Корейская Народно-Демократическая Республика (КНДР или Северная Корея) является унитарным государством, власть в котором принадлежит Трудовой партии Кореи (ТПК) во главе с Ким Чен Ыном, занимающим высшие государственные посты с конца 2011 года.
Работы по созданию внутренней северокорейской сети Интранет «Кванмён» («Яркий свет») начались в 1997 году. Сервер Центрального агентства научно-технической информации (НТИ) Национальной академии наук был подключен к компьютерам Университета им. Ким Ир Сена и сотням профильных институтов, предприятий и крупных учреждений Пхеньяна с помощью различных модемов, телефонных сетей общего пользования и междугородних оптических кабелей.
Сеть предназначена в основном для работы с научно-техническими базами данных. Это одна из самых крупных изолированных от мирового Интернета сетей, в которой насчитывается порядка семи тыс. сайтов различной направленности. Большая их часть использует национальный домен первого уровня «.kp», среди доменов второго уровня зарегистрированы «com.kp», «edu.kp», «net.kp», «gov.kp», «org.kp», «rep.kp», «tra.kp» и «co.kp», доступ к таким сайтам извне закрыт. Пользоваться иностранными сайтами гражданам страны запрещено.
Кроме того, часть контента в сети «Кванмён» составляют материалы идеологической направленности, общественно-политические и экономические новости из жизни страны.
В целом сеть похожа на большую электронную библиотеку. Пользователи могут скачивать понравившиеся книги и загружать их в планшеты Samjiyon, которые специально для Северной Кореи производит Китай.
В северокорейском интранете, как и в глобальной сети для маршрутизации трафика, применяется четвёртая версия интернет-протокола IPv4 (Internet Protocol version 4), который имеет следующие диапазоны IP-адресов: 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Особенность их применения состоит в том, что граждане КНДР для поиска веб-сайтов чаще используют IP-адреса, чем доменные имена.
О более современном интернет-протоколе и рекомендациями по безопасности при переходе на IPv6 Вы можете узнать из нашего перевода, переходите по ссылке.
Основной язык интерфейса «Кванмен» — корейский. Вместе с тем в интранете размещаются информационные материалы на английском, русском, японском и других языках. Для удобства их перевода создана сетевая служба, в которой круглосуточно работают две тыс. переводчиков, с базой данных объемом около двух миллионов слов.
Национальная сеть «Кванмён» имеет четырехуровневую структуру:
– национальная сеть, создана Центральным агентством НТИ (Central Scientific and Technological Information Agency, CSTIA) Национальной академии наук;
– отраслевая сеть, создана агентствами НТИ при каждом министерстве, комитете и Центральном административном управлении при Кабинете министров. В частности, значительную роль в сборе и распространении научно-технической информации в своей области играет бюро технического руководства каждого производственного подразделения;
– региональная сеть, создана местными организациями НТИ городского уровня;
– локальная сеть научно-исследовательских институтов и предприятий.
Функционирование национального интранета организовано в соответствии с Законом «Об управлении компьютерными сетями» от 14 декабря 2011 года.
С начала строительства интранет-сети серверы Центрального агентства НТИ Национальной академии наук, крупнейшего научно-технологического учреждения КНДР, и Национальной библиотеки, были подключены по волоконно-оптическому кабелю. Это позволило через общенациональную поисковую службу предоставлять абонентам совместный доступ к базам данных двух учреждений.
Затем данная сетевая структура была объединена с региональными вычислительными центрами, созданными в городах Пхеньян и Пхёнсон, где расположены Национальная академия наук и Национальная библиотека, а также коммутационными узлами, развернутыми в административных центрах провинций. Малые и средние города соединили с близлежащими областными центрами радиальными линиями связи. В настоящее время оптоволоконные кабели проложены до уровня провинции. В сети постоянно работают около 20 высокопроизводительных серверов, способных обслуживать пользовательские (оконечные) устройства по всей стране.
Абонентские терминалы локальных сетей Центрального агентства научно-технической информации, Национальной библиотеки, Университета им. Ким Ир Сена и Бюро изобретений, предоставляющих услуги населению, оборудованы компьютерами Pentium III с тактовой частотой процессора 500 МГц и жесткими дисками емкостью 512 Мбайт. Емкость памяти серверов, на которых размещена база данных описаний объектов и документов, общим объемом около 30 млн записей доступных для хранения и обработки, превышает 200 Гбайт. Эти локальные сети соединены оптическим кабелем в единую региональную сеть через телефонные линии общего пользования и контроллеры маршрутизации.
С 2015 года в г. Пхеньян функционирует Дворец науки и технологий (ДНТ). В нем установлены около трех тыс. компьютеров, которые предоставляют доступ северокорейским гражданам к сети «Кванмен», позволяющей играть в игры, читать электронные книги, просматривать научно познавательные фильмы. В ДНТ находится библиотека с электронной базой данных, где собраны сведения о последних технологических разработках не только инженеров из КНДР, но и других стран мира.
Наряду с этим в сегменте интранета в мае 2016 года была создана социальная сеть StarCon, которая размещалась на северокорейском сервере и зарегистрирована по адресу StarCon.net.kp, аналог Facebook (принадлежит Meta*). Сайт StarCon разработан на основе коммерческого пакета ПО под названием phpDolphin и имеет многие признаки привычных соцсетей, в том числе новостную ленту, систему обмена сообщениями и страницы для личных данных пользователей. В общей сложности за недолгое время существования сайта (менее месяца) там было создано около 300 учетных записей. Однако в результате ошибки разработчиков ресурса, которые забыли изменить стандартные настройки (логин и пароль) для доступа с правами администратора, сеть была взломана хакером из Великобритании. После этого он стал недоступен для внешнего воздействия.
Всего в северокорейском интранете насчитывается около 10 тыс. сайтов в основном идеологической направленности, высших учебных заведений, предприятий и т.д.
Кроме того, в Пхеньянском технологическом университете им. Ким Чхэка функционирует собственная локальная сеть «Рисанг» предназначенная для дистанционного обучения студентов.
В целом, гражданам КНДР доступен минимальный набор услуг, при этом действуют ряд специфических запретов и ограничений. Так, доступ во всемирную сеть имеют лишь некоторые лица из числа высшей политической и научной элиты, а также сотрудники спецслужб. Причем лидер ТПК Ким Чен Ын лично пересматривает и утверждает номенклатуру организаций и людей, которые могут иметь доступ к Интернету. В «разрешительный» список входит МИД, некоторые научно-технические организации и службы безопасности. В этих организациях компьютеры, подключенные к Интернету, размещаются в специальных комнатах, доступ в которые осуществляется только по спецпропускам. Для подключения к Интернету необходимо заполнить соответствующую анкету и указать в ней все личные данные.
Кроме того, в КНДР вместо Windows XP используется собственная операционная система (ОС) «Пульгын пёль» («Красная звезда»), основанная на ОС Linux с открытым исходным кодом. Национальная ОС была создана в 2002 году государственным предприятием «Корейский компьютерный центр» (Korea Computer Center, г.Пхеньян), занимающимся разработкой программного обеспечения. В «Пульгын пёль» используется модифицированная версия браузера Mozilla Firefox, называемая «Нэнара» («Моя страна»), антивирус «Дятел», записная книжка «Мой товарищ», почтовый клиент «Голубь», офисный пакет «Мы», брандмауэр «Пхеньянская крепость», медиаплеер и некоторые игры.
Одна из особенностей ОС «Красная звезда» состоит в том, что она периодически создает скриншоты экрана, которые обычный пользователь не может удалить из памяти компьютера. Делается это для того, чтобы в случае необходимости сотрудники спецслужб («группа 109») могли проверить компьютер на предмет использования запрещенного контента. Также, повсеместно применяются электронные цифровые подписи. Пользователь может открыть на компьютере только те файлы, которые подтверждены одним из двух типов электронных подписей. Первый – используется при создании файла, в который вносится цифровая подпись пользователя, что в свою очередь позволяет открыть его на устройстве, на котором этот файл был создан. Второй – может быть добавлен в любой файл правительственными учреждениями с помощью специальной программы. Таким образом, северокорейский гражданин может открыть документ на своем компьютере только в двух случаях: если он был создан на этом же устройстве, либо – имеется официальное разрешение, выданное государственным органом. В противном случае технически невозможно открыть файл или записать его на внешний носитель и перенести содержащуюся в нем информацию на другой компьютер.
Кроме того, в соответствии с Законом «Об устранении реакционных мыслей и культуры» от 4 декабря 2020 года введена уголовная ответственность за употребление в обиходе южнокорейского сленга, чтение книг, а также прослушивание песен, просмотр фильмов и сериалов производства Южной Кореи. Данные ограничения действуют не только на жителей КНДР, но и на прибывающих в страну иностранных туристов. По мнению военно-политического руководства страны, северокорейские граждане должны слушать только патриотичную или национальную музыку и фильмы, прошедшие соответствующую государственную цензуру. К примеру, за просмотр южнокорейского контента вне зависимости от содержания, а также владения им предусмотрен срок от 5 до 15 лет лишения свободы. Любые компакт-диски, кассеты, флеш-накопители и т.п. содержащие запрещенную музыку, подлежат немедленному уничтожению. За распространение запрещенных фильмов и песен предусмотрено уголовное наказание вплоть до смертной казни.
Северокорейские хакеры
В условиях жестких международных санкций и информационной изоляции КНДР удается проводить успешные кибератаки на инфраструктуру других стран.
С приходом к власти Ким Чен Ына Северная Корея активизировала работу по подготовке и отправке за границу молодых специалистов (хакеров), обладающих глубокими знаниями в области информационных технологий, способных взламывать различные компьютерные сети и системы. В основном они направляются в Китай. Однако анализ, проводимый различными агентствами по кибербезопасности, показывает, что деятельность северокорейских хакеров исходит также из Индии, Малайзии, Новой Зеландии, Непала, Кении, Мозамбика и Индонезии.
Согласно отчету «Тактики Северной Кореи» (North Korean Tactics), подготовленному командованием Сухопутных войск США, отмечается, что в КНДР операции в цифровом пространстве организует и проводит «Бюро-121», которое, предположительно, подчиняется разведывательному управлению Генерального штаба Корейской Народной Армии. Оценочная численность подразделения составляет 7-10 тыс. человек, многие из которых являются выпускниками Пхеньянского технологического университета им. Ким Чхэка.
«Бюро 121» состоит из четырех основных подразделений. Три из которых APT-гуппы отвечают за проведение операции в киберпространстве и одно – за организацию и ведение радиоэлектронной борьбы.
Так, первая Andariel Group, в состав которой входят около 1,6 тыс. человек, осуществляющих сбор информации путем проведения разведки компьютерных систем противника и оценки выявленных уязвимостей. Именно это подразделение создает карту сетей противника для дальнейшего проведения кибератак.
Вторая – Bluenoroff Group. Отвечает за проведение финансовых киберопераций. Основной тактикой подразделения является оценка и эксплуатация уязвимостей в сети противника в долгосрочной перспективе. Включает порядка 1,7 тыс. хакеров.
Третья – Lazarus Group. Отвечает за создание социального хаоса путем использования уязвимостей вражеской сети в качестве оружия. Эта группа предварительно загружает в сеть коды для последующей активации, которые нарушают работу сети или уничтожают ее. Кроме того, в 2017 году подразделением была выпущена вредоносная программа-вымогатель WannaCry, вызвавшая массовые проблемы по всему миру, начиная от Национальной службы здравоохранения Великобритании, заканчивая корпорацией Boeing и даже университетами в Китае. По оценкам Европола было затронуто около 200 тыс. компьютеров в 150 странах, в том числе в России.
Следы сотрудников этой структуры обнаруживается в различных уголках мира. Например, южнокорейские эксперты по кибербезопасности обнаружили в коде одной из выявленных зловредных программ тег «kut_rsc1994», в котором распознали бывшего северокорейского студента — одного из участников международной математической олимпиады.
О других наиболее известных хакерских группировках прочитайте в нашем кратком обзоре в VK. Там Вы найдете другие интересные аналитические материалы, переводы и советы по информационной безпасности.
Аналитики по информационной безопасности из США также проследили цифровые отпечатки одной из северокорейских хакерских групп, которые ведут в китайский город Даньдун (провинция Ляонин). Кроме того, северокорейские перебежчики рассказали, что в Китае действовали три группы IT-специалистов из КНДР. Однако самые высококлассные хакеры остаются в Пхеньяне и действуют через VPN-серверы. За проведение успешных операции наиболее отличившиеся сотрудники премируются руководством ТПК получением дома или автомобиля.
Примеры вредоносной деятельности, приписываемой северокорейским хакерам:
– в апреле 2022 года хакерская группировка Lazarus провела кампанию против организации, осуществляющей деятельность в химическом секторе. В рамках операции «Работа мечты» злоумышленники связывались с потенциальными жертвами через аккаунты таких платформ, как LinkedIn, Telegram и WhatsApp. Под предлогом предложения прибыльных вакансий, обманом пытались заставить их установить вредоносное ПО. В этом же году APT-группа Stonefly совершила атаки на узкоспециализированные инжиниринговые компании с целью завладения конфиденциальной интеллектуальной собственностью из критически важных секторов, таких как энергетика, аэрокосмическая промышленность и военное оборудование;
– в апреле 2023 года группировка APT43 (Kimsuky), с помощью целевого фишинга атаковала компьютеры ряда экспертов по вопросам политики, проводимой Северной Кореей. Цель — взлом их учетных записей в браузере Google;
– в августе 2023 года злоумышленник ScarCruft взломал службу электронной почты, а Lazarus — внутреннюю сеть российской ракетостроительной компании «НПО Машиностроения»;
– в сентябре 2023 года APT-группа Lazarus осуществила кибератаку на аэрокосмическую компанию Испании, в ходе которой были задействованы несколько инструментов, в том числе публично недокументированный бэкдор под названием LightlessCan;
– в октябре 2023 года Национальная разведывательная служба Южной Кореи заявила, что северокорейские хакеры нацелены на судостроительную промышленность страны. Цель — получение доступа к техническим данным, которые позволят укрепить военно-морской флот КНДР. В этом же месяце два злоумышленника: Diamond Sleet (ZINC) и Onyx Sleet (Plutonium), используя уязвимость удаленного выполнения кода, затрагивающую несколько версий сервера JetBrains TeamCity, скомпрометировали данные серверы, а также установили вредоносное ПО, которое может обеспечить постоянный доступ к средам жертв.
*Признана экстремистской организацией на территории Российской Федерации.
Больше полезной информации об ИТ и ИБ — в наших соцсетях:
Telegram
ВКонтакте
Одноклассники
vc.ru