Из Пхеньяна с любовью. Что мы знаем о северокорейских хакерах?

от автора

Что мы знаем о Северной Корее? Да почти ничего. Как минимум, нам известно, что у этой замечательной страны имеется руководитель Шрёдингера (то ли жив, то ли нет), которого время от времени подменяет на ответственном посту симпатичная сестренка. Еще у них, вроде бы, есть атомная бомба и ракеты, причем последние временами даже летают. Наконец, злые языки утверждают, будто Северная Корея — одна из немногих стран, обладающих собственной группировкой хорошо обученных боевых хакеров. Но это, ясное дело, тоже не точно. Как подобное удалось государству, где с компьютерами и интернетом дела обстоят примерно как с копчёной колбасой в позднем СССР — все знают, что это такое, но доступно это благо только избранным? Вот об этом мы сегодня и поговорим.

История вопроса

Первые серьезные упоминания о государственной киберармии Северной Кореи относятся еще к началу нулевых. Так, в 2004 году южнокорейский генерал-майор Сон Ён Гюн сообщил на одной из пресс-конференций о том, что северные соседи ежегодно обучают сотни профессиональных хакеров, которые могут атаковать инфраструктуру Южной Кореи с целью похитить ценную секретную информацию и съесть весь доширак.

Его слова подтвердил в 2014 году покинувший Северную Корею профессор Ким Хун-Кван (Kim Heung-Kwang). Он рассказал прессе о существовании на его исторической родине некоего «Бюро-121». Это специальное учебное заведение закрытого типа, куда отбирают лучших студентов, которых обучают методикам кибератак и взломам. По словам Ким Хун-Квана, якобы преподававшего в этом образовательном центре, именно из выпускников «Бюро-121» формируются ряды северокорейской киберармии, численность которой на момент публикации интервью ученый оценил в 3000 человек. Горячую новость тут же подхватили BBC и издания вроде Times of India (откуда публикация была впоследствии удалена), а затем информация расползлась по всему интернету.

Однако достоверность сведений, или как минимум осведомленность профессора Хун-Квана ставит под сомнение тот факт, что он благополучно сбежал из Северной Кореи аж в 2003 году, после чего организовал и возглавил в Южной Корее фонд помощи таким же, как и он, беженцам (совмещая эту деятельность с преподаванием в университете Сувона). Насколько актуальны его сведения о том, что творится за «железным занавесом» спустя без малого десяток лет, остается только гадать.

Тем не менее, северокорейский след прослеживался во многих киберинцидентах, расследованием которых занимались независимые эксперты в сфере информационной безопасности и различные компании. Например, в 2013 году «Лаборатория Касперского» активно пиарилась на теме высокотехнологичного кибероружия, однако наиболее мощные поделки того периода вроде «стухнета» «стакснета», «дуку» и «флейма» имели все-таки не корейское происхождение. Иными словами, до того момента, как о себе во весь голос заявила севрерокорейская хакерская группировка Lazarus, о каких-то громких проделках парней из Пхеньяна в киберпространстве слышно не было.

Lazarus

В 2014 году кинокомпания Sony Pictures выпустила на экраны комедийный боевик Эвана Голдберга и Сета Рогена «Интервью» с самим Сетом Рогеном и Джеймсом Франко в главных ролях. Сюжет фильма рассказывал о вымышленной сценаристами попытке американских спецслужб убить лидера КНДР Ким Чен Ына с помощью нанесенного на пластырь яда, способного проникать в организм жертвы через кожу. Для исполнения этой ответственной миссии авторы «киношедевра» отправили в Северную Корею Петрова и Боширова двоих завербованных ЦРУ журналистов, которым глава государства согласился дать интервью.

Столь интересная и увлекательная история, очевидно, не понравилась правительству КНДР и самому Ким Чен Ыну. Руководство страны обозвало киноленту «актом терроризма» и потребовало отменить премьеру, пообещав в случае отказа «беспощадный ответ», а режиссер и исполнитель главной роли Сет Роген разместил в своем твиттере ироничную запись: «Обычно люди не хотят убить меня за какой-то из моих фильмов, пока не заплатят 12 долларов за билет». Но очень скоро эта шутка стала выглядеть совсем не смешной: в сеть Sony Pictures вторглась хакерская группировка, называющая себя Guardians of Peace, и немножко там пошалила. В открытый доступ попали личные письма сотрудников киностудии, данные их медицинских страховок и документы о зарплатах, сценарии еще не снятых фильмов (включая сценарий следующего фильма о Джеймсе Бонде), и 5 предрелизных кинолент. Одна из руководительниц компании, Эми Паскаль, подала в отставку из-за неудачной и очень неполиткорректной шуточки в адрес Барака Обамы, которую она отпустила в слитой хакерами переписке. Впрочем, на волне хайпа Sony заработала на малобюджетном «Интервью» более 40 млн. долларов, что стало неплохой компенсацией за хакерский взлом и потерю целого уволившегося продюсера.

Прославившаяся таким образом северокорейская группировка Guardians of Peace — одно из воплощений многоликой хакерской группы Lazarus, к которой причисляют также команды, называющие себя Hidden Cobra, APT38, ZINC и NICKEL ACADEMY. Связывают их между собой благодаря использованию одних и тех же инструментов, схожих вредоносных программ или одинаковых кусков кода, встречающихся в разных троянах, которые распространяют эти команды.

В 2015 году парни из APT38 попытались взломать ханойский банк Tien Phong и вывести несколько миллионов долларов в Словению, но вторжение было вовремя замечено и пресечено сотрудниками службы безопасности. Следующий крупный взлом хакеры из Lazarus предприняли уже на следующий год, и нацелен он был на один из банков в городе Дакка Народной Республики Бангладеш.

Здесь хакеры действовали вдумчиво, неторопливо и осмотрительно. Для проникновения в сеть банка использовалась фишинговая рассылка, направленная на конкретных сотрудников финансового учреждения. Как минимум трое из них купились на подобные письма, прошли по ссылкам и скачали на свои компьютеры дроппер, который, в свою очередь, загрузил с управляющего сервера бекдор. В течение десяти месяцев взломщики тщательно исследовали внутреннюю инфраструктуру скомпрометированной сети, изучали механизмы банковских операций и старались действовать максимально скрытно, чтобы не привлечь внимания сотрудников службы безопасности. Параллельно они выстраивали связи и разрабатывали процедуру вывода денег в оффлайне, чтобы в «час икс» план сработал четко, как часы.

В назначенный день 4 февраля 2016 года Федеральный Резервный Банк в Нью-Йорке, где открыт корреспондентский счет банка из Бангладеш, получил через систему Swift команду на выполнение нескольких десятков переводов на общую сумму почти миллиард долларов в другие банки, расположенные на территории Шри-Ланки и на Филиппинах. Первые пять запросов на сто один миллион долларов были успешно исполнены, прежде чем процесс прервался из-за чистой случайности. В момент отправки денег на счет в одном из филлипинских банков автоматическая система «споткнулась» о встретившееся в инструкции слово «Jupiter», которое попало в «стоп-лист» из-за никак не связанной с текущей операцией греческой транспортной компании Jupiter Seaways Shipping, ранее заподозренной в сотрудничестве с попавшим под международные санкции Ираном. Сигнал о подозрительной операции поступил администратором банка, которые, почуяв неладное, тут же заморозили все переводы из Бангладеш и начали внутреннее расследование.

Но северокорейцы правильно выбрали момент атаки: в этот день на Филиппинах были связанные с национальным праздником выходные, и запросы на приостановку транзакций никто не замечал в течение двух суток. За это время местные подельники хакеров сумели перевести в филиппинские песо чуть более 81 миллиона долларов, обналичить их в банкоматах и обменять на фишки местных казино, которые в праздничные дни как раз-таки работали круглосуточно. Естественно, вся похищенная сумма в считанные часы испарилась в неизвестном направлении. Вернее, в известном — уплыла в сторону Пхеньяна, оставив небольшую комиссию на счетах местных игорных заведений. Описанный эпизод показывает, насколько продуманно и основательно парни из Lazarus подошли к этому взлому: провели длительную и тщательную разведку, нашли и завербовали сообщников в другой стране, выбрали день атаки с учетом местных особенностей и придумали эффективную схему отмывания награбленного. Похищенные ими деньги в конечном итоге так и не нашли.

В последующие годы северокорейские хакеры развили бурную деятельность по всему миру. В 2017 году они предприняли атаку на Дальневосточный международный банк (FEIB) в Тайване, в ходе которой попытались перевести почти 60 миллионов долларов в банки Камбоджи и Шри-Ланки. Как и в прошлый раз, часть транзакций была заблокирована — но в этом случае из-за ошибок в оформлении платежных поручений. Атака была выполнена схожим методом: путем целенаправленной рассылки фишинговых писем с вложенными PDF-файлами, содержащими эксплойт.

В 2018 году группировка Lazarus атаковала мексиканский банк Bancomext — целью было хищение 110 млн. долларов, оформленных в качестве пожертвования корейской церкви. В мае того же года от северокорейцев досталось чилийскому Banco De Chile, в августе — индийскому Cosmos Bank.

В том же 2018 году бойцы киберармии Ким Чен Ына сместили фокус своего внимания с банков, обладающих серьезными службами информационной безопасности, на другие сферы, где с этой самой безопасностью дела обстояли не столь хорошо. Целью атаки стала одна из азиатских криптовалютных бирж, сотрудники которой получили фишинговые письма с предложением установить и бесплатную протестировать приложение для автоматического трейдинга. Программа, понятное дело, оказалась с сюрпризом: в ней прятался троян. Впоследствии Lazarus c завидной регулярностью принялись потрошить криптовалютчиков: во многих странах криптовалюта до сих пор находится вне закона, да и отмывать её гораздо проще, чем фиатные деньги. В результате этой бурной деятельности северокорейцы похитили 75 миллионов долларов у криптовалютной биржи из Словении, 24,9 миллиона долларов у индонезийской криптовалютной компании, около 12 млн долларов у криптотрейдеров из США. Общий размер финансового ущерба, нанесенного Северной Кореей криптовалютным компаниям, аналитики китайской организации Chainalysis оченивают в 1,75 миллиардов долларов.

Примерно в тот же период северокорейские хакеры начали распространять трояны-энкодеры, шифровавшие данные на компьютерах жертв и требовавшие выкуп за их расшифровку. Для этого, в частности, использовался созданный участниками Lazarus ботнет Joanap. Эта бот-сеть была интересна тем, что малварь распространялась с помощью червя, использовавшего дыру в протоколе SMB (привет, WannaCry), а полезной нагрузкой являлся бекдор, способный выполнять удаленные команды, загружать и запускать любые приложения. Ботнет Joanap был построен по одноранговой пиринговой Р2Р-модели, то есть, не использовал управляющих серверов и алгоритмов DGA, генерирующих доменные имена C&C, из-за чего его невозможно было засинкхолить и перехватить управление. Минюст США и ФБР отрапортовали об окончательной победе над ботнетом только в 2019 году, для чего им пришлось заразить бекдором пару десятков собственных компьютеров и выяснить таким образом топологию сети. Единственным способом загубить Joanap стала рассылка предупреждений владельцам инфицированных машин и работа с провайдерами, в сетях которых были выявлены боты.

Зарубежные аналитики в один голос утверждали, что северокорейские хакеры пользуются как минимум всесторонней поддержкой дружественных режимов из Китая и России. Но в 2019 году Lazarus предприняла ряд атак на российские компании и банки из Поднебесной, очевидно, поломав кому-то стройную картину мира. При этом взломщики использовали самые современные уязвимости нулевого дня, различные троянские программы и хакерские технологии, например, фреймворк МАТА, о чем общественности рассказала в одном из исследований «Лаборатория Касперского».

Примерно в конце 2019 — начале 2020 года группировка Lazarus стала проявлять интерес к интернет-магазинам, о чем поведали в своем отчете голландские исследователи из SanSec. На страницы торговых площадок хакеры внедряли веб-скимеры — специальные скрипты, похищающие данные банковских карт покупателей. Сколько денег таким образом удалось заработать взломщикам, досконально неизвестно, но судя по частоте атак, технология явно приносит им прибыль.

Кибердружина с восточным колоритом

Общий взгляд на описанные выше инциденты показывает, что атаки северокорейских хакеров развиваются по двум основным направлениям. Первое направление — «политическое»: от действий Lazarus и их коллег по цеху пострадала не только кинокомпания Sony Pictures, но также Минобороны США и Госдеп, коммерческие компании, выполняющие военные заказы в интересах Министерства обороны, американские научно-исследовательские институты в аэрокосмической и энергетической отрасли, крупные IT-корпорации.

Второе направление, ставшее фактически основным — финансовое. В условиях ограниченного экспорта товаров и внешней торговли, а также с каждым годом усиливающихся международных санкций, кража денег у банков, криптовалютных бирж и интернет-магазинов — пожалуй, единственный доступный для Северной Кореи способ пополнения валютных резервов. Руководители страны прекрасно понимают, что развитие современного оружия, электроники, машиностроения и транспорта, которые могли бы составить на внешних рынках конкуренцию продукции из Китая, Японии и Южной Кореи — чересчур затратная и фактически неподъемная задача для слабой северокорейской экономики. Обучить несколько сотен хакеров, которые будут воровать для страны деньги у вражеских империалистических режимов — намного проще и дешевле. Вот почему взломщики из Lazarus пользуются в Северной Корее всеобъемлющей государственной поддержкой. А на все претензии со стороны ограбленных капиталистов Пхеньян неизменно отвечает проверенными формулами «ихтамнет» и «авыдокажите».

В используемом КНДР подходе к «майнингу» национального валютного бюджета играет заметную роль и еще один важный исторический аспект: «деды воровали». Если верить публикации «The NewYorker» (а не верить этому уважаемому изданию серьезных оснований нет), правительство Северной Кореи еще с 70-х годов неофициально поддерживало преступные группировки, промышлявшие контрабандой сигарет, изготовлением фальшивых долларовых банкнот, а также производством и распространением в регионе синтетических наркотиков — в частности, метамфетамина (около 40% этого наркотика в Японии имеет северокорейское происхождение). В этом отношении переход международной преступности КНДР на высокотехнологичные рельсы — это не рождение какого-то принципиально нового явления, а апгрейд старого.

Сотрудник аналитического центра Стимсона Мартин Уильямс сравнивает процесс подготовки хакеров в Северной Корее с выращиванием олимпийских чемпионов в спортивных школах Советского Союза. Многие учебные заведения в КНДР оборудованы компьютерными классами, но не имеют выхода в Интернет. Наиболее одаренных школьников, проявляющих способности к программированию и математике, отбирают еще в младших классах и направляют в специализированные школы, где они проходят углубленное обучение. Самые талантливые ребята принимают участие в престижных международных олимпиадах по математике и программированию, где северокорейские школьники неизменно показывают высокие результаты и выигрывают престижные награды. Обычно такие делегации сопровождают суровые взрослые мужчины в штатском, а сами студенты не общаются и не контактируют с другими участниками мероприятия — эту их характерную замкнутость отмечали многие конкурсанты из других стран.

Позже молодым людям, продемонстрировавшим самые яркие способности, идеологическую выдержку, а также искреннюю любовь к Партии и личную преданность Председателю Государственного совета КНДР, Генеральному секретарю ЦК ТПК, Верховному Главнокомандующему Корейской Народной Армии Ким Чен Ыну, предоставляется возможность продолжить обучение в высших учебных заведениях страны. На компьютерных технологиях специализируются как минимум два колледжа в Пхеньяне, Технологический университет Ким Чаека и несколько факультетов Государственного Университета Ким Ир Сена. И некоторые студенты в итоге получают от органов госбезопасности предложение, от которого трудно отказаться.

Примерно об этом рассказал журналистам юный математик, сбежавший во время одной из международных олимпиад из северокорейского рая в Южную Корею — Ли Хён Сын. Представив, что ему предстоит вернуться в родную страну из кошмарного враждебного мира, где доступен Google, можно купить без разрешения компетентных структур мобильный телефон, а также не обязательно получать одобрение спецслужб, чтобы посмотреть PornHub YouTube, он решил навсегда связать свое будущее с западным миром и намылил лыжи в США. Где проживает и сейчас, неимоверно страдая от ужасов западной демократии.

По оценкам независимых экспертов, в настоящее время в киберструктурах Северной Кореи (куда входят не только хакеры, но и, например, разработчики мобильного ПО, продажа которого является еще одной статьей государственных валютных поступлений КНДР) занято порядка 7000 человек. Это самая настоящая индустрия, ежегодный оборот которой составляет умопомрачительные суммы.

Каждая страна представлена на международном рынке какой-то национальной отраслью: кто-то торгует нефтью и газом, кто-то оружием, кто-то сахарным тростником и пляжами приморских курортов, кто-то зарабатывает на эксплуатации морских каналов или производстве недорогой электроники. Северная Корея сделала выбор в пользу высоких технологий, правда, сфера интересов Пхеньяна несколько специфична. С другой стороны, наличие большого количества талантливых IT-специалистов — это высоколиквидный капитал, которым в случае изменения внешнеполитической обстановки можно распорядиться по-разному. Главное, чтобы айтишники при случае не разбежались по соседним странам, где им могут предложить более высокую зарплату и достойные условия труда. Но партия, правительство и государственная пропаганда прикладывают максимум усилий, чтобы подобные эксцессы случались как можно реже. А значит, в ближайшем будущем вряд ли что-то изменится кардинальным образом: банки и криптобиржи будут по-прежнему страдать от вторжений суровых парней из Lazarus. Впрочем, им не привыкать.


Облачные серверы от Маклауд быстрые и безопасные.

Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!

ссылка на оригинал статьи https://habr.com/ru/company/macloud/blog/555196/