Хакери режиму

Хакери з Північної Кореї, яких донедавна вважали посередніми, тепер безсумнівно, стали серед найдосконаліших і найнебезпечніших у світі. Згідно з дослідженням The Wall Street Journal, північнокорейські кібернапади проти Сполучених Штатів почастішали упродовж останніх 18 місяців, а вміння тамтешніх хакерів стрімко зростає. Вони завдають атак, вражаючи щораз більше важливих цілей. Експерти з кібербезпеки вважають, що Північна Корея проникла у мережі турецьких банків у березні та напала на південнокорейські комп'ютерні системи напередодні Зимових Олімпійських ігор в Сеулі.

Протягом багатьох років Північну Корею вважали «другою лігою» у кіберпросторі. Атаки, завдані тамтешніми хакерами, були руйнівними, але їх було досить легко виявити. Уміння північнокорейських кіберзлочинців вважалися на щабель нижчими, ніж у «колег» з Росії, Ізраїлю чи США. Схоже, ці часи завершуються, а технології кодування та хакерства Пхеньяну нині напрочуд оригінальні.

Режим, який зараз готується до перемовин з Вашингтоном у справі замороження своєї фдерної програми, поза тим, завдає атак на щораз амбітніші цілі, наприклад, центральні банки чи мережі продажів. Завдяки розвиненим навичкам хакерства, він здобуває кошти для компенсації втрат від економічних санкцій та загрожує іноземним фінансовим установам.

Хакери режиму небезпечно добрі

Північна Корея виховує еліту хакерів, на кшталт того, як інші країни навчають олімпійських спортсменів. Про це розповідають втікачі з країни, експерти з південнокорейського кіберзахисту та агенти розвідки. Навіть 11-річних дітей — якщо вони мають таланти у цій царині, — скеровують до спеціальних шкіл, де їх навчають хакерству і вмінню створювати комп'ютерні віруси.

— Після скерування у відділ хакерства отримуєш титул, який робить з тебе виняткового громадянина. Від цієї миті не мусиш перейматися про харчі чи побутові потреби, — розповідає біженець, знайомий з темою.

Щоб оцінити кібернетичні програми Північної Кореї «The Wall Street Journal» мов розмови з кількома десятками втікачів з країни, експертами у царині кібербезпеки, радниками південнокорейського уряду і військовими фахівцями. Всі вони наголошують, що ідентифікувати джерела атак є важко, і немає стовідсоткової упевненості, що кожний напад, який приписують Північній Кореї, насправді вчинений саме звідти.

Ці розмови вказують на важливі докази того, що північнокорейські хакери постійно вдосконалюються: використовують прогалини безпеки у зазвичай вживаному програмуванні через кілька днів після появи помилок, а шкідливі програми, створені ними, настільки складні, що антивірусні програми не дають собі з ними ради. Коли виробник програмування або ж експерт з кібербезпеки «латає діри», хакери пристосовують свої інструменти до нових викликів дуже швидко (щонайбільше — за тиждень), і так майстерно, що, до прикладу, Apple змушений був актуалізувати операційну систему свого iPhone.

Багато хакерів з Північної Кореї дуже добре володіють англійською мовою або кодують свої програми іншими мовами, аби заплутати сліди і скерувати спроби розслідувань джерел атаки на інші країни. Вони також мають репутацію піонерів у справі зламу смартфонів, приховуванні шкідливого програмування, зокрема — у мережній телефонній Біблії або ж у використанні Facebook для інфікування вірусами своїх цілей.

— Увесь світ мусить звернути на це увагу, — каже Джон Гультквест, директор аналітичного відділу американської кібернетичної фірми FireEye. Більше того, він твердить, що режим організовує і втілює найуспішніші у світі кібератаки.

17 атак у секунду

Північна Корея заперечує свою причетність до кібератак, до використання шантажу за допомогою програм WannaCry, яке минулого року блокувало дані на комп’ютерах у цілому світі і вимагало викупу у біткоїнах, до крадіжки 81 мільйона доларів з центрального банку Бангладеш у 2016 році. «The Wall Street Journal» надіслав прохання про коментарі до Консульства Північної Кореї у Гонконзі, однак не отримав відповіді.

Експерти кажуть, що сліди, які б вказували на північнокорейський режим, глибоко приховані у шкідливому програмуванні та кодах. Серед них можна знайти корейські слова, притаманні мові тільки на Півночі країни, випадки вживання серверів, пов’язаних з нападами Пхеньяна, та файли користувачів, що мають стосунок з тамтешніми хакерами.

Сполучені Штати та інші країни публічно звинуватили Північну Корею у більшості атак, вчинених останніми місяцями, серед іншого й у випадку з WannaCry. У цих звинуваченнях, зокрема, як доказ наводяться спосіб кодування і техніки, характерні для режиму. Південна Корея скаржиться, що її північний сусід атакує її півтора мільйона разів упродовж дня, тобто у секунду відбувається по 17 атак.

Наприкінці минулого року хакери з Північної Кореї були першими, хто виявив вразливість у популярному медіаплеєрі Adobe Flash Player. Відтак упродовж багатьох місяців вони здійснювати невловимі для інших атаки. Компанія McAfee, яка займається кібербезпекою, стверджує, що коли Adobe усунула вади у лютому, хакери з Пхеньяна змінили шкідливе програмне забезпечення і скерували його на європейські фінансові структури, аби викрасти конфіденційну інформацію про їхні мережі.

Північна Корея як злочинна організація

Перевага Північної Кореї в кіберпросторі відбувається паралельно з її успіхами у розробці ракетних технологій з часу, коли в 2011 році Кім Чен Ун прийшов до влади.

Багато нападів, які приписують режиму, відбуваються без видимих причин. Деякі експерти порівнюють це з діяльністю злочинної організації, яка шукає будь-які слабкі місця своїх супротивників, щоб дізнатись більше про них або здобути грошей. Взагалі експерти сходяться на думці, що більшість атак мають на меті викрадення інформації про військову розвідку чи грошей грошей, оскільки Пхеньян серйозно потерпає від застосування міжнародних санкцій. Напади не вщухли і після початку переговорів зі США.

— Успіхи хакерів дають набагато сильнішу позицію під час розмов, — пояснює Росс Рустічі, директор кібернетичної компанії Cybereason і колишній аналітик Міністерства оборони.

У жовтні Південна Корея визнала, що її режим вкрав 235 гігабайт даних і військових таємниць. Серед них були і плани США вбити Кім Чен Уна у випадку спалаху війни. Хакерів з Північної Кореї звинувачують також у крадіжці сотень мільйонів доларів — від кредитних карток для банкоматів до 530 мільйонів доларів з японської криптовалютної біржі в січні цього року.

Хакери режиму удосконалюються до витонченості

Північна Корея створила свою кіберзахисту у середині 1990-х років, коли тодішній лідер Кім Чен Ір заявив, що «всі майбутні війни стануть комп'ютерними війнами». Тамтешні хакери вперше потрапили у заголовки західної преси 2014 року, коли вони увірвалися у комп'ютерні системи Sony Pictures Entertainment, знищили там дані, а також викрали та оприлюднили корпоративну кореспонденцію. Тоді атаку було скоєно за допомогою нескладного і поширеного вірусу Wiper.

Біженці та експерти з питань Південної Кореї стверджують, що хакери в Північній Кореї є привілейованою кастою: вони отримують дороге житло в Пхеньяні і звільнені від обов'язкової військової служби.

«Wall Street Journal» розмовляв з біженцем, який навчався хакерства в Північній Кореї. Він розповів про напружену підготовку до фахових змагань, — hackathon, — які щороку відбуваються у Пхеньяні. Під час змагань команди молодих хакерів вирішують програмні головоломки та демонструють вміння ламати комп’ютерну безпеку. Для цього вони мають чітко визначений час.

Переможців цих змагань залучають відтак до крадіжок грошей у закордонних банках або розвідувальної інформації інших країн, зокрема Сполучених Штатів.

— Розвиток нуклеарної програми, озброєння та утримання режиму вимагає колосальних коштів у твердій валюті. Це — очевидно, що банки є першими жертвами атак, — пояснює наш співрозмовник.

Три команди хакерів Північної Кореї

Північна Корея скеровує своїх деяких хакерів за кордон, щоб вони оволоділи мовами або взяли участь у міжнародних змаганнях хакерів в Індії чи Китаї, де можуть помірятися силами з програмістами з усього світу. 2015 року в Індії відбулися міжнародні змагання CodeChef, які організувала тамтешня програмістична фірма. Команди з Північної Кореї посіли там перше, друге і третє місця, взявши гору над 7,6 тисяччю учасників. Троє з 15-ти найкращих програмістів, які пов’язані зі 100 тисячами осіб у мережу, — це представники Північної Кореї.

Біженці та експерти твердять, що кіберармія КНДР налічує близько 7 тисяч хакерів і працівників підтримки, поділених на три команди.

Команда А, яку закордонні фахівці часто називають Лазарем, атакує сторонніх осіб і є відповідальною за найгучніші напади Північної Кореї, WannaCry або злам мереж Sony.

Команда Б зосереджена, здебільшого, на Південній Кореї і краде у неї військові чи інфраструктурні таємниці. Хоча експерти з кібербезпеки кажуть, що віднедавна її почали використовувати й на інших «фронтах».

Команда C виконує завдання, що вимагають нижчої кваліфікації, наприклад, атаки з використанням електронної пошти, так званий фішинг.

Хоча минулі атаки виконувалися за допомогою відомих інструментів та кодування, північнокорейські хакери вчаться у найкращих іноземних хакерів, — стверджує Саймон Чой, консультант з кібербезпеки у південнокорейському уряді. Облікові записи на Facebook і Twitter, які, ймовірно, були створені хакерами з Північної Кореї, почали стежити за діями відомих китайських програмістів і «вподобаних» порадників, які, зокрема, викладають у мережу «рецепти» написання шкідливих кодів для мобільних пристроїв. Певні корейці з Півночі підписалися на інтернет-курси, запропоновані корейцями з Півдня, де можна навчитися «ламати» смартфони.

Фірми, які займаються кібербезпекою, твердять, що Північна Корея відрядила програмістів за кордон, де можна краще долучитися до глобальної фінансової системи. Розслідувальна фірма Recorded Future переконує, що знайшла сліди активності північнокорейських хакерів у Китаї, Індії, Новій Зеландії та Мозамбіку.

Того не зробить пересічний користувач

У McAfee твердять, що північнокорейському хакеру знадобилося лише тиждень, щоб відкрити та використовувати Invoke-PSImage — новий хакерський інструмент із відкритим вихідним кодом, який дозволив йому атакувати учасників Зимових Олімпійських ігор. Хакери використовували цей інструмент для створення незвичного шкідливого програмного забезпечення, невидимого для більшості антивірусних програм. Шкідливий код було приховано у графічному файлі, що входить до складу документа Word.

Останнє напад з використанням Adobe Flash приголомшив дослідників. За даними південнокорейських та американських експертів, шкідливе програмне забезпечення з'явилося в листопаді в Південній Кореї. Воно долучалося до файлів Microsoft Office, які пересилалися електронною поштою. Жертви інфікували свої комп'ютери, відображаючи вміст вбудованого Adobe Flash у документах Word або в електронних таблицях. А хакери здобували можливість віддаленого доступу до комп'ютерів та крадіжки файлів.

1 лютого Adobe оприлюднила звіт про безпеку свого програмного забезпечення, а через п'ять днів випустила оновлення. FireEye звинуватили в нападі Північну Корею.

Як повідомляв McAfee, всього за кілька тижнів викрадачі з Пхеньяну адаптували одну з шкідливих програм і використовували її для атак на фінансові установи Туреччини у березні. Хоча вони не вкрали гроші, ці напади, ймовірно, давали їм цінну інформацію про роботу внутрішніх банківських систем.

«Це шкідливе програмне забезпечення не написав пересічний Кім», — каже Крістіан Бек, головний інженер McAfee.

Чой, південнокорейський радник із кібербезпеки, зібрав подробиці про один з нападів на мережу, аби індентифікувати його автора. Урешті-решт, він переконує, що натрапив на профіль у Facebook, де Пхеньян значиться родиним місто і містом актуального проживання Цей профіль Чой вважає хакерським.

«The Wall Street Journal»

Переклад — Яків Гловацький