Северная Корея обладает одной из самых эффективных и многочисленных киберармий в мире: в состав кибервойск входит более 6 тыс. человек - столько же, сколько и у США.
Ежегодно северокорейские хакеры приносят родному бюджету до 1 млрд долл. в год (для сравнения: ВВП КНДР в 2016 г. оценивали в 28 млрд долл.)
Киберсилы КНДР признаются экспертами из США и ЕС одной из самых эффективных и боеспособных киберармий в мире наравне с США, КНР, Россией и Израилем.
Как получилось, что страна с населением чуть больше 25 млн человек создала одни из самых эффективных войск? Об этом подробно рассказали к.т.н., гендиректор ООО ТСС Александр Атаманов и к.т.н., гендиректор «Лаборатории Цифровой Форензики» Александр Мамаев в докладе «Серверная Корея: Как КНДР создала самые эффективные кибервойска в мире», опубликованном на сайте Российского совета по международным делам.
Компания ТСС решила пересказать доклад читателям «Яндекс.Дзен».
Проба кода: у истоков кибервойск
Ким Чен Ир, руководитель КНДР с 1994 по 2011 гг., первоначально расценивал Интернет как потенциальную угрозу режиму. Отношение диктатора стало меняться в середине 1990-х гг., когда в страну по окончании обучения вернулась группа специалистов по компьютерным технологиям. Окончательный разворот произошел после вторжения США в Ирак в 2003 г.: по воспоминаниям известного перебежчика Ким Хун-кванга, Ким Чен Ир заявил: «В XXI в. войны будут вестись в информационном формате».
Пхеньян стал активно прибегать к цифровым технологиям для шпионажа и кибератак. Вскоре хакеры добились первых успехов: в 2009г. они атаковали сайты в США и Южной Кореи, заразив их вирусом MyDoom. За нападением стояла группа Lazarus (она же Hidden Cobra) – самая известная ныне хакерская группировка КНДР.
Однако масштаб КНДР на сетевой карте мира не впечатлял: в 2011г. на всю страну было зарегистрировано около 1 тыс. IP-адресов – меньше, чем в большинстве кварталов Нью-Йорка.
Все изменилось при Ким Чен Ыне. Впервые мировые СМИ активно заговорили о северокорейских хакерах в 2014 г., и для этого было два повода: в августе киберпреступники атаковали британский телеканал Channel 4 после того, как тот сообщил, что снимет фильм о британском ученом, похищенном Пхеньяном для разработки ядерного оружия. Серьезного урона атака не нанесла, но это была лишь разминка.
В декабре 2014 г. на экраны должен был выйти комедийный боевик Эвана Голдберга и Сета Рогена «Интервью» - фильм, повествующий о двух американских журналистах, отправляющихся в КНДР, чтобы сделать интервью с Ким Чен Ыном и убивающих диктатора по просьбе ЦРУ. Из-за угроз хакеров фильм сняли с проката, а следом Sony Pictures подверглась масштабной атаке: киберпреступники проникли на сервера компании, слили в Сеть несколько фильмов, конфиденциальную информацию, а вирус уничтожил до 70% ноутбуков и компьютеров сотрудников компании. На фоне скандала глава студии Эми Паскаль ушла в отставку, а против Sony подали многочисленные судебные иски.
Однако постепенно от идеологических атак хакеры перешли к поиску заработка в Сети.
"Ким Чен Ын, а как поднять бабла?"
В 2017 г. КНДР заработала около 200 млн долл. от незаконного экспорта угля и оружия, говорится в секретном докладе независимых наблюдателей ООН. Сделки осуществлялись через порты России, КНР, Малайзии, Вьетнама, Сирии и Мьянмы.
Однако этим список преступных доходов не ограничивается: за последние 20 лет Пхеньян не раз обвиняли в торговле контрафактом (от одежды до сигарет), обороте поддельной валюты, наркоторговле.
Теперь корейские чиновники открыли для себя новый, куда более безопасный способ приработка: хакерские атаки. По словам консультанта Национальной разведывательной службы Южной Кореи Саймона Чой, за последние несколько лет северокорейские хакеры атаковали более 100 банков и криптобирж, похитив более 650 млн долл. Бывший британский разведчик полагает, что киберпреступления приносят КНДР до 1 млрд долл в год. Для сравнения: экспорт КНДР составляет чуть более 3 млрд долл., а ВВП Северной Кореи в 2016 г. оценивался в 28,6 млрд долл. «Я не удивлюсь, если теперь хакерство играет важную роль в структуре доходов» КНДР, - заметил ведущий специалист по Северной Корее, профессор, сотрудник университета Кунмин (Сеул) Андрей Ланьков.
Хакерство – идеальный инструмент для пополнения бюджета КНДР по нескольким причинам:
1. Низкая стоимость входа в бизнес: помимо компьютера, доступа к Интернету и сервера опытному специалисту больше ничего не потребуется;
2. Анонимность пользователя, анонимность денежных транзакций;
3. Вариативность заработка: от выполнения легальных задач на фрилансе до противозаконных таргетированных атак;
4. Возможность уклонения от санкций ООН, в том числе запрета на найм рабочих из КНДР.
Рассмотрим «коммерческие атаки» КНДР подробнее.
Дело на миллиард: Центробанк Бангладеш
В 2015 г. группировки, связанные с Пхеньяном, атаковали онлайн-банки на Филиппинах, во Вьетнаме (Tien Phong), в феврале 2016 г. – в Бангладеш. Именно атака на Центральный банк Бангладеш стала одной из самых успешных и самых показательных. Хакерам удалось получить доступ к учетным записям сотрудников банка и взломать систему SWIFT (Общество всемирных межбанковских финансовых телекоммуникаций), которой пользуются 11 тыс. банков и других финорганизаций по всему миру. Взлом SWIFT потребовался для того, чтобы впоследствии стереть информацию о незаконных переводах.
Преступники направили от лица Центробанка Бангладеш запрос на перевод почти 1 млрд долл. из Федерального резервного банка Нью-Йорка, где хранились средства азиатского государства. Запрос поступил в четверг вечером, когда сотрудники ЦБ уже покинули офис (в пятницу в Бангладеш выходной). Хакеров подвела всего одна орфографическая ошибка: в документах значилось «fandation» вместо «foundation». Большая часть перевода была заблокирована, но хакерам удалось вывести 81 млн долл. и обналичить через филиппинские казино. Это один из первых случаев, когда кибератака использовалась государством не для шпионажа или политических целей, а с прицелом на прибыль.
Технический комментарий: хакеры использовали при атаке вредоносный код evtdiag.exe, внесший незначительные изменения в код ПО Access Alliance. Мошенники модифицировали базу данных, в которую сеть SWIFT записывала информацию об осуществляемых денежных переводах. Вредоносное ПО стирало исходящие запросы на трансфер средств и перехватывало входящие сообщения, подтверждающие транзакцию. Кроме того, под контролем находились хранящиеся на счету суммы с целью предотвращения обнаружения атаки, пока все средства не будут переведены на нужные счета. Наконец, ПО манипулировало принтерами, печатающими физические копии запросов на трансфер денег.
Атака стала возможной в силу отсутствия в системе защиты ЦБ Бангладеш межсетевого экрана (МЭ) и использования дешевых коммутаторов, подключенных к SWIFT. Другая причина, обеспечившая успех взлома, - упущения в защите: помещение, где находились четыре сервера и четыре монитора, располагалась в небольшой пристройке банка.
Проникновение привело к изменению требований по информационной безопасности для всех участников системы SWIFT, которые вступили в силу с января 2017 г.
Поторопились: преждевременный удар WannaCry
В мае 2017 г. Интернет парализовал сетевой червь WannaCry, шифрующий все хранящиеся на компьютере файлы и требующий выкуп за разблокировку. За первые четыре дня атаки от червя пострадали около 300 тыс. пользователей в 150 странах мира, ущерб от атаки оценивается в 1 млрд долл.
Специалисты «Лаборатории Касперского» и антивирусной компании Symantec обратили внимание, что сигнатуры кода WannaCry совпадают с сигнатурой кода, использовавшегося в феврале 2015 г. хакерской группой Lazarus. Это более чем явное свидетельство причастности КНДР.
Однако вряд ли стоит утверждать, что атака была намеренной: скорее всего, Пхеньян тестировал этот метод атаки. К такой идее подталкивают несколько соображений:
1. От WannaCry пострадали, в том числе, Китай и Россия. Жертвами червя в КНР стали 30 тыс. организаций: больницы, университеты, торговые центры, АЗС и железнодорожные станции. КНР и РФ являются главными геополитическими и торговыми партнерами КНДР, поэтому сомнительно, что Пхеньян нанес намеренный удар по союзникам.
2. Незначительный финансовый результат. Заработав всего от 40 до 70 тыс. долл. на атаке, вряд ли хакеры могут считать операцию успешной: адресные атаки приносят куда больше денег.
Не исключено, что это лишь подготовительный этап в разработке мощного кибероружия или тестирование уже созданных наработок.
Тем не менее WannaCry уместно отнести к коммерческим разработкам, нацеленным как на извлечение прибыли, так и на слежку за финансовыми организациями.
Технический комментарий: специалисты ТСС внимательно изучили исходный код вредоносной программы. Выяснилось, что WannaCry – эксплойт, с помощью которого происходит заражение, и одновременно шифровальщик, загружаемый на компьютер после заражения.
WannaCry распространяется через протоколы обмена файлами, установленными на автоматизированные рабочие станции. Проникнув в папку с документами, вирус шифровал их, изменяя расширение на .WNCRY, после чего требовал от пользователя приобрести специальный ключ для разблокировки. В противном случае хакеры угрожали удалить все файлы. Наибольший урон был нанесен компьютерам под управлением 64-разрядной версии ОС Windows 7.
Крадущаяся кобра, затаившийся эксплойт
В феврале 2017 г. SIEM-система помогла предотвратить атаку на польский финансовый регулятор – Комиссию по финансовому надзору. Хакеры модифицировали один из файлов JavaScript и разместили на ресурсе вредоносный JS-скрипт, подгружавший вредоносное ПО. Оказавшись в системе, вредоносная программа связывалась с размещенными за границей серверами и осуществляла различные действия с целью разведки и хищения данных.
Примечательно, что программа действовала адресно: хакеры подготовили список интернет-адресов 103 организаций (большинство из них – банки, причем как польские, так и зарубежные, включая кредитные организации Бразилии, Чили, Эстонии, Мексики и даже Bank of America), чтобы целенаправленно заразить сотрудников указанных структур. В случае успеха хакеры смогли бы получить контроль и над финансовыми потоками, но в первую очередь их интересовала информация о рынке, а не хищение средств.
В марте 2018 г. турецкие СМИ со ссылкой на McAfee сообщали об операции хакеров против финансовой системы Турции. Основываясь на сходстве кода, бизнес-специализации жертвы и наличии строк сервера управления, атака была идентична предыдущим нападениям Hidden Cobra (Lasarus), проведенным против глобальной финансовой сети SWIFT. Фишинговые письма включали файлы Microsoft Word, содержащий встроенный эксплойт Adobe Flash. Однако в процессе расследования аналитики выяснили, что операция в Турции была лишь частью масштабной операции GhostSecret, затронувшей в общей сложности 17 стран и нацеленной на сбор информации о критической инфраструктуре, телекоммуникациях и даже развлекательных организациях.
Предполагается, что уязвимости нулевого дня в Adobe Flash были найдены именно северокорейскими хакерами и долгое время замалчивались. Группа встроенных вредоносных файлов SWF в программе позволяет получить полный контроль над компьютерами жертвы. После того как Adobe выпустила патч для безопасности, хакеры модифицировали вредоносное ПО, чтобы нацелиться на европейские финансовые учреждения, предоставляя им возможность красть конфиденциальную информацию о рынке.
И этим список потенциальных угроз со стороны КНДР не ограничивается: теперь Пхеньян нацелился на критическую инфраструктуру США и Южной Кореи. Как именно - читайте во второй части нашего исследования завтра.