Северная Корея (официальное название — Корейская Народно-Демократическая Республика) — маленькая изолированная страна, находящаяся под жесткими санкциями.
Страну давно подозревают в незаконной деятельности, за счет которой частично финансируется ее правительство. Предполагаемые незаконные действия включают продажу запрещенных веществ, поддельных потребительских товаров и финансовые махинации.
В 1970-е и вплоть до 2013 года Северную Корею обвиняли в распространении по всему миру так называемых супердолларов — высококачественных подделок американских банкнот, а позже — в кибератаках на банковские системы.
Талантливые хакеры
Как утверждают американские журналисты, власти Северной Кореи подобрали подающих надежды ребят и отправили их на учебу в Китай и США под видом дипломатов ООН.
Окончив обучение, граждане Северной Кореи остаются жить и заниматься кибератаками за границей, поскольку качество интернет-связи за пределами КНДР лучше, а отношение к северокорейскому правительству не прослеживается.
Наибольшую прибыль кибермошенники получили за счет проникновения в аккаунты банков и осуществления от их имени транзакций в международной системе обмена финансовыми сообщениями SWIFT.
Взлом SWIFT
ООН оценила «заработок» Северной Кореи от хакерской деятельности в $2 млрд при ВВП страны в $28 млрд.
Прибыль от хакерских атак гораздо выше, чем от поддельных долларов в прошлом.
Северокорейские мошенники грабят банки без взлома хранилищ и копания туннелей. Им достаточно доступа к SWIFT через аккаунты банков.
SWIFT появилась в 1973 году, к ней подключены более 11 000 финансовых организаций в 200 государствах. Каждый день через систему проводят миллиарды долларов. Британская оборонная компания BAE Systems и российская Лаборатория Касперского доказали, что Северная Корея воспользовалась для доступа к деньгам аккаунтами банков для установки связи с банками других стран.
Афера с Центробанком Бангладеша
В 2016 году северокорейские взломщики завладели системой Центробанка Бангладеша. Регулятор держит часть денег для совершения переводов за рубеж в Федеральном резервном банке Нью-Йорка. Зимой 2016-го Бангладеш попросил Нью-Йорк перевести порядка $1 млрд на Шри-Ланку и Филиппины.
Тогда же в ЦБ Бангладеша вышел из строя принтер. Устройство делало круглосуточную печать информации о международных переводах. Утром 5 февраля принтер был пуст и отказывался работать.
Как оказалось, это был хакерский взлом. Личности преступников тогда не установили. После взлома полиция нашла серьезные уязвимости в системе безопасности и отсутствие качественного ПО. Чтобы на мошенников не смогли выйти, они написали вирусный код, защищающий их от внутренних проверок международной финансовой системы. За счет махинаций отправленные в Нью-Йорк запросы не отображались в Бангладеше.
В США запросы Бангладеша о переводах на счета частных лиц вызвали подозрения. Десятки переводов были остановлены и отправлены на уточнение. Принтер через какое-то время вновь заработал и напечатал записи о десятках подозрительных транзакций.
В итоге большую часть переводов на сумму $850 млн нью-йоркский банк задержал, но четыре на $81 млн были проведены. Средства поступили сначала на счет банка в Филиппинах, а затем разошлись по счетам нескольких казино. После того как филиппинский Rizal Bank выявил мошенничество, вернуть удалось только чуть более $68 000. Остальные деньги пропали.
Специалисты BAE Systems нашли улики против Северной Кореи — программные коды в бангладешском ограблении были схожи с кодами ранее доказанных хакерских атак.
Не только Бангладеш
Как выяснилось, ограбление ЦБ Бангладеша было только частью системы банковских ограблений.
Параллельно деньги пытались похитить из банка в Юго-Восточной Азии, название которого не уточняется.
В 2015-м северокорейцы попали на сервер банка, управлявший ПО для доступа организации к SWIFT.
В апреле хакеры решили завладеть доступом к более солидным учетным записям, применив кейлоггинг к SWIFT-серверу банка. Кейлоггингом называется скрытое отслеживание действий пользователей в системе — например, нажатия клавиш на клавиатуре и движения курсора мышки. Захваченные данные, в частности, используют для кражи паролей.
Растущие амбиции
После Бангладешского инцидента представители SWIFT изменили требования для банков к обеспечению безопасности. Теперь, чтобы обмануть систему, хакеры стали пробовать писать новые программы, но потерпели поражение. Через полгода после попытки похитить средства из банка в Юго-Восточной Азии происхождение хакеров было установлено.
Конечно, граждане Северной Кореи хотели ограбить не только две кредитные организации. В начале 2017 года они запрограммировали систему финансового регулирования Польши отправлять вирусный код представителям финансовых организаций, которые посещали ее сайт. Компьютерные вирусы таким образом получили более сотни компаний со всего мира — в основном банки и представители сферы телекома. Мишенью хакеров были Всемирный банк, центробанки разных стран и другие финансовые гиганты.
Что еще украли хакеры
Помимо традиционных валют мошенники пытались украсть и криптовалюты по всему миру. Было совершено несколько атак на криптовалютные биржи. В частности, биржа Youbit из Южной Кореи в результате этих действий утратила 17% капитала. По примерным оценкам, прибыль КНДР от хищения криптовалют достигла $500 млн.
Хакеры из Северной Кореи научились совершенствуют код и тщательно следят за обновлениями системы безопасности SWIFT и банков, чтобы скорректировать программы по их обходу. Однако при большей части атак мошенникам не удавалось вывести средства, потому что банки прерывали операции.
Другая тактика
В июне 2018 года мошенники стали действовать по-другому. Они взломали индийский Cosmos Cooperative Bank. Хакеры попали внутрь банковской системы и выяснили, как она устроена. Для получения средств в этот раз использовались электронные переводы и дубликаты банковских карт. Затем средства обналичивались через банкоматы.
Однако спецслужбы США узнали о готовящейся атаке, но без сведений о том, какие банки могут пострадать. В конце лета ФБР разослало банкам предупреждения о схеме по похищению и обналичиванию денег. Спецслужбы призвали банки улучшить безопасность.
Но предупреждение не защитило кредитные организации. 11 августа посредники хакеров в 28 государствах с помощью дубликатов банковских карт обналичили в банкоматах от $100 до $2500. На крупных банках план не сработал, но со средними и мелкими все удалось, так как их безопасность была хуже. На хищениях хакеры заработали порядка $11 млн.
По предположению исследователей, хакеры, взломав систему, смогли управлять запросами на аутентификацию. Они создали отдельную систему аутентификации, которая одобряла запросы на снятие наличных, поступающие в индийский банк, в обход механизмов безопасности.
После успешного получения наличных взломщики провели еще переводы на $2 млн через SWIFT из Cosmos Bank в гонконгскую компанию ALM Trading Limited.
Все действия северокорейских мошенников дали понять, что в дальнейшем они не ограничатся просто хищением средств для пополнения казны своей страны. В будущем хакеры могут наполнить международную финансовую систему поддельными транзакциями, чтобы подорвать к ней доверие.
Код хакеров постоянно совершенствуется, а отсутствие технологических мощностей компенсируется агрессией и амбициями. Аналитики считают, что Северная Корея будет продолжать обогащаться за счет других государств, поэтому безопасность международной финансовой системы по-прежнему под угрозой.
Актуальные новости, советы по финграмотности, смешные мемы, топ-факты о деньгах и не только — в нашем телеграм-канале Zayman.ru. Подписывайтесь!
