Северная Корея обладает одной из самых эффективных и многочисленных киберармий в мире: в состав кибервойск входит более 6 тыс. человек - столько же, сколько и у США.
Ежегодно северокорейские хакеры приносят родному бюджету до 1 млрд долл. в год (для сравнения: ВВП КНДР в 2016 г. оценивали в 28 млрд долл.)
Киберсилы КНДР признаются экспертами из США и ЕС одной из самых эффективных и боеспособных киберармий в мире наравне с США, КНР, Россией и Израилем.
Как получилось, что страна с населением чуть больше 25 млн человек создала одни из самых эффективных войск? Об этом подробно рассказали к.т.н., гендиректор ООО ТСС Александр Атаманов и к.т.н., гендиректор «Лаборатории Цифровой Форензики» Александр Мамаев в докладе «Серверная Корея: Как КНДР создала самые эффективные кибервойска в мире», опубликованном на сайте Российского совета по международным делам.
В первой части мы рассказали об идеологических и коммерческих атаках Пхеньяна. Теперь же пришло время рассказать об атаках на критическую инфраструктуру, способных полностью оставить США и Южную Корею без света.
Затишье перед кибербурей: когда замаячит блэкаут
В начале 2018 г. аналитики FireEye (входит в топ-10 мирового рейтинга компаний по кибербезопасности, является одним из основоположников систем защиты от угроз «нулевого дня») отчитались о разрушительной деятельности группировки APT37 (она же Reaper), продемонстрировавшей сложные высокоуровневые возможности взлома. Директор аналитического отдела разведки в FireEye Джон Хальквист заметил, что эти хакеры «не стесняются: они чрезвычайно агрессивны». В докладе FireEye отмечалось, что главной задачей APT37 является «тайный сбор разведданных для поддержки стратегических военных, политических и экономических интересов КНДР».
В отличие от Lazarus, APT37 намеренно работает в тени и старается не попадать в поле внимания, ее деятельность охватывает регион от Азии до Ближнего Востока, атаки становятся все более изощренными. FireEye полагает, что APT37 была основана в 2012 г. и базируется в Северной Корее. В настоящий момент сфера их интересов простирается от энергетического сектора, нефтепромышленности, электроники до автомобилестроения и аэрокосмической отрасли. Тактика хакеров варьируется: от уничтожения данных пользователей до получения полного скрытого контроля над АРМ. Используя фишинговые методы и распространяя вредоносную программу DogCall, злоумышленники делали скриншоты страниц, заполучив пароли пользователей – сотрудников южнокорейского правительства в марте и апреле 2017 г. Благодаря этому хакерам удалось похитить военные документы, в том числе совместные оперативно-боевые планы Южной Кореи и США по конфликту с Пхеньяном. Также жертвами хакеров стали некая ближневосточная телекоммуникационная компания и вьетнамская торговая компания.
В статье Wall Street Journal отмечается, что за последние 18 месяцев следы хакеров из КНДР прослеживаются во все большем количестве кибератак, «уровень хакеров серьезно улучшился», а цели становятся более тревожными.
В 2017 г. Министерство торговли, промышленности и энергетики Южной Кореи сообщило, что за 10 лет количество попыток доступа к государственным энергетическим компаниям Korea Electric Power Corporation (KEPCO) и Korea Hydro & Nuclear Power (KHNP) увеличилось в 4 тыс. раз. По меньшей мере 19 атак на KEPCO были осуществлены с территории КНДР.
Это очень тревожный сигнал, свидетельствующий о том, что Пхеньян может получить контроль над энергетическим сектором – и уже давно «приценивается» к отрасли. Еще в 2014 г. хакеры получили доступ к информации китайского ядерного оператора KHNP, сотрудничающего с Южной Кореей. Хотя южнокорейские официальные лица утверждали, что критические данные украдены не были, факт совершенной атаки настораживает.
В сентябре 2017 г. фирма из Мериленда Dragos (специализируется на уязвимостях промсектора) индексировала подозрительную активность группировки Covellite, нацелившейся на энергосистему в США, Европе и странах Восточной Азии. Методы злоумышленников очень напоминали активность Lazarus. Хоть в компании и не стали напрямую связывать группу с Пхеньяном, правительство США открыто обозначило хакеров как членов Lazarus.
При этом аналитики отметили, что Covellite не продемонстрировала «должного профессионализма». Однако не стоит торопиться с выводами: не исключено, что эти действия были попыткой «обозначить намерения» или «прощупывание» слабых мест системы.
В отличие от Южной Кореи, энергосистема США сложнее для взлома: здесь много частных, независимых друг от друга поставщиков. Зачастую на предприятиях используются устаревшие ручные системы управления, что усложняет задачи в сравнении с Южной Кореей.
Эксперты Dragos предположили, что злоумышленники могут разрабатывать вредоносные программы, способные привести к полному отключению электросети США. Более половины уязвимостей, выявленных в промсекторе США, потенциально могут привести к «сильному операционному воздействию», говорится в январском отчете Dragos. Компания проанализировала 163 новых уязвимости безопасности, появившихся в прошлом году в компонентах промышленного контроля, и обнаружила, что 61% из них, вероятно, вызовут «серьезное оперативное воздействие», если будут использованы в кибератаке. Большинство уязвимостей могут использоваться лишь в том случае, если злоумышленник получил доступ к сети предприятия. Однако озабоченность вызывает то, как оперативно производители оборудования оповещают коммунальные службы о дырах в безопасности. Зачастую, они не предпринимают ничего, даже если уязвимости уже обнаружены и описаны. Контроль над энергосистемой может стать мощным козырем в переговорах Пхеньяна с Вашингтоном.
Но этим арсенал КНДР не ограничивается: хакеры продолжают разработки. Министерство внутренней безопасности США сообщило о том, что в декабре 2017 г. обнаружило «разрушительное вредоносное ПО» SMASHINGCOCONUT, за которым может стоять КНДР. По словам аналитика службы безопасности Symantec Эрика Чиена, если Пхеньян действительно стоит за атакой SMASHINGCOCONUT, это отражает сдвиг в стратегии КНДР, в последние годы сосредоточившейся на нападении на финансовые учреждения и криптовалютных операциях.
Технический комментарий: SMASHINGCOCONUT – 32-битное вредоносное ПО на базе Microsoft Windows, способное сделать систему на базе Windows неоперабельной. После установки вредоносного ПО хакер должен вставить аргумент командной строки для выполнения, и вредонос удалит все файлы, а также закодирует все данные на компьютере.
Помимо адресных и рассеянных кибератак, КНДР заинтересовалась возможностью слежки за пользователями и сбором конфиденциальных данных. Так, в Google Play в течение двух месяцев (с января по март 2018 г.) были доступны три приложения, собирающие информацию об устройстве, личные фотографии, копирующие контакты и текстовые сообщения.
Приложения были нацелены на перебежчиков из Северной Кореи, обосновавшихся в других странах, прежде всего – в Южной Корее. Любопытно, что приложения скачали всего около 100 раз, но в этом и заключалась цель: разработчики программ-шпионов зачастую заражают небольшое количество тщательно отобранных целей, чтобы оставаться незамеченными администрацией маркетов.
О северокорейском происхождении приложений свидетельствовали несколько фактов: аналитики McAfee обнаружили в коде уникальные корейские слова, не используемые жителями Южной Кореи; в файле текстового журнала значился северокорейский IP-адрес. При этом разработчики, по всей видимости, не связаны с идентифицированными ранее хакерами. Новую группу назвали Sun Team. Не исключено, что это одно из подразделений Lazarus.
Также Пхеньян занимается разработками в слежке за пользователями iPhone. В мае 2018 г. исследователь кибербезопасности Дариен Гусс из компании Proofpoint обнаружил программу – инструмент управления мобильными устройствами (MDM), позволяющую удаленно контролировать предприятию корпоративные смартфоны iPhone, которыми пользуются сотрудники. Приложение размещалось на сервере, где, как предполагается, расположены и другие инструменты взлома за авторством программистов из Северной Кореи. Приложение позволяет полностью следить за пользователями iPhone: их перемещением, контактами, сообщениями.
Не исключено, что этим набором инструментов против iPhone дело не ограничивается. Тем более что аналогичными разработками занимаются и другие страны. Например, израильской компании Cellebrite удалось взломать iPhone. Интересно, что компания является подрядчиком американского правительства.
В третьей части исследования мы расскажем о том, почему Пхеньян так внимательно следит за криптовалютами и активно покупает биткоины.
