Киберармия режиму. Як хакери з Північної Кореї стали крутіше росіян

Північна Корея проводить все більш хитромудрі хакерські атаки. Їх жертвами стають банки, уряди різних країн і навіть самі звичайні користувачі інтернету, пише The Wall Street Journal.

Хакери з Північної Кореї, яких за традицією вважали досить посередніми, сьогодні стали одними з найбільш віртуозних і небезпечних у світі. Згідно з дослідженням The Wall Street Journal за останні півтора року північнокорейські кібератаки проти Сполучених Штатів значно почастішали, а навички місцевих хакерів швидко поліпшуються. Вони атакують все більш важливі цілі. Експерти з кібербезпеки стверджують, що в березні Північна Корея проникла в турецькі банки, а перед зимовою Олімпіадою в Сеулі атакувала південнокорейські комп'ютерні системи.

Протягом багатьох років Північна Корея вважалася другою лігою в кіберпросторі, атаки якої легко виявити. Навички місцевих хакерів оцінювали куди скромніше, ніж можливості їх колег з Росії, Ізраїлю або Сполучених Штатів. Але схоже, що ці часи підійшли до кінця: Пхеньян перейшов на напрочуд оригінальну техніку кодування і злому.

Режим, який готується до переговорів з Вашингтоном про заморожування своєї ядерної програми, атакує все більш амбітні цілі начебто центральних банків або систем продажів. Завдяки розвитку хакерства Північна Корея отримує кошти для компенсації втрат від економічних санкцій і загрожує іноземним фінансовим інститутам.

Хакери замість олімпійців

"Північна Корея навчає еліту хакерів так само, як інші країни тренують олімпійських спортсменів", — заявляють біженці з цієї країни, експерти з кібербезпеки з Південної Кореї і агенти розвідки. Одинадцятирічних дітей, якщо вони виявляють здібності в цьому напрямі, відправляють у спеціальні школи, де вони навчаються зламувати системи і створювати комп'ютерні віруси. "Після направлення в хакерское підрозділ ви отримуєте титул, робить вас винятковим громадянином. Відтепер вам не потрібно турбуватися про їжу або забезпечення основних потреб", — розповідає біженець з Північної Кореї.

Щоб оцінити киберпрограмму Північної Кореї, The Wall Street Journal опитала десятки північнокорейських біженців, експертів з кібербезпеки, радників уряду Південної Кореї і військових експертів. Дослідники підкреслюють, що визначити джерело атаки досить складно, тому немає 100%-ної впевненості в тому, що кожна атака, приписувана Північної Кореї, дійсно була проведена нею.

Респонденти вказують на достатню кількість доказів того, що північнокорейські хакери удосконалюються: використовують уразливості в часто використовуваних програмах вже через кілька днів після виявлення лазівок, а створені ними шкідливі програми не виявляють антивірусні програми. Коли виробник програмного забезпечення або найняті фахівці з кібербезпеки латають дірки, хакери адаптують свої програми протягом декількох днів або тижнів. Причому настільки успішно, що, наприклад, Apple довелося оновити свою операційну систему iPhone.

Багато хакери з Північної Кореї добре знають англійську, а також використовують інші мови під час кодування, щоб замести сліди і навести підозри у нападі на інші країни. Вони також мають репутацію піонерів у зломі смартфонів, можуть приховати шкідливе ПО в Біблії на мобільному телефоні або використовувати Facebook для інфікування своїх жертв.

"Весь світ повинен звернути на це увагу", — говорить директор аналітичного відділу американської компанії з кібербезпеки FireEye Джон Хальквист. Він стверджує, що північнокорейський режим проводить одні з кращих хакерських атак у світі.

17 атак в секунду

Північна Корея свою причетність до кібератак заперечує. І до тієї, яка була проведена в минулому році за допомогою шпигунського програмного забезпечення WannaCry і блокувала дані на комп'ютерах по всьому світу, вимагаючи викуп в биткоинах, і до крадіжці $81 млн з Центрального банку Бангладеш в 2016-м. Видання відправило прохання надати коментарі в консульство Північної Кореї в Гонконзі, але відповіді так і не отримало.

Експерти відзначають, що сліди, які виявляють корейський режим, приховані глибоко в шкідливих програмах і коди. Серед них можна знайти корейські слова, які в ходу тільки на півночі, використання серверів, які пов'язують з атаками Пхеньяну, і файли, створені користувачами, пов'язаними з місцевими хакерами.

Сполучені Штати та інші країни публічно звинуватили Північну Корею в численних атак, скоєних в останні місяці, в тому числі і WannaCry, вказуючи в якості доказу власне метод кодування і техніки, характерні для режиму. Південна Корея вважає, що північний сусід атакує її 1,5 млн разів в день, тобто здійснює по 17 атак в секунду.

В кінці минулого року хакери з Північної Кореї стали першими, хто виявив уразливість в популярному медіаплеєрі Adobe Flash Player, що дозволило їм виконувати непомітні для інших атаки протягом багатьох місяців. У компанії McAfee стверджують, що після того, як Adobe в лютому ліквідувала вразливість, хакери Пхеньяну модифікували зловмисне програмне забезпечення і направили його проти європейських фінансових установ, щоб мати можливість отримувати конфіденційну інформацію про їх мережах.

Країна як злочинна організація

Перевага Північної Кореї в кіберпросторі встановлюється паралельно з її успіхами у розвитку ракетних технологій після приходу в 2011-му до влади Кім Чен Ина.

Багато напади, пов'язані з режимом, відбуваються без видимої причини. Деякі експерти порівнюють це з діяльністю злочинної організації, яка шукає будь-які слабкі сторони своїх опонентів, щоб дізнатися про них більше. Експерти сходяться на думці, що більшість нападів спрямовані на крадіжку інформації військової розвідки або отримання грошей, оскільки бюджет Пхеньяну серйозно страждає після введення міжнародних санкцій. Нападу посилилися і після початку переговорів зі Сполученими Штатами. "Наявність хакерів дає набагато більш сильну позицію під час переговорів", — стверджує директор компанії Cybereason і колишній аналітик міністерства оборони США Росс Рустичі.

У жовтні Південна Корея визнала, що північнокорейський режим викрав 235 гб даних та військових таємниць, у тому числі американо-корейська план вбити Кім Чен Ина в разі війни. Хакерів з Північної Кореї також звинувачують у крадіжці сотень мільйонів доларів, інформації про кредитних картках з банкоматів і $530 млн з японської біржі криптовалют в січні цього року.

Польські банки на прицілі

Схоже, що саме кріптовалюти знаходяться в центрі уваги хакерів з Північної Кореї. За словами інформованих джерел, в минулому році вони почали створювати фіктивні профілі на Facebook, представляючись молодими привабливими жінками, зацікавленими в биткоинах або працюють у цій галузі. Вони зав'язували контакти з чоловіками, що працюють на ринку кріптовалюти. Для більшої надійності хакери називали себе співробітницями дослідного центру Нью-Йоркського університету та інших установ. Потім просили чоловіків відкрити програму або файли Word з листівками, що містять шкідливе ПЗ.

Невідомо, як саме північнокорейський режим на цьому заробляв. Як заявили в грудні в Facebook, компанія закрила фальшиві хакерські профілі, які видавали себе за інших людей, щоб трохи краще дізнатися співрозмовника й зав'язати з ним стосунки".

За словами експертів з кібербезпеки, Північна Корея також використовувала техніку watering hole attack. Атака, назва якої відсилає до поведінки хижаків, що чекають своїх жертв в місцях водопою, полягає в інфікуванні сайтів, які часто відвідує жертва. За допомогою цієї техніки Пхеньян у 2016-му атакував банки в Мексиці, Польщі та Азії.

За даними компанії Proofpoint, що займається кібербезпеки, в червні Північна Корея знову застосувала техніку watering hole attack, але на цей раз у новому варіанті, використовуючи різні методи шифрування. Нове шкідливе ПО в Proofpoint назвали PowerRatankba. "PowerRatankba показує, що Північна Корея може адаптуватися до нових умов, коли хтось розгадує її методи, робить їх загальнодоступними і інформує світ про те, як захиститися, — говорить віце-президент Proofpoint Райан Калебер. — Так само, як виробники постійно розвивають свій продукт, хакери постійно удосконалюються".

Майже досконалість

Північна Корея створює свою киберармию, принаймні, з середини 1990-х років, коли тодішній лідер Кім Чен Ір заявив, що "всі майбутні війни будуть комп'ютерними війнами". Вперше північнокорейські хакери потрапили на передовиці газет в 2014-му, коли зламали комп'ютерні системи Sony Pictures Entertainment, знищили знаходяться там дані і опублікували корпоративне листування. Сама атака пройшла з використанням нескладного широко поширеного вірусу під назвою Wiper.

Біженці та експерти з Південної Кореї кажуть, що хакери в Північній Кореї отримують хороші квартири в Пхеньяні і звільняються від обов'язкової військової служби. The Wall Street Journal поговорила з біженцем, який навчався злому комп'ютерних мереж в Північній Кореї. Він розповів про інтенсивну підготовку до змагань з хакерства, що проводяться щороку в Пхеньяні. Протягом змагань команди молодих хакерів вирішують программистские головоломки і ламають системи безпеки, причому на кожне завдання відведено певний час. "Протягом півроку і вдень, і вночі ми готувалися лише до цього змагання", — говорить співрозмовник видання. Згадує, як після однієї з нічних тренувань повернувся додому, щоб поїсти, і прокинувся головою в миску з супом. "Ми всі мріяли взяти участь у цьому конкурсі", — пояснює він. Кращі хакери, обрані на конкурсі, працюють над крадіжкою грошей у іноземних банків або крадуть інформацію військової розвідки. "Запуск ядерної програми, зброю і підтримання режиму вимагають величезних грошей у твердій валюті, тому очевидно, що банки є першою метою нападів", — пояснює співрозмовник газети.

Три команди хакерів

Північна Корея відправляє деяких хакерів за кордон, щоб ті вивчали іноземні мови або брали участь у міжнародних хакатонах в Індії чи Китаї, де вони можуть помірятися силами з програмістами зі всього світу. У 2015-му в Індії відбувся міжнародний конкурс CodeChef. Команди з Північної Кореї зайняли перше, друге і третє місця, притому що в змаганні прийняли участь понад 7,6 тис. осіб зі всього світу. Три з 15 кращих програмістів, вибраних з приблизно 100 тис. членів спільноти CodeChef, — представники Північної Кореї.

Біженці і південнокорейські експерти кажуть, що киберармия Північної Кореї нараховує близько 7 тис. хакерів і допоміжного персоналу, розділених на три групи.

Команда А, яку іноземні дослідники часто називають Lazarus, атакує іноземні цілі і несе відповідальність за найгучніші атаки Північної Кореї начебто WannaCry або злом Sony.

Команда В основному зосереджена на Південній Кореї і викрадає військові або інфраструктурні секрети, хоча експерти з кібербезпеки кажуть, що останнім часом вона почала шукати розвіддані і в інших джерелах.

Команда C виконує завдання, що потребують нижчої кваліфікації, наприклад, атаки з використанням електронної пошти, так звані spear phishing.

"Хоча раніше атаки проводилися з використанням добре відомих інструментів і кодування, Пхеньян навчається у кращих іноземних хакерів", — стверджує консультант з кібербезпеки в уряді Південної Кореї Чой, Саймон. Через належні хакерам з Північної Кореї облікові записи в Facebook і Twitter вони стежать за діями відомих китайських хакерів і лайкають керівництва, що описують, наприклад, створення шкідливого коду для мобільних пристроїв. Деякі корейці з півночі підписались на онлайн-курси, пропоновані корейцями з півдня, на яких можна навчитися зламувати смартфони.

Компанії, що займаються кібербезпеки, також стверджують, що Північна Корея відправила програмістів за кордон, де легше підключитися до глобальної фінансової системи. Аналітична компанія Recorded Future заявляє, що виявила сліди діяльності північнокорейських хакерів в Китаї, Індії, Новій Зеландії та Мозамбіку.

Попереду планети всієї

У McAfee повідомили, що в грудні північнокорейському хакеру знадобився тиждень, щоб відкрити і використовувати Invoke-PSImage, новий хакерський інструмент з відкритим вихідним кодом, який дозволив йому атакувати учасників зимових Олімпійських ігор. За даними McAfee, хакери використовували цей інструмент для створення незвичайних шкідливих програм, які були невидимі для більшості антивірусних програм і приховували шкідливий код в графічному файлі, включеному в документ Word.

Особливе враження на експертів викликала остання атака з використанням Adobe Flash. За даними південнокорейських і американських експертів, шкідливе ПО з'явилося в листопаді в Південній Кореї, приєднавшись до файлів Microsoft Office, що розповсюджується електронною поштою. Жертви заражали свої комп'ютери, відображаючи вбудований контент Adobe Flash в документах Word або електронних таблицях. У цей час у хакерів була можливість встановити віддалений доступ до комп'ютерів і вкрасти файли. Першого лютого Adobe оприлюднила звіт про безпеку свого програмного забезпечення, а п'ять днів потому випустила оновлення. Компанія з кібербезпеки FireEye звинуватила в нападі Північну Корею.

Як повідомляє McAfee, всього за декілька тижнів хакери з Пхеньяну адаптували одну з шкідливих програм і використовували її в початку березня для атаки на турецькі фінансові інституції. Незважаючи на те що вони не вкрали ніяких грошей, атаки дозволили їм отримати важливі дані, наприклад, про функціонування внутрішніх банківських систем. "Це шкідливе програмне забезпечення не було написано звичайним Кімом", — говорить головний інженер McAfee Крістіан Бек.

Чой, радник з кібербезпеки в Південній Кореї, зібрав детальну інформацію про одній з атак в мережі, щоб дізнатися про її автора. Врешті-решт він знайшов те, що вважає за профілем хакера на Facebook. У графах "рідне місто" і "поточне місце проживання" написано Пхеньян.