Опасная реальность: как Северная Корея создаёт кибервойска

Это главный способ устрашения после ядерных ракет, большой источник дохода и способ защитить репутацию лидера страны.

В марте 2016 года неизвестные хакеры украли у Центробанка Бангладеш 81 миллион долларов. Они взломали сервер учреждения и отправили в Федеральный резервный банк Нью-Йорка (ФРБ), где хранятся золотовалютные резервы республики (примерно 28 миллиардов долларов), около 30 запросов на перевод средств.

Злоумышленникам не повезло — только четыре перевода прошли успешно. Пятый запрос — на перевод 20 миллионов долларов — был задержан из-за опечатки в имени получателя. Однако неизвестные всё равно украли огромную сумму.

ФБР считает, что за кражей с большой долей вероятности стояли выходцы из КНДР. Скорее всего, они действовали по указке властей страны, где строго регулируется пользование интернетом. Издание The New York Times выяснило, как руководство КНДР создало грозные кибервойска, которые угрожают безопасности всех противников страны. TJ приводит главные факты из расследования.

В 2011 году западные эксперты не предполагали, что КНДР когда-нибудь сможет разработать достойное ядерное вооружение. Такой же позиции специалисты придерживались относительно кибервойск. Как отмечает The New York Times, они сильно ошибались.

Когда в 2011 году умер северокорейский лидер Ким Чен Ир, в стране числилось примерно 1 024 IP-адреса. Это меньше, чем в большей части районов Нью-Йорка. Изначально Ир относился к интернету с подозрением, видя в нём угрозу для государственного режима. Его мнение изменилось в 90-х годах, когда группа компьютерных учёных вернулась в страну. Они посоветовали использовать интернет как шпионский инструмент, обращая его против врагов — США и Южной Кореи.

Развитие кибервойск стало приоритетом КНДР после вторжения США в Ирак в 2003 году. После этого, если верить данным The New York Times, Ир обратился к верховным командирам. «Если до сих пор война была про пули и нефть, война 21 века крутится вокруг информации», — заявил лидер страны.

Когда на смену отцу пришёл Ким Чен Ын, он усилил развитие цифровых войск. К 2012 году страна распространила своих агентов в зарубежные страны, а для стабильной работы интернета положилась на Китай. Это позволяло агентам использовать открытые каналы соединения и при этом иметь возможность отрицать любую причастность к взломам.

Если за разработку и эксплуатацию ядерного вооружения на КНДР наложили многочисленные санкции, то их не последовало за предполагаемые кибератаки. Даже учитывая то, что расследования американских спецслужб указывают на причастность Северной Кореи к различным взломам.

В отличие от ведущих мировых стран, благополучие которых зависит от работы цифровой инфраструктуры, КНДР куда меньше грозят кибератаки. Интернет в стране сильно ограничен, компьютеры доступны лишь небольшой группе людей, а техника не так сильно опирается на цифровую поддержку. Советники Ына считают, что враги КНДР не рискнут отвечать военным вмешательством на кибератаки, чтобы не развязать масштабный конфликт.

По данным американских и британских спецслужб, КНДР регулярно обучает и совершенствует работу примерно шести тысяч киберспециалистов. Большая часть из них работает за границей. Агенты северокорейских спецслужб вербуют потенциальных хакеров в подростковом возрасте, а затем отправляют на обучение в ведущие компьютерные программы в Китае. В первую очередь их навыки используют для краж, слежки или заданий с политическим мотивом.

Недавнее исследование американской информационной компании Recorded Future показало, что северокорейские киберспециалисты пропускают трафик через несколько стран, чтобы замаскировать свою активность. В этом числе Малайзия, Новая Зеландия, Кения и Индонезия. Также предполагается, что северокорейские агенты имеют тайную базу в Индии.

Данные разведки США и Южной Кореи указывают на то, что Пхеньян заложил вирусы в критическую южнокорейскую инфраструктуру. Их могут активировать в будущем, чтобы подорвать работу критически важных объектов вроде военных узлов связи.

Как утверждает The New York Times, Северная Корея давно делится с Ираном стратегией создания ядерного вооружения. Возможно, они также обмениваются информацией о ведении кибервойны. В августе 2012 года предполагаемые иранские хакеры заразили 30 тысяч рабочих компьютеров компании Saudi Aramco. Эта компания занимается добычей нефти в Саудовской Аравии.

Атака прошла успешно: с компьютеров пропало огромное количество информации, подорвав работу компании. По совпадению, несколько месяцев спустя неизвестные направили похожую атаку против трёх банков и двух вещательных компаний Южной Кореи. Бывший глава британской разведки считает, что подобные кибератаки и взломы могут приносить КНДР до миллиарда долларов ежегодно.

Один из самых громких взломов, за которым может стоять руководство КНДР, произошёл в ноябре 2014 года. Тогда под удар попала Sony Pictures — дочерняя компания корпорации Sony. Неизвестные злоумышленники, назвавшие себя #GOP, удалили большую часть данных с рабочих компьютеров компании. Больше 70% техники вышло из строя. Сотрудникам пришлось работать, используя бумагу, ручки и телефоны.

Власти КНДР опровергли любую причастность к взлому, однако назвали его «справедливым». Вероятно, это связано с фильмом-сатирой Sony Pictures под названием «Интервью», где высмеивался строй Северной Кореи и Ким Чен Ын. Примечательно, что за неделю до этого взлому подвергся британский телеканал. Он транслировал фильм об учёном-ядерщике, похищенном в Пхеньяне.

Кроме атаки на Sony Pictures и Центробанк Бангладеша северокорейские кибервойска подозревают в распространении вируса WannaCry в мае 2017 года. Он напал на компьютеры в 150 странах, подорвал работу компании FedEx, заводов Renault и Nissan, 48 больниц Великобритании и российских силовых структур, в том числе МВД и Следственного комитета. Ущерб от вируса-вымогателя оценили в миллиард долларов.

По счастливой случайности его удалось остановить 22-летнему британскому киберспециалисту. Он прославился в СМИ, но попал под следствие ФБР за вероятную продажу другого вируса в 2015 году. А предполагаемые создатели WannaCry остаются на свободе.

10 октября 2017 года представители Южной Кореи заявили, что северокорейские хакеры украли секретные планы на случай войны, разработанные специалистами США и Южной Кореи. Один из документов описывал стратегию «обезглавливания», которая предполагала убийство Ким Чен Ына. Хакеры украли около 80% закрытой информации, которая в сумме весила 235 гигабайт.

По оценкам американских спецслужб, за 2016 год КНДР атаковала больше 20 польских банков. Почему нападениям подвергаются именно эти учреждения — неизвестно. По некоторым данным, северокорейские силы начали привлекать криптовалютные биржи. Они получают доступ к профилям пользователей, заражая компьютеры фишинговыми письмами, а затем переводят средства со счетов.

Американская компания по сетевой безопасности FireEye предположила, что украденную криптовалюту злоумышленники переводят в Monero — это криптовалюта на основе протокола CryptoNote, ориентированная на повышенную анонимность переводов.

Пока северокорейские власти готовят свои кибервойска, американские и южнокорейские обучают свои. По данным The New York Times, они постоянно ищут уязвимости в цифровой защите КНДР, рассчитывая в одночасье подорвать её работу.

Эти планы беспокоят некоторых военных специалистов в Вашингтоне. Если США развяжет кибервойну с КНДР, это может подтолкнуть Ким Чен Ына использовать оба своих козыря — ядерное и цифровое оружие. Вопрос заключается в том, переключится ли лидер Северной Кореи на план победить США без помощи ракетного вооружения, а за счёт компьютерных сил.

«Все сосредоточены на ядерных грибах (грибовидное облако, возникающее после ядерного или термоядерного взрыва. — Прим TJ), но существует потенциал для ещё одной катастрофической эскалации», — считает бывший помощник секретаря по киберполитике в Департаменте национальной безопасности США Роберт Сильверс.

#кндр #исследование #кибербезопасность