Ынтернет: как КНДР обходит санкции за счет хакеров и криптовалют

Население КНДР составляет чуть больше 25 млн человек. ВВП КНДР оценивается в 28,6 млрд долл. (данные 2016г.), а экспорт приносит от 3 до 6 млдр долл. в год. Эти показатели выглядят более чем скромно, если не сказать – смехотворно. Несмотря на это, Пхеньяну удается успешно обходить санкции за счет хакерства, поставленного на государственные рельсы, и криптовалютного мошенничества.

Больше того: численность кибервойск КНДР не уступает киберармии США, говорится в исследовании «Серверная Корея: Как КНДР создала самые эффективные кибервойска в мире» основателя ООО ТСС Александра Атаманова и гендиректора «Лаборатории Цифровой Форензики» Александра Мамаева, опубликованного «Российским советом по международным делам». Я решил коротко пересказать основные тезисы исследования, написанного моими коллегами.

Проба кода

Отец Ким Чен Ына – Ким Чен Ир, руководитель КНДР с 1994 по 2011гг., - первоначально расценивал Интернет как потенциальную угрозу режима. Однако на фоне вторжения США в Ирак в 2003г. его мнение резко изменилось. Ким Чен Ир заявил: «В XXI в. войны будут вестись в информационном формате» и поручил создать кибервойска. Тогда же последовали и первые успешные атаки: в 2009г. хакеры атаковали сайты в США и Южной Кореи, заразив их вирусом MyDoom. За нападением стояла группа Lazarus – самая известная ныне хакерская группировка КНДР.

Однако масштаб КНДР на сетевой карте мира не впечатлял: в 2011г. на всю страну было зарегистрировано около 1 тыс. IP-адресов – меньше, чем в большинстве кварталов Нью-Йорка.

Все изменилось при Ким Чен Ыне, который фактически сделал ставку на ядерный щит и сетевые технологии. При этом между ядерными испытаниями и хакерскими атаками прослеживается четкая корреляция: во время 3-го (февраль 2013г.), 4-го (январь 2016г.) и 5-го (сентябрь 2016г.) ядерных испытаний произошли серьезные кибератаки, организованные с Севера, на которые СМИ не обратили должного внимания.

Эволюция тактики

Тактика кибервойск КНДР претерпела три главных этапа в развитии: от «идеологических» атак (британский Channel 4 и Sony Pictures в 2014 г.) к хакерскому заработку (хищения средств у банков и пользователей, криптомошенничество) и легальному бизнесу в сфере разработок и продаж ПО.

Хакерские атаки не могут не впечатлять. В 2017 г. КНДР заработала около 200 млн долл. от незаконного экспорта угля и оружия, говорится в секретном докладе независимых наблюдателей ООН. Хакерство приносит Пхеньяну до 1 млрд долл. в год.

Хакерство – идеальный инструмент для пополнения бюджета КНДР, и это неудивительно, потому что такой «бизнес» отличается:

· Низкой стоимостью входа: помимо компьютера, доступа к Интернету и сервера опытному специалисту больше ничего не потребуется;

· Анонимностью пользователя, анонимностью денежных транзакций;

· Вариативностью заработка: от выполнения легальных задач на фрилансе до противозаконных таргетированных атак;

· Возможностью уклонения от санкций ООН, в том числе запрета на найм рабочих из КНДР.

Пожалуй, самой известной «вылазкой» стоит признать атаку на Центральный банк Бангладеш в 2016г. на 1 млрд долл. Хакерам удалось получить доступ к учетным записям сотрудников банка и взломать систему SWIFT (Общество всемирных межбанковских финансовых телекоммуникаций), которой пользуются 11 тыс. банков и других финорганизаций по всему миру.

Преступники направили от лица Центробанка Бангладеш запрос на перевод почти 1 млрд долл. из Федерального резервного банка Нью-Йорка, где хранились средства азиатского государства. Запрос поступил в четверг вечером, когда сотрудники ЦБ уже покинули офис (в пятницу в Бангладеш выходной). Хакеров подвела всего одна орфографическая ошибка: в документах значилось «fandation» вместо «foundation». Большая часть перевода была заблокирована, но хакерам удалось вывести 81 млн долл. и обналичить через филиппинские казино.

В мае 2017 г. Интернет парализовал сетевой червь WannaCry, в создании которого также подозревают Пхеньян. Программа шифровала все хранящиеся на компьютере файлы и требовала выкуп в биткоинах за разблокировку.

Интерес КНДР к криптовалютам не случаен. Общий ущерб от целевых хакерских атак на криптоиндустрию в 2017 г. составил более 160 млн долл., доход от хакерских атак на криптобиржи варьируется от 1,5 до 72 млн долл., в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего 1,5 млн долл.

Южная Корея – один из локомотивов криптоиндустрии. Именно местные проекты первыми пострадали от северокорейских хакеров. Например, Youbit в декабре 2017 г. «потеряла» 17% цифровых денег и вскоре обанкротилась. Тогда курс биткоина достиг 20 тыс. долл., в апреле мошенникам удалось похитить биткоинов на 36 млн долл. В Сеуле также подозревают Пхеньян в хищении 523 млн долл. у японского обменника Coincheck.

Жертвами хакеров становились и частные инвесторы. В 2017 г. хакеры из КНДР начали массово создавать в Facebook фиктивные профили привлекательных девушек, якобы интересующихся биткоином и работающих в криптоотрасли. В профилях фигурировали «Исследовательский центр NYU» и другие учреждения, не вызывающие подозрений. Хакеры заводили знакомства с мужчинами-пользователями криптобирж, затем отправляли файлы Microsoft Word, замаскированные под открытки или приглашения, заражая ПО пользователей и получая доступ к криптосредствам, рассказывали аналитики, знакомые с расследованием.

Но этим перечень опасностей Пхеньяна не ограничивается. В начале 2018 г. аналитики FireEye (входит в топ-10 мирового рейтинга компаний по кибербезопасности, является одним из основоположников систем защиты от угроз «нулевого дня») отчитались о разрушительной деятельности группировки APT37 (она же Reaper), продемонстрировавшей сложные высокоуровневые возможности взлома. Директор аналитического отдела разведки в FireEye Джон Хальквист заметил, что эти хакеры «не стесняются: они чрезвычайно агрессивны». В докладе FireEye отмечалось, что главной задачей APT37 является «тайный сбор разведданных для поддержки стратегических военных, политических и экономических интересов КНДР».

В сентябре 2017 г. фирма из Мериленда Dragos (специализируется на уязвимостях промсектора) индексировала подозрительную активность группировки Covellite, нацелившейся на энергосистему в США, Европе и странах Восточной Азии. Методы злоумышленников очень напоминали активность Lazarus. Хоть в компании и не стали напрямую связывать группу с Пхеньяном, правительство США открыто обозначило хакеров как членов Lazarus.

ПО на экспорт

Однако КНДР стремится и к легализации бизнеса. Согласно докладу Центра исследований проблем нераспространения Джеймса Мартина, компании, связанные с властями КНДР, создают и продают разнообразное программное обеспечение по всему миру: от разработки и администрирования сайтов, программ-шифровальщиков файлов до VPN-построителей, систем аутентификации и распознавания лиц.

Однако это порождает и угрозы. Во-первых, никто не знает, не скрыты ли в ПО бэкдоры.

Во-вторых, теоретически Пхеньян может сформировать колоссальную базу данных частных лиц и организаций. Предоставляя программы распознавания лиц и отпечатков пальцев, они создают условия для сбора информации о пользователях. Эти данные впоследствии могут быть использованы для обхода двухфакторной аутентификации в онлайн-банкинге или на других ресурсах, где требуется предоставление биометрических сведений.

И это неполный перечень угроз, которые представляют собой северокорейские хакеры. С полной версией исследования вы можете ознакомиться здесь.