому, что использовался против РК в , и гг., а письмо с требованием выкупа содержало слова и выражения, характерные для северокорейского диалекта, и прошло через четыре IP-адреса в трёх странах, но источником был IP-адрес Министерства связи и телекоммуникаций КНДР.

2 августа г. произошла утечка паролей электронной почты 56 сотрудников южнокорейских правительственных учреждений: госслужащим рассылались сообщения о необходимости смены действующего пароля электронной почты по причине его утечки, для чего надо было перейти на специально созданные хакерами 27 сайтов, замаскированных под ведомственные либо принадлежащие Google или Naver. Уведомления от хакеров получили 90 человек, среди которых сотрудники МИД, Министерства обороны, научных учреждений, связанных с изучением КНДР, а также сотрудники СМИ. Опять же, использованные хакерами IP и сервер были идентичны тем, которые применялись во время кибератаки на Корейскую корпорацию гидро- и атомной энергетики.

Похожая атака была совершена в ноябре: южнокорейским пользователям рассылался файл, озаглавленный «Обеспокоенность Республики Корея». В файле была различная информация о скандале вокруг бывшего президента РК Пак Кын Хе и ее подруги Чхве Сун Силь, но с открытием в компьютер пользователя проникала троянская программа, которая начинала похищать информацию. Спецслужбам РК «удалось установить», что первоначальным отправителем сообщений был IP-адрес, расположенный в Пхеньяне. Чтобы скрыть северокорейский след, отправители использовали прокси-серверы в США, откуда затем и шла рассылка в Южную Корею, но такой же IP-адрес из Пхеньяна использовался и 20 марта г.

В сентябре г. произошла хакерская атака на общий дата-центр оборонных ведомств РК. Она привела к утечке целого ряда секретных документов, в том числе совместных оперативных планов РК и США. Атаке подвергся даже личный компьютер министра обороны Южной Кореи, а нападавшие использовали IP-адреса в Шэньяне, что, с точки зрения экспертов Института финансовой безопасности РК, подтверждает северокорейский след. Разбору данного инцидента также будет посвящен отдельный раздел.

В конце сентября г. в Сеуле заявили, что хакеры из КНДР пытались атаковать расположенные в Южной Корее биржи криптовалют, хотя «реального ущерба» в результате кибератак причинено не было.

25 января г. «северокорейские хакеры, возможно, совершили атаку на сайт крупного южнокорейского оборонного предприятия». Формат кибератаки — wormhole hacking, когда вирус ворует информацию лиц, посещающих сайт.

28 марта г. представитель МИД РК сообщил, что сайт министерства подвергся серии DDoS-атак, исходящих из Китая. По его словам, были приняты немедленные меры, которые позволили избежать ущерба, в диппредставительства РК в Китае разослали предупреждения о возможных хакерских атаках.

По словам других силовиков, со 2 по 8 марта г. имели место 25 кибератак, нацеленных на различные южнокорейские силовые структуры, а за период с 9 по 15 марта их число возросло до Источники атак — IP-адреса, зарегистрированные на территории Китая, а их целями являются главным образом Министерство обороны, агентства оборонных закупок и оборонного развития.

И хотя в МИД РК снова намекали на КНДР, иные эксперты предположили, что рост количества атак в отношении южнокорейских силовых структур связан с активизацией работы по размещению на Корейском полуострове американских комплексов ПРО THAAD и напряженностью в отношениях РК и КНР.

В марте и апреле г., по сообщению авторов «Серверной Кореи», используя фишинг и распространяя вредоносную программу DogCall, злоумышленники делали скриншоты страниц и заполучали пароли пользователей — сотрудников южнокорейского правительства. Правда, затем авторы документа снова опростоволосились, приписав этой атаке похищение оборонных документов, которое в реальности случилось в сентябре г.

8 мая г. хакеры взломали компьютер одного из экспертов комитета Совета Безопасности ООН по санкциям в отношении КНДР. Как гласило информационное письмо председателя комитета, «файл в формате zip был отправлен с личным сообщением, которое показывает, что хакеры обладают очень подробной информацией о структуре текущего расследования и методах работы группы».

12 мая г. неизвестные хакеры попытались атаковать компьютеры с операционной системой Windows в странах, в том числе в России, КНР, Великобритании и Испании. От атак вируса WannaCry пострадали более тыс. компьютеров и тыс. человек. Вирус шифрует файлы пользователя, в результате чего их больше нельзя использовать. Посредством вредоносной программы злоумышленники пытались вымогать средства у государственных и коммерческих организаций. За расшифровку данных злоумышленники требовали выкуп в криптовалюте — биткоинах, однако желающих заплатить выкуп оказалось мало: за несколько дней на счета хакеров было перечислено лишь около 50 тыс. долл. Тем не менее считается, что ущерб, нанесенный атакой, составил около миллиарда долл.

Причастность КНДР к этой атаке также рассмотрим в отдельном разделе.

31 мая г. были зафиксированы попытки Севера провести хакерские атаки на ряд южнокорейских сайтов, имеющих отношение к внешнеполитической деятельности, вопросам воссоединения и финансовым делам. Так, на один сайт, связанный с внешней политикой, был «подсажен» вредоносный код. Он срабатывал, вторгаясь в компьютер, когда на сайт заходил какой-либо пользователь. С февраля по май аналогичные следы были обнаружены на девяти сайтах, которые имели отношение к воздушно-космическим исследованиям, внешнеполитической деятельности, беженцам из КНДР, финансовым организациям, профсоюзам. Подобный вид кибератаки называется watering hole или «водопой». Эксперты, связанные со спецслужбами РК, считают, что это почерк северокорейских хакеров.

В июле г. в докладе компании Recorded Future, занимающейся кибербезопасностью, отмечалось, что с 17 мая северокорейские пользователи начали майнинг биткоинов. До этой даты никакой подобной активности в КНДР не было, а после активность стала расти в геометрической прогрессии — с нуля до сотен тысяч случаев в день. Авторы доклада сочли, что хотя неясно, кто управляет северокорейскими операциями по добыче биткоинов, учитывая относительно небольшое количество компьютеров в Северной Корее в сочетании с ограниченным пространством IP, маловероятно, что эта вычислительно интенсивная деятельность происходит вне государственного контроля.

В сентябре г., предположительно, северокорейские хакеры похитили криптовалюту с биржи Coinis. Тогда же специалисты исследовательской компании FireEye, специализирующейся на кибербезопасности, выпустили доклад «Почему Северная Корея так интересуется биткоином», в котором говорилось о многочисленных атаках хакеров КНДР на южнокорейские криптовалютные биржи, но данных, подтверждающих эту гипотезу, в исследовании недостаточно.

Упоминается лишь о неоднократных попытках фишинга в мае — июле г. и о том, что 22 апреля были взяты под контроль четыре кошелька на южнокорейской криптовалютной бирже Yapizon, после чего оттуда были выведены более 3,8 тыс. биткоинов. Однако четких признаков участия Северной Кореи нет. Тактика и методы хакеров были несколько иными .

В октябре г. компания FireEye заявила, что подозревает власти КНДР в атаках на компьютеры сотрудников энергетических фирм США. Хакеры якобы направляли на электронные адреса сотрудников американских энергетических компаний приглашения на выдуманные благотворительные мероприятия. При открытии вложения к электронному письму происходило заражение компьютера вредоносным вирусом. В NBC NEWS пошли дальше: по их версии, КНДР ставила своей целью с помощью кибершпионажа вывести из строя жизненно важные объекты инфраструктуры США, в том числе и распределительные электросети.

Также в октябре г. стало известно о похищении чертежей военных судов Южной Кореи, произошедшем еще в апреле г. Спустя более чем год Сеул обвинил северокорейские кибервойска во взломе базы данных компании Daewoo Shipbuilding & Marine Engineering, По данным Минобороны РК, на хакеров из КНДР указывали характерные для них методы, которые ранее использовались, к примеру, в атаке на SWIFT.

1 декабря г. группа хакеров, предположительно из Северной Кореи, установила вредоносный код в модифицированных версиях приложения для чтения Библии Godpeople, которое было загружено через рынок незаконных приложений. После установки приложения хакеры могли бы управлять смартфонами, включая кражу личных данных, отслеживание местоположения и прослушивание телефонных разговоров.

Вредоносный код был найден компаниями McAfee и Palo Alto Networks, а северокорейский след доказывался сходством между кодом, найденным в приложении, и предыдущими вредоносными кодами, предназначенными для РС, которые, как сообщается, были работой группы Lazarus.

18 декабря г. в национальной службе разведки РК сообщили, что атаки на южнокорейскую биржу виртуальной валюты могли быть делом рук северокорейских хакеров, ссылаясь на то, что при атаке использован тот же вредоносный программный код, которым пользовалась хакерская группировка Lazarus Group. Вредоносный код рассылался через электронную почту лицам, имеющим отношение к южнокорейской площадке торговли криптовалютой, в результате чего в апреле и сентябре г. с некоторых счетов были похищены виртуальные деньги на сумму свыше 6 млн долл., принадлежавших тысячам участников торгов на бирже, а в июне г. произошла утечка личной информации 36 тыс. пользователей одной из крупнейших в мире биржи криптовалют Bithumb.

В декабре г., по версии авторов «Серверной Кореи», министерство внутренней безопасности США сообщило об обнаружении «разрушительного и вредоносного» приложения SMASHINGCOCONUT, «за которым может стоять КНДР». Если правильно понимать авторов «Серверной Кореи», вывод был сделан на основании того, что приложение размещалось на сервере, где, как предполагалось, были расположены и другие инструменты взлома за авторством программистов из КНДР.

В г. Министерство торговли, промышленности и энергетики Южной Кореи заявило, что за 10 лет хакеры пытались получить доступ к двум южнокорейским государственным электрическим компаниям — Korea Electric Power Corporation (KEPCO) и Korea Hydro & Nuclear Power (KHNP) почти 4 тыс. раз. По словам лидера правящей партии Южной Кореи Чху Ми Э, официальный отчет подтвердил, что по крайней мере 19 из атак на KEPCO, произведенных в гг., произошли с Севера. Авторы «Серверной Кореи» сделали вывод, что 19 атак на фоне нескольких тысяч — «это очень тревожный сигнал».

В начале января г. исследователи кибербезопасности в американской фирме AlienVault обнаружили доказательства существования вредоносного ПО, которое заражало компьютеры, чтобы добыть криптовалюту monero и отправить ее в Университет Ким Ир Сена в Пхеньяне. Вирус был обнаружен в базе, собранной антивирусной программой от Google — Virus Total. Однако пока сложно определить, сколько компьютеров были заражены кодом и как много криптовалюты они выработал.

5 февраля г. в Национальной службе разведки РК сообщили, что в г. северокорейские хакеры провели кибератаку на южнокорейские биржи криптовалют, похитив цифровую валюту на сумму в несколько десятков миллионов долларов. Известно о четырёх случаях кибератак, и анализ вредоносного кода и IP-адресов подтвердил, что часть из них была организована Севером. Участникам операций на бирже и людям, имеющим к этому отношение, направлялись электронные письма с вирусом, который позволял получить их пароли.

Также разведка Южной Кореи проинформировала, что атака на японскую криптовалютную биржу Coincheck (кража, совершенная в конце января г., стоила бирже 58 млрд иен, или млн долларов), вероятнее всего, была совершена северокорейскими хакерами, хотя явных доказательств, что за данной атакой стоит именно Пхеньян, спецслужбы не представили.

Это любопытно, так как 14 февраля японская газета Mainichi Shimbun сообщила, что некоторая часть (1,2 из 58 млрд иен). средств, украденных со счетов Coincheck, была переведена на российскую биржу криптовалюты Yobit.

Анализируя вышеуказанный массив данных, можно подвести следующие итоги:

— При большинстве атак использовались примитивные техники типа фишинга, когда жертва получает письмо с приложенным файлом, попытка открыть который или загружает вредоносное ПО, или требует данные логина и пароля. Автор сталкивался с таким не раз, а буквально во время написания этого доклада ряд его коллег получили письма от «него» (в адресе была лишняя точка) с аналогичным приложением. Поддаваться на такое — совсем не соблюдать правила интернет-безопасности.

— Не подтверждаются попытки провести корреляцию между ядерными испытаниями и кибератаками, которые пытались отследить авторы статьи в Reuters. Серьезного усиления атак в указанные даты не наблюдается, и проще говорить о совпадениях. Такого мнения придерживается и ряд американских специалистов.

— Также скорее не подтверждается вывод Института по изучению вопросов финансовой безопасности (FSI) РК, согласно которому в – гг. северокорейские хакеры сменили основное направление атак. Если раньше они пытались украсть военные и промышленные секреты у зарубежных государств либо затруднить работу зарубежных организаций, то теперь больше заинтересованы в краже средств из-за рубежа. Данные процессы скорее идут параллельно.

— На этом фоне сомнительным оказывается и вывод авторов «Серверной Кореи» (пересказавших два источника выше без попыток перепроверки) о том, что «тактика кибервойск КНДР прошла через три главных этапа в своем развитии: от «идеологических» атак (на британский Channel4 и Sony Pictures в г.) к хакерскому заработку (хищения средств у банков и пользователей, криптомошенничество) и легальному бизнесу в сфере разработок и продаж ПО».

Часть пятая. Дело Sony Pictures

Атака на кинокомпанию Sony Pictures, снявшую фильм «Интервью» об убийстве северокорейского лидера Ким Чен Ына, стала наиболее раскрученным эпизодом деятельности «северокорейских хакеров», и именно потому мы начнем анализ кейсов с нее.

В интерпретации авторов «Серверной Кореи» «из-за угроз хакеров фильм сняли с проката, а следом Sony Pictures подверглась масштабной атаке: киберпреступники проникли на сервера компании, слили в Сеть несколько фильмов, конфиденциальную информацию, а вирус уничтожил до 70% ноутбуков и компьютеров сотрудников компании». Да, про уничтоженные 70% компьютеров, в номере от 15 октября г. писала The New York Times, на которую сослались авторы. Однако непонятно, почему об этом не упоминалось в материалах г, непосредственно посвященных этой атаке по горячим следам? Кроме того, «специалисты по информационной безопасности» случайно или намеренно изменили порядок событий, так что придется начинать с самого начала.

Фильм «Интервью», с которым связывают атаку, с самого начала задумывался как «идеологическая диверсия», ключевым элементом которого является даже не убийство Кима с летящей через экран головой, а разоблачение его политики, когда в ходе указанного интервью его размазывают по стенке вопросами о происходящем в стране. Кино планировали забрасывать на Север как топливо для цветной революции, и, как выяснилось позднее, авторы специально консультировались с представителями госдепа и разведки. Выход фильма планировался на 25 декабря г.

Неудивительно, что как только о содержании фильма стало известно, КНДР заявила жесткие протесты, немедленно воспринятые как часть пиар-кампании фильма.

24 ноября группа хакеров «Стражи мира», взломала американские серверы компании Sony Pictures Entertainment, парализовала работу внутренней сети кинокомпании и опубликовала в Интернете несколько крупных блоков информации, в том числе электронные письма нескольких топ-менеджеров Sony, готовящиеся к выходу фильмы и сценарий нового фильма о Джеймсе Бонде.

Кроме того, в открытый доступ попали файлы с паролями, копии паспортов актеров, которые снимались на киностудии, и данные производственных бригад. На нескольких торрент-трекерах появились текстовые файлы, включающие в себя перечень похищенных данных и электронные адреса, по которым можно связаться с хакерами для получения информации.

15 декабря в Интернете появился отрывок из фильма, где демонстрировалось убийство Кима. На следующий день те же или другие хакеры даже выступили с конкретными угрозами: «Если “Интервью” будет выпущен на экраны 25 декабря, мир содрогнется от страха. Помните 11 сентября ? Советуем вам держаться в этот день подальше от мест, где показывают фильм. Все, что случится в будущем, будет вызвано жадностью Sony Pictures Entertainment».

В результате 10 крупнейших сетей кинотеатров в США, в частности Regal Entertainment, AMC Entertainment, Cinemark, Carmike Cinemas и др., отказались ставить скандальный фильм в расписание, а затем и сама Sony 18 декабря объявила, что фильм «Интервью» не будет выпущен на экраны.

19 декабря ФБР официально обвинило в организации кибератаки КНДР. Как отмечается в распространенном заявлении ведомства, «технический анализ данных, использованных при организации атаки, показал связь с другими хакерскими программами, которые, по данным ФБР, разрабатывались соответствующими лицами в КНДР».

В отчете организации утверждается, что северокорейский след был доказан на основании нескольких типов улик. Во-первых, анализ вредоносных программ, используемых в этой атаке, выявил ссылки на другие вредоносные программы, которые, по данным ФБР, ранее разрабатывала Северная Корея — сходства в конкретных строках кода, алгоритмах шифрования и методах удаления данных. Во-вторых, обнаружилось совпадение между инфраструктурой, используемой в этой атаке, и другой вредоносной киберактивностью, которую ранее правительство США напрямую связывало с Северной Кореей. Например, несколько IP-адресов, связанных с известной северокорейской инфраструктурой, взаимодействовали с IP-адресами, которые были жестко закодированы во вредоносную программу, используемую в этой атаке. В-третьих, инструменты, используемые в атаке, имели сходство с кибератакой против южнокорейских банков и СМИ марта г., которую осуществила Северная Корея.

Северокорейская версия не была единственной. По данным источника телеканала Foxnews, хакерская программа была выполнена на очень высоком уровне и соответствует уровню развития технологий Ирана, Китая и России, но не КНДР.

На фоне очередного обострения ситуации на Украине компания Taia Global, занимающаяся вопросами информационной безопасности, пришла к выводу, что послания хакеров, скорее всего, были написаны человеком, для которого родным языком является goalma.org же до IP-адресов, которые ранее якобы использовались КНДР в преступных целях, все они вели на открытые прокси-серверы, расположенные в различных государствах. В данном случае нападение направлялось через Тайвань.

Парируя, антисеверокорейски настроенные специалисты заявляли о корейской раскладке клавиатуры, которой будто бы пользовались хакеры, или о том, что их плохой английский был бы характерен для корейского пользователя. А что трафик идет через Китай, так это только доказывает, что северокорейцы действуют, маскируясь под китайских киберпреступников.

Как бы то ни было, решение компании об отмене проката и официальное объявление о том, что кибертатака была из Пхеньяна, вызвали в США возмущение общественного мнения (с какой стати нам идти на поводу у северокорейских угроз?), и 24 декабря в США «Интервью» выпустили в ограниченный прокат в более чем трёхстах независимых кинотеатрах, а позднее выложили на платные видеосервисы. Премьера фильма прошла без происшествий, несмотря на угрозы, но в итоге при бюджете млн долл., он принес 40 млн долл. через интернет-продажи и 11,3 млн долл. в прокате, фактически провалившись.

После таких новостей у автора еще тогда возник вопрос: откуда у предполагаемых северокорейских хакеров даже не техническая мощность, необходимая для осуществления подобной атаки, а такое совершенное знание культурного контекста США? Как набор украденного, так и то, куда информация была выложена и каким журналистам «слита», говорит о том, что хакеры очень хорошо знают именно внутриамериканскую аудиторию, Собственно, даже нанесение удара по кошельку торговых центров, в которых находятся кинотеатры, требует понимания того, чем ниша кинотеатров США отличается от ниши кинотеатров КНДР.

Более того, поскольку речь шла не просто о взломе почты, а о вытаскивании наружу большого числа корпоративных секретов, среди специалистов возникло мнение, что в деле не обошлось без инсайдера. Ведь и скандал с Wikileaks, и откровения Сноудена, имевшие такой успех, были обеспечены именно инсайдерской информацией.

Добавим, что компания Sony Pictures была убыточной уже 5 или 6 лет, активно сокращала штат и пользовалась в Интернете не лучшей репутацией по причине, например, известного скандала гг. Тогда в качестве защиты музыки в компьютер внедрялась невидимая обычными средствами шпионская программа, так называемый руткит.

В общем желающих насолить компании было предостаточно, и скандальный фильм про КНДР мог оказаться не причиной, а поводом. Тем более что в начале кампании по взлому Sony хакеры никогда не упоминали фильм «Интервью», из-за которого якобы и была осуществлена атака. Киберпреступники обратили внимание на киноленту только после того, как некоторые издания предположили, что именно она является причиной атаки. Только после этого «Стражи мира» опубликовали требование прекратить «показывать террористический фильм, который может нарушить мир в регионе и привести к войне».

Одновременно выяснилось, что незадолго до атаки в компанию Sony Pictures Entertainment поступали сообщения, имевшие признаки шантажа, однако они содержали требования, не связанные с выходом премьеры фильма «Интервью».

Новый виток внимания к истории произошел в апреле г., когда украденные хакерами документы Sony Pictures были опубликованы на WikiLeaks. На сайте появились более 20,2 тыс. документов SPE, более тысяч электронных писем, а также более 2,2 тысячи электронных адресов, в том числе электронная переписка сотрудников компании с американским правительством. Как выяснилось, у компании «есть связи в Белом доме и с американским военно-промышленным комплексом» (в архиве более электронных адресов американского правительства). Опубликованные письма указали и на тесные связи компании Sony с Демократической партией США.

В сочетании с указанием на то, что «работа компании была парализована, так как ей пришлось отключить Интранет», это, как кажется автору, указывает на то, что атаке подверглись внутренние сети компании, что означает работу инсайдера, а не хакеров снаружи. Да и WikiLeaks как место размещения утечек, не особо дружественное к Северной Корее, тоже говорит о том, что власти Северной Кореи скорее не были причастны ко взлому.

Добавим к этому исследование американского журналиста Ф. Каплана «Темная территория: Секретная история кибервойны» (Dark Territory: The Secret History of Cyber War), раскрывающее некоторые подробности атаки на компанию. Как оказалось, ее внутренняя сеть защищалась простейшими паролями типа , ABCDE и password. А это, мягко говоря, очень расширяет круг подозреваемых, хотя автор книги «доказывает» северокорейский след рассказами о том, что АНБ контролировало северокорейских хакеров и чуть ли не наблюдало за атакой в прямом эфире.

Подводя итоги, автор хотел бы предположить, что северокорейские хакеры к атаке отношения не имели. Конечно, можно представить себе, что взломщики могли быть идеологическими союзниками КНДР либо осуществили взлом на северокорейские деньги или по заданию Пхеньяна, но подтверждение такой связи нуждается в серьезных доказательствах.

Когда хакерская группировка Anonymous совершила атаку на северокорейские и просеверокорейские сайты, никто не пытался заявлять, что за этой атакой стоят американские спецслужбы. Подавалось это скорее как «голос свободного Интернета», выразившего возмущение северокорейским тоталитаризмом, при том что та же группировка в свое время временно блокировала сети MasterCard и НАТО. Спрашивается, почему в таком случае не допустить возможность существования и тех хакерских групп, которые настроены к КНДР дружественно или маскируются под «патентованную империю зла»? Это допущение пригодится нам, когда речь пойдет о действиях хакеров Lazarus, речь о которых пойдет в следующем разделе.

Часть шестая. Lazarus

Об этой хакерской группировке написано много, хотя одни авторы приравнивают ее к Подразделению , а другие пишут о хакерах, «связанных с КНДР», причем связь эта принимается за аксиому.

Lazarus обвиняют практически во всем, и неслучайно деятели типа Альперовича готовы поставить знак равенства между этой группой и северокорейскими хакерами вообще. Как принято считать, Lazarus действует как минимум с г., т.е. с того момента, как группа произвела DDoS-атаку на американские и южнокорейские веб-сайты с использованием червя MYDOOM. До конца г. деятельность Lazarus была сосредоточена в основном на правительстве и финансовых организациях Южной Кореи и США, включая атаки на банковский и медиасектор Южной Кореи в г. и широко разрекламированную атаку на Sony Pictures Entertainment в г.

По мнению американской компании по сетевой безопасности Symantec, северокорейские хакеры причастны к похищению 94 млн долл. у банков по всему миру в период – гг. В отчёте компании, основанном на данных, которые были собраны через 98 млн датчиков атаки в странах, доказывается причастность КНДР к кибератакам на банки в Бангладеш, Вьетнаме, Эквадоре и Польше.

Самым громким делом Lazarus является кража 81 млн ​долл. со счета ЦБ Бангладеш в Федеральном резервном банке Нью-Йорка (ФРБ) в феврале г. Хакеры получили данные Центрального банка Бангладеш для системы межбанковских Сообщений SWIFT и использовали их, чтобы попытаться вывести со счета 1 млрд долл., но в последний момент сотрудники ЦБ Бангладеш, через который проводилась операция, заметили орфографическую ошибку в заявлении и отклонили операцию, хотя хакерам всё равно удалось похитить более 80 млн долл.

The Wall Street Journal со ссылкой на источники сообщала, что власти США ждут случая, чтобы официально обвинить КНДР в этой краже, но случай пока не представился. Также, по данным газеты, США планируют обвинить предполагаемых китайских посредников, которое помогли Северной Корее в краже средств. При этом, по словам собеседника газеты, власти страны не смогут предъявить обвинения конкретным северокорейским чиновникам, хотя КНДР вообще может быть фигурантом этого дела.

По версии российской компании Group-IB, помимо вышеупомянутых атак Lazarus ответственна за взлом сетей разных стран, включая фармацевтические компании Японии и Китая, университеты США, Канады, Великобритании, Индии, Болгарии, Польши, Турции. Lazarus занималась DDoS-атаками и взломами ресурсов государственных военных, аэрокосмических учреждений в Южной Корее и США.

В последние годы в условиях возрастающего экономического давления на КНДР вектор атак Lazarus сместился в сторону международных финансовых организаций, а именно на несколько банков в Польше, Центральные банки РФ, Венесуэлы, Бразилии, Чили, Европейский центральный банк и др.

В упоминавшемся выше отчете южнокорейского института финансовой безопасности FSI к Lazarus добавляется еще одна группа хакеров под названием Bluenoroff, которая атаковала ряд финансовых организаций, онлайн-казино и криптовалютных бирж в таких странах, как Мексика, Австралия, Уругвай, Россия, Норвегия, Индия, Перу и Польша. А внутри Lazarus обнаружено подразделение под названием Andariel, которое как минимум с мая г. работает по южнокорейским частным компаниям и государственным учреждениям. Например, в г. Andariel захватила сервер в южнокорейской компании и использовала его для добычи криптовалюты монеро, более дорогой по сравнению с биткоином из-за скорости проведения транзакций и анонимности.

В докладе FSI говорится, что северокорейская хакерская группа Andariel была замечена в попытке украсть информацию о банковских картах путем взлома банкоматов, а затем использовать ее для снятия наличных денег или продажи банковской информации на черном рынке. Также за Andariel числится создание вредоносного ПО для кражи денег и взлома онлайн-покера и других игорных сайтов.

Авторы «Серверной Кореи» идут еще дальше, приравнивая Lazarus и группу Hidden Cobra, известную атаками против глобальной финансовой сети SWIFT. Более того, ссылаясь на «аналитиков», они пишут, что операция в Турции была лишь частью масштабной операции Ghost Secret, затронувшей в общей сложности 17 стран и нацеленной на сбор информации о критической инфраструктуре, телекоммуникациях и даже развлекательных организациях.

С технической точки зрения Lazarus использует трехуровневую инфраструктуру серверов управления, внутри которой пробрасывается шифрованный SSL-канал и оригинальный набор зашифрованных модульных инструментов для удаленного управления зараженными компьютерами. Специалисты компании Group-IB считают, что подобная модульная архитектура для доставки полезной нагрузки до целевого компьютера обеспечивает гибкость при разработке систем кибероружия и позволяет разделить работы по разработке между командами, а также обеспечить повторное использование программного кода.

Для проникновения в интересующие организации хакеры используют так называемую атаку Watering Hole: заражают вредоносными программами ресурсы, часто посещаемые их потенциальными жертвами, например, сайты госучреждений. А для обеспечения анонимности применяется сервис SoftEther VPN и адреса узлов в Интернете, которые располагались в США, Китае, на Тайване, в России, Канаде, Италии и Кувейте.

Заметим, что, помимо северокорейского следа хакеров, есть и российский. 17 июня г. после анализа серии атак на 12 азиатских банков следствие выявило причастность к краже из ЦБ Бангладеш хакеров из России, Молдовы и Казахстана. Такой вывод был основан на анализе примененного вредоносного ПО: в нескольких атаках был задействован нетбот Dridex, который используется кибергруппировками из стран бывшего СССР, в том числе России, Молдовы и Казахстана. Dridex попадает в компьютер через электронную почту и собирает персональные данные пользователя (имя, пароли и т.д.), которые потом могут быть использованы для получения доступа к привилегированным сетям.

Не исключая, что за атакой на банки стояли северокорейские хакеры, следствие допустило, что вредоносное ПО могло быть продано злоумышленникам на черном рынке. Однако, по оценке компании Symantec, кибергруппировка, использующая Dridex, отличается четкой организацией и дисциплиной, придерживается пятидневной рабочей недели и даже берет паузу на новогодние праздники. Это могло бы стать доказательством причастности спецслужб КНДР, вот только непонятно, почему пхеньянские хакеры делают перерыв на Новый год, в отличие от России, в КНДР нет длинных выходных.

Есть и иные доказательства российского следа. Для защиты своих исполняемых файлов хакеры используют коммерческий протектор Enigma, разработанный русским автором, а эксплойты для Flash и Silverlight позаимствованы из наборов эксплойтов, созданных русскоговорящими хакерами. Также в модуле Client_TrafficForwarder, отвечающего за пересылку сетевого трафика, есть отладочные символы и строки с русскими словами, написанными на латинице для описания команд, которые программа может получить от сервера управления.

В хакерской среде РФ тоже существует версия о том, что столь сложные операции КНДР не по зубам и вообще название группы правильнее писать LazaRUS, но частное мнение отдельных знакомых автора к расследованию привлечь нельзя.

Наиболее подробный известный автору разбор доказательств того, что за хакерской группировкой Lazarus стоит правительство КНДР, представила 30 мая г. занимающаяся кибербезопасностью российская компания Group-IB, уже упомянутая выше. Как заявляют его авторы, они обнаружили свидетельства северокорейского следа, основанные не только на сравнении элементов вредоносного кода. Им якобы удалось проследить всю цепочку анонимизированных узлов и найти реальные IP-адреса злоумышленников, которые находятся в одном блоке с адресами, упоминаемыми полицией РК в связи с атакой г.

Выглядело это так. При анализе инфраструктуры Lazarus было обнаружено, что подключение к самому последнему, третьему уровню серверов управления происходило с двух IP-адресов Северной Кореи: и При этом второй IP-адрес относился к району Потхонган в Пхеньяне, в котором будто бы располагается министерство национальной обороны страны, а также недостроенный этажный отель «Рюгён», пресловутая «пхеньянская пирамида», в которой желтая пресса любит размещать если не цитадель Ким Чен Ына, то штаб северокорейских хакеров.

Изучая информацию о районе, исследователи Group-IB наткнулись на репортаж г. южнокорейского новостного агентства Arirang News, в котором говорилось об атаке северокорейских хакеров февраля г. и о том, что южнокорейская полиция выяснила, что следы атаки ведут в Пхеньян. На экране за спиной ведущего новостей заметили IP-адреса и , используемые для управления вредоносной программой Ghost RAT и находящиеся в том же блоке IP-адресов, что и обнаруженный ими И поскольку в репортаже сообщалось, что, по данным полиции РК, атака проводилась из «Рюгёна», был сделан вывод о том, что в , и гг. кибератаки велись из одного и того же района в Пхеньяне.

Автор, однако, не поленился проверить адреса, с которых якобы производилась атака, и выяснил, что адрес связан с китайской компанией China Netcom, являющейся, в числе прочего, основным поставщиком Интернета в КНДР. Организацией, непосредственно связанной с адресом, является CHINA UNICOM Industrial Internet Backbone. Интереснее ситуация складывается с IP-адресом , который действительно находится в районе гостиницы «Рюгён». За этим адресом закреплено совместное предприятие Star Joint Venture Co. Ltd. Созданное министерством телекоммуникации КНДР и тайской компанией Loxley Pacific Company Limited, Star JV занимается предоставлением интернет-услуг иностранным резидентам в Пхеньяне. По другим данным, компания отвечает за интернет-связи КНДР с остальным миром, контролирует IP–адреса, отведенные для КНДР, и может раздавать доменные имена .kp. Мягко говоря, это несколько меняет дело.

В отчете Group-IB также предпринята попытка опровергнуть российскую версию происхождения группы. По мнению компании, Lazarus только маскируется под «русских хакеров». Да, в коде программ были обнаружены символы и строки с русскими словами, написанными на латинице (poluchit, ssylka, pereslat и др). Однако эти команды использовались неправильно для носителя языка. Например, в случае с командой poluchit значение слова противоречит осуществляемому действию: вместо этого должна была быть команда «отправлять». По мнению авторов доклада, Lazarus «решили замаскироваться под русских хакеров потому, что на тот момент новости об атаках русских хакеров были наиболее популярными».

С другой стороны, что мешает серьезной команде хакеров осуществить двойную маскировку и притворяться иностранцами, которые маскируются под русских хакеров? Не забудем и то, что русский в КНДР учат как один из основных иностранных языков, и, если речь идет о хакерах при спецслужбе, там точно нашелся бы специалист, позволивший замаскироваться тщательнее.

Итоги данного раздела можно свести к следующему. Lazarus, скорее всего, существует, но не обязательно является командой хакеров северокорейского происхождения, и его связь с КНДР требует дополнительных доказательств. Во всяком случае, если Bluenoroff или Andariel являются самоназваниями, то это можно считать косвенной уликой не в пользу причастности Северной Кореи.

Российское происхождение хакеров не исключено и, учитывая одиозность группы, позицию ряда отечественных сторонников версии о пхеньянском следе можно объяснить тем, что они хотят подчеркнуть, что Lazarus не имеет отношения к РФ и попросту переводят стрелки на и так одиозную КНДР.

Часть седьмая. WannaCry

В атаке данного вируса сразу же начали искать северокорейский след. Специалисты «Лаборатории Касперского» указали, что за вирусом WannaCry может стоять северокорейская Lazarus. Однако они оговорились, что схожесть кода может быть очередным «ложным флагом».

Некоторые следы, указывающие на возможную причастность Lazarus к WannaCry и атакам на банки в Польше, нашла и американская Symantec. Используемый код очень напоминает программу, созданную для атаки на Sony Pictures в г., а также против РК в г.

15 мая г. аналитик «Лаборатории Касперского» Александр Гостев написал на своей странице в Facebook, что один и тот же код обнаружен в WannaCry и троянцах от Lazarus. Эксперт приложил к своей публикации скриншоты двух кодов: один, как утверждает Гостев, принадлежит WannaCry, другой — вирусам Lazarus, они частично совпадают друг с другом. В итоге так и не стало понятно, можно ли делать какие-либо однозначные выводы, основываясь на схожести отдельных фрагментов кода. При этом в экспертной среде Гостев известен предсказанием об исчезновении Интернета как глобальной сети к г. Доводы Гостева основывались на сообщении, сделанном в Твиттере специалистом Google по информационной безопасности Нилом Мехта, выявившего наличие общего фрагмента кода в вирусе WannaCry и вредоносных программах, которые ранее использовали хакеры из КНДР. В своем Twitter Мехта опубликовал длинное сочетание цифр, букв и символов, являющееся, как разъяснили американские СМИ, общим элементом кода в WannaCry и вирусе, который в г. использовала для похищения средств группировка Lazarus.

Не все, однако, сочли это убедительным доказательством. Джон Миллер, эксперт компании FireEye, специализирующейся на кибербезопасности, заявил, что сходства, обнаруженные в кодах вируса WannaCry и группировки Lazarus, недостаточно уникальны, чтобы можно было делать выводы об их происхождении из общего источника. Либо фрагменты кода Lazarus Group могли быть просто использованы другой хакерской группой, чтобы запутать следствие и помешать выявить настоящего злоумышленника.

14 июня, согласно отчету The Washington Post, АНБ США составило оценку WannaCry и приписало создание червя северокорейской разведке. 13 октября г. президент компании Microsoft Брэд Смит в интервью телеканалу ITV News заявил, что «с большой долей уверенности» подозревает Пхеньян в кибератаке вируса WannaCry. По его мнению, для этого северокорейские власти использовали украденные у АНБ США кибероружие и средства.

Здесь у автора возник вопрос — а как именно северокорейские хакеры умудрились украсть что-то у наиболее серьезной спецслужбы данного типа? Может, не стоит плодить сущности, и если речь идет о кибероружии, о котором известно, что его использует АНБ, то и атака была произведена тоже АНБ? Можно ли верить в то, что одна из наиболее серьезных спецслужб мира, специализирующаяся на действиях в киберпространстве, столь беззащитна перед хакерами из Северной Кореи?

28 октября г. о причастности КНДР заявил министр по вопросам безопасности Великобритании Бен Уоллес. Ранее Национальный центр кибербезопасности Великобритании сообщил, что за атакой вредоносной программы WannaCry стоит хакерская группировка Lazarus, связанная с киберподразделением северокорейских спецслужб.

19 декабря г. на причастность КНДР к атаке WannaCry официально указали США. Об этом сообщил помощник президента США по внутренней безопасности Томас Боссерт в статье для издания The Wall Street Journal. По его словам, с таким выводом согласились Австралия, Канада, Великобритания и Япония. Боссерт отметил, что эксперты из этих стран ознакомились с аналитикой США по данному вопросу и поддержали мнение, что Север является создателем вируса. Представитель Белого дома официально заявил, что масштабная кибератака, которая распространилась по всему миру, была проведена по указанию северокорейского политического руководства, причем, судя по всему, вымогательство денег не являлось главной целью атаки: ее организаторы стремились вызвать хаос и сбой в работе инфраструктуры.

От представления деталей Боссерт отказался, ограничившись ссылкой на «свидетельства», но с этого времени данную вирусную атаку «записали на счет КНДР», и в текстах про хакеров для массовой аудитории это стало общим местом.

Обратим внимание на ряд фактов, которые разрушают эту картинку. 31 марта  г. WikiLeaks публикует файлов ЦРУ, раскрывающих широкие возможности агентства маскировать свои действия в Интернете, происхождение создателей вредоносных программ, выдавая их за россиян, китайцев или граждан других стран. Похоже, ЦРУ собирает обширную библиотеку наступательных кибертехнологий, «украденных» из программ, производимых в других странах, и может не только разнообразить типы атак, но и оставлять «отпечатки пальцев» тех группировок, у которых были позаимствованы эти технологии.

Это «нормально» для любой серьезной спецслужбы, но интереснее иное. Хакеры, запустившие вирус-вымогатель, задействовали эксплойт Eternalblue, который изначально был использован АНБ США для удаленного управления компьютерами на Microsoft Windows. Eternalblue выложила в сеть группировка Shadow Brokers в пакете с другими файлами, якобы принадлежавшими АНБ. Как инструментарий самой секретной спецслужбы США оказался у хакеров, пока неясно. По данным американских СМИ, это могло быть делом рук инсайдера, но при конспирологическом подходе ничто не мешает выдать эту кибератаку за операцию АНБ под фальшивым флагом.

Любопытно, что 18 мая г. хакерская группа Shadow Brokers, взявшая ответственность за распространение вирусов WannaCry, заявила, что скоро будет раскрыта информация, связанная с ядерными и ракетными программами КНДР, России и КНР, и предлагала информацию любому желающему. Это несколько необычно для северокорейских или просеверокорейских хакеров.

Вообще, то, что вирус атаковал РФ и КНР тоже может быть косвенным доказательством против северокорейской версии. Москва и Пекин — относительные союзники Пхеньяна, и портить с ними отношения из-за государственной кибератаки было бы неразумно. Правда, на такие аргументы у недругов КНДР есть дежурный довод про безумный режим.

29 мая г. эксперты американской компании Flashpoint, ​работающей в сфере кибербезопасности, при помощи лингвистического анализа кода вируса пришли к выводу, что создатели вируса WannaCry говорят на южном диалекте китайского языка и, вероятнее всего, именно на нем изначально составляли текст требования выкупа. Таким образом, создателями вируса, скорее всего, являются жители Гонконга, юга Китая, Сингапура или Тайваня.
По данным авторов исследования, текст требования выкупа изначально был написан на китайском языке, после чего переведен на английский с помощью Google Translate.

Комментируя эту информацию, генеральный директор InfoWatch Наталья Касперская рассказала, что «существует возможность замаскировать вирус под любую национальность» (однако, если так, то некорректны и аналогичные аргументы в пользу северокорейского происхождения вируса). 

Доцент НИУ «Высшая школа экономики», китаист Михаил Карпов в свою очередь заявил, что версия компании Flashpoint может иметь под собой основания: «Есть устойчивые выражения, которые записываются иероглифами, но употребляются в таких сочетаниях только в южных диалектах».

Отметим, правда, что существует и иное мнение. По словам Сержио де лос Сантоса, главы подразделения кибербезопасности ElevenPaths компании Telefónica, родным языком для автора WannaCry является корейский, так как именно этот язык был выбран по умолчанию в EMEA-версии Word, используемой для создания RTF-файлов. Также, по словам экспертов, временные метки в исходном коде WannaCry установлены в часовом поясе UTC +9, в котором расположена КНДР.

Подводя итоги, можно сказать, что фактов хватает, чтобы представить эту атаку не только как северокорейскую, но и как организованную на Тайване (где, кстати, были первые жертвы), в Сингапуре или Гонконге, не говоря уже об операции под фальшивым флагом. Используя аргумент «а эти свидетельства — просто искусная работа хакеров по переводу стрелок», при данном наборе улик можно обвинить того, кого выгодно.

Часть восьмая. Похищение плана

Напомним, в сентябре г. случилась хакерская атака на общий дата-центр оборонных ведомств РК, приведшая к утечке секретных документов. Об утечке стало известно в декабре г.: это подтвердили военные, вдаваться в детали не стали. Даже когда появились заявления хакеров об успешном факте взлома, военные заявили, что ничего важного в чужие руки попасть не могло.

2 мая г. были объявлены результаты следствия, согласно которым хакерская атака предположительно была организована Севером. — Такой вывод основывался на том, что часть IP-адресов, использованных в атаке, уже применялась хакерами КНДР из китайского Шэньяна. Кроме того, на северокорейский след указывает и вид вредоносного вируса. Таким образом, по мнению следствия, в г. группа хакеров из КНДР взломала компьютерную сеть компании, поставлявшей министерству обороны антивирусные программы. Злоумышленники использовали данные об антивирусной системе для проникновения во внутреннюю сеть министерства через сервер одного из подразделений, который одновременно был подключен к Интернету и внутренней сети ведомства, что в итоге и сделало возможным распространение вируса. При этом о факте подобного совмещения внутренней и внешней сетей военные не знали.

Военная прокуратура решила подвергнуть дисциплинарному взысканию главу общего дата-центра оборонных ведомств, допустившего подключение к Интернету внутренней компьютерной сети, которая в целях безопасности должна работать автономно. Наказанию подвергнулись еще 26 должностных лиц, не предпринявших активных мер, зная о факте взлома системы. Для недопущения подобных инцидентов впоследствии были созданы центры кибербезопасности и приняты меры по четкому разделению внутренней и внешней сетей министерства обороны. 

Однако 10 октября г. эта история снова выбилась в топ новостей. Как сообщил депутат Национального собрания от правящей Демократической партии Тобуро и член парламентского комитета по вопросам обороны Ли Чхоль Хи, хакеры из КНДР могли украсть из внутренней сети южнокорейской армии секретные документы, в которых описываются оперативный план (план диверсионных действий, нацеленных на ликвидацию ключевых объектов ракетно-ядерной инфраструктуры КНДР и/или ее высшего руководства в случае войны на полуострове) и оперативный план (описывает совместные действия РК и США в случае начала полномасштабных военных действий). Также у злоумышленников могли оказаться документы, касающиеся оперативного плана , в котором описывается, как нужно реагировать на небольшие провокации со стороны КНДР, а также содержатся доклады командованию стран-союзниц, данные о ключевых военных объектах и электростанциях Южной Кореи. Всего было похищено гигабайт информации, в том числе документов под грифом «секретно», 42 документа с грифом «конфиденциально» и 27 документов «для служебного пользования».

Кроме того, выяснилось, что военные Южной Кореи установили содержание только 20% похищенной информации, хотя позднее их тон немного сменился: якобы военные не могут подробно указать, к каким именно документам хакеры получили доступ, потому что если материалы ушли на Север, то раскрытие информации Югом будет означать признание этого факта.

Меры стали принимать уже после того как сор вынесли из избы. В докладе объединённого комитета начальников штабов ВС РК, опубликованном 16 октября г. в ходе парламентской инспекции, отметили, что новый оперативный план создаётся в настоящий момент.

Новый виток дознания выявил подробности взлома: один из офицеров подключил к своему компьютеру USB-флеш-накопитель, заражённый вирусом, отчего зараженными оказались компьютеров (включая компьютер министра обороны), подключенных к Интернету, и ещё , сидящих в Интранете.

Что можно сказать про данную атаку? Документы были похищены из внутренней сети минобороны, которая формально не должна была подключаться к Интернету. Следовательно, или на самом деле речь идет об инсайдере, а не хакерах с недокументированными возможностями, или налицо вопиющее несоблюдение техники безопасности, после которого следует задать неприятный вопрос: почему на компьютерах военного ведомства стоит операционная система, позволяющая распространять вирусы? Теоретически он адресован лицам, отвечающим за покупку программного обеспечения и проектировщикам систем защиты.

Любой грамотный администратор знает, что более или менее большую компьютерную сеть надо строить, изначально разделяя ее на внешнюю и внутреннюю. Последняя не должна иметь связи с внешним миром, и, чтобы попасть в нее, надо знать не только множество дополнительных логинов и паролей, но и топологию сети и ее конкретные настройки, т.к. траффик строго ограничен узлами, портами, протоколами. В серьезных организациях такая внутренняя сеть может быть настолько отделена от внешней, что ее компьютеры могут не иметь возможности для подключения к ним USB-флеш-накопителей — каналов, по которым мог бы утечь секретный файл, физически нет.

Поэтому автор верит не столько в талантливые действия хакеров, сколько в вопиющее разгильдяйство или работу инсайдера, который мог передать информацию как Северной Корее, так и кому-то еще. Благо, с точки зрения ряда специалистов по кибербезопасности, южнокорейская «цифровая крепость» имеет картонные стены, несмотря на довольно грозную репутацию.

В завершение — реплика «в сторону». Если все-таки допустить, что украденная информация ушла в КНДР, то действия Севера в – гг. получают обоснование. Однако хочется задуматься о другом. Представим себе, что в г. северокорейцы действительно получили большой пакет документов, который адекватно описывает стратегию Сеула и Вашингтона, направленную на ликвидацию северокорейского режима. В такой ситуации Ким Чен Ын мог прийти к выводу о том, что раз военно-политическое руководство США и РК руководствуется данной стратегией, то вопрос о ликвидации КНДР как государства является не вопросом повестки дня, а вопросом времени (грубо говоря, не «если», а «когда»). И это вполне объясняет, почему в течение – гг. северокорейское руководство начинает выкладывать козыри на стол ударными темпами. Будучи уверенной в скорой и неизбежной войне, КНДР стремится предотвратить ее, подняв ставки до того уровня, при котором «легкой прогулки не будет».

Заключение

Ни одна из громких историй о хакерах КНДР не может считаться полностью доказанной. Как отмечают журналисты goalma.org, «мифология северокорейского хакинга во многом построена на магии репостов, искусстве горячего заголовка и непрерывном потоке однотипных тревожных новостей».

Справедливо ли говорить о северокорейском следе в конкретных громких случаях — вопрос во многом открытый. Он упирается в то, насколько мы привыкли верить в определенные мифы о северокорейских хакерах и готовы принимать то, что нам представляют в качестве доказательств. В результате почти всегда остается определенная «серая зона», благодаря которой те, кто относится к КНДР сочувственно или просто не верит антипхеньянской пропаганде, могут заявлять о выморочности обвинений, а недруги Северной Кореи — об их истинности. При этом последние нередко используют методы, похожие на те, которые применяются в обвинении руководства РФ в отравлении в Солсбери. Между тем «недостаточно данных» — это именно отсутствие данных, не позволяющее вынести вердикт.

Более того, даже если записать на северокорейский счет всё, что им присваивают, то «убойность атак» хакеров КНДР по сравнению с работой их российских, китайских или западных коллег выглядит блёклой. Раздувание этой угрозы обусловлено политическими соображениями.

По мнению автора, активное муссирование в последние годы темы северокорейских хакеров и особенно финансовой подоплеки их действий, возможно, стоит воспринимать по аналогии с предыдущими попытками отрезать КНДР от источников заработка, будь то рассуждения о Кэсонском комплексе как тайном кошельке северокорейской ядерной программы или о рабском положении северокорейских рабочих за рубежом, которых надо депортировать на родину как можно скорее. Не исключено, что перед нами — работа по подготовке почвы для распространения санкций в отношении КНДР на киберпространство, включая запрет на экспорт северокорейского ПО или «необходимость» инфраструктурной интернет-изоляции Пхеньяна.

Оценить статью