Ынтернет: как КНДР обходит санкции за счет хакеров и криптовалют

В закладки

Население КНДР составляет чуть больше 25 млн человек. ВВП КНДР оценивается в 28,6 млрд долл. (данные 2016г.), а экспорт приносит от 3 до 6 млдр долл. в год. Эти показатели выглядят более чем скромно, если не сказать – смехотворно. Несмотря на это, Пхеньяну удается успешно обходить санкции за счет хакерства, поставленного на государственные рельсы, и криптовалютного мошенничества.

Больше того: численность кибервойск КНДР не уступает киберармии США, говорится в исследовании «Серверная Корея: Как КНДР создала самые эффективные кибервойска в мире» основателя ООО ТСС Александра Атаманова и гендиректора «Лаборатории Цифровой Форензики» Александра Мамаева, опубликованного «Российским советом по международным делам». Я решил коротко пересказать основные тезисы исследования, написанного моими коллегами.

Проба кода

Отец Ким Чен Ына – Ким Чен Ир, руководитель КНДР с 1994 по 2011гг., - первоначально расценивал Интернет как потенциальную угрозу режима. Однако на фоне вторжения США в Ирак в 2003г. его мнение резко изменилось. Ким Чен Ир заявил: «В XXI в. войны будут вестись в информационном формате» и поручил создать кибервойска. Тогда же последовали и первые успешные атаки: в 2009г. хакеры атаковали сайты в США и Южной Кореи, заразив их вирусом MyDoom. За нападением стояла группа Lazarus – самая известная ныне хакерская группировка КНДР.

Однако масштаб КНДР на сетевой карте мира не впечатлял: в 2011г. на всю страну было зарегистрировано около 1 тыс. IP-адресов – меньше, чем в большинстве кварталов Нью-Йорка.

Все изменилось при Ким Чен Ыне, который фактически сделал ставку на ядерный щит и сетевые технологии. При этом между ядерными испытаниями и хакерскими атаками прослеживается четкая корреляция: во время 3-го (февраль 2013г.), 4-го (январь 2016г.) и 5-го (сентябрь 2016г.) ядерных испытаний произошли серьезные кибератаки, организованные с Севера, на которые СМИ не обратили должного внимания.

Эволюция тактики

Тактика кибервойск КНДР претерпела три главных этапа в развитии: от «идеологических» атак (британский Channel 4 и Sony Pictures в 2014 г.) к хакерскому заработку (хищения средств у банков и пользователей, криптомошенничество) и легальному бизнесу в сфере разработок и продаж ПО.

Хакерские атаки не могут не впечатлять. В 2017 г. КНДР заработала около 200 млн долл. от незаконного экспорта угля и оружия, говорится в секретном докладе независимых наблюдателей ООН. Хакерство приносит Пхеньяну до 1 млрд долл. в год.

Хакерство – идеальный инструмент для пополнения бюджета КНДР, и это неудивительно, потому что такой «бизнес» отличается:

· Низкой стоимостью входа: помимо компьютера, доступа к Интернету и сервера опытному специалисту больше ничего не потребуется;

· Анонимностью пользователя, анонимностью денежных транзакций;

· Вариативностью заработка: от выполнения легальных задач на фрилансе до противозаконных таргетированных атак;

· Возможностью уклонения от санкций ООН, в том числе запрета на найм рабочих из КНДР.

Пожалуй, самой известной «вылазкой» стоит признать атаку на Центральный банк Бангладеш в 2016г. на 1 млрд долл. Хакерам удалось получить доступ к учетным записям сотрудников банка и взломать систему SWIFT (Общество всемирных межбанковских финансовых телекоммуникаций), которой пользуются 11 тыс. банков и других финорганизаций по всему миру.

Преступники направили от лица Центробанка Бангладеш запрос на перевод почти 1 млрд долл. из Федерального резервного банка Нью-Йорка, где хранились средства азиатского государства. Запрос поступил в четверг вечером, когда сотрудники ЦБ уже покинули офис (в пятницу в Бангладеш выходной). Хакеров подвела всего одна орфографическая ошибка: в документах значилось «fandation» вместо «foundation». Большая часть перевода была заблокирована, но хакерам удалось вывести 81 млн долл. и обналичить через филиппинские казино.

В мае 2017 г. Интернет парализовал сетевой червь WannaCry, в создании которого также подозревают Пхеньян. Программа шифровала все хранящиеся на компьютере файлы и требовала выкуп в биткоинах за разблокировку.

Интерес КНДР к криптовалютам не случаен. Общий ущерб от целевых хакерских атак на криптоиндустрию в 2017 г. составил более 160 млн долл., доход от хакерских атак на криптобиржи варьируется от 1,5 до 72 млн долл., в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего 1,5 млн долл.

Южная Корея – один из локомотивов криптоиндустрии. Именно местные проекты первыми пострадали от северокорейских хакеров. Например, Youbit в декабре 2017 г. «потеряла» 17% цифровых денег и вскоре обанкротилась. Тогда курс биткоина достиг 20 тыс. долл., в апреле мошенникам удалось похитить биткоинов на 36 млн долл. В Сеуле также подозревают Пхеньян в хищении 523 млн долл. у японского обменника Coincheck.

Жертвами хакеров становились и частные инвесторы. В 2017 г. хакеры из КНДР начали массово создавать в Facebook фиктивные профили привлекательных девушек, якобы интересующихся биткоином и работающих в криптоотрасли. В профилях фигурировали «Исследовательский центр NYU» и другие учреждения, не вызывающие подозрений. Хакеры заводили знакомства с мужчинами-пользователями криптобирж, затем отправляли файлы Microsoft Word, замаскированные под открытки или приглашения, заражая ПО пользователей и получая доступ к криптосредствам, рассказывали аналитики, знакомые с расследованием.

Но этим перечень опасностей Пхеньяна не ограничивается. В начале 2018 г. аналитики FireEye (входит в топ-10 мирового рейтинга компаний по кибербезопасности, является одним из основоположников систем защиты от угроз «нулевого дня») отчитались о разрушительной деятельности группировки APT37 (она же Reaper), продемонстрировавшей сложные высокоуровневые возможности взлома. Директор аналитического отдела разведки в FireEye Джон Хальквист заметил, что эти хакеры «не стесняются: они чрезвычайно агрессивны». В докладе FireEye отмечалось, что главной задачей APT37 является «тайный сбор разведданных для поддержки стратегических военных, политических и экономических интересов КНДР».

В сентябре 2017 г. фирма из Мериленда Dragos (специализируется на уязвимостях промсектора) индексировала подозрительную активность группировки Covellite, нацелившейся на энергосистему в США, Европе и странах Восточной Азии. Методы злоумышленников очень напоминали активность Lazarus. Хоть в компании и не стали напрямую связывать группу с Пхеньяном, правительство США открыто обозначило хакеров как членов Lazarus.

ПО на экспорт

Однако КНДР стремится и к легализации бизнеса. Согласно докладу Центра исследований проблем нераспространения Джеймса Мартина, компании, связанные с властями КНДР, создают и продают разнообразное программное обеспечение по всему миру: от разработки и администрирования сайтов, программ-шифровальщиков файлов до VPN-построителей, систем аутентификации и распознавания лиц.

Однако это порождает и угрозы. Во-первых, никто не знает, не скрыты ли в ПО бэкдоры.

Во-вторых, теоретически Пхеньян может сформировать колоссальную базу данных частных лиц и организаций. Предоставляя программы распознавания лиц и отпечатков пальцев, они создают условия для сбора информации о пользователях. Эти данные впоследствии могут быть использованы для обхода двухфакторной аутентификации в онлайн-банкинге или на других ресурсах, где требуется предоставление биометрических сведений.

И это неполный перечень угроз, которые представляют собой северокорейские хакеры. С полной версией исследования вы можете ознакомиться здесь.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Евгений Медведев", "author_type": "self", "tags": [], "comments": 4, "likes": 8, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 41651, "is_wide": false }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15388' + '59599') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 41651, "author_id": 154767, "diff_limit": 1000, "urls": {"diff":"\/comments\/41651\/get","add":"\/comments\/41651\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/41651"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

4 комментария 4 комм.

Популярные

По порядку

0

чтоб эти експерты из NSA не скучали!

Ответить

Комментарий удален

0

блят, писец, хавайся

Ответить
0

В последнем предложении: "здесь" это где?

Ответить
0

Ссылки в последнем приложении нет!

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Приложение-плацебо скачали
больше миллиона раз
Подписаться на push-уведомления