Как КНДР создала самые эффективные кибервойска в мире

Последние два месяца отмечены историческими новостями с Корейского полуострова: Ким Чен Ын дважды встретился со своим коллегой из Южной Кореи, а также провел переговоры с президентом США Дональдом Трампом. На этом фоне Пхеньян объявил о демонтаже последнего полигона для подземных ядерных испытаний. Возникает вопрос: с чем связаны столь щедрые уступки Пхеньяна? Прозвучит парадоксально, но они вызваны серьезными успехами хакеров из КНДР в киберпространстве, о которых широкая общественность знает мало.

В феврале 2016 года лишь нелепая орфографическая ошибка помешала хакерам из КНДР похитить 1 млрд долл. Центробанка Бангладеш, хранящиеся в Федеральном резервном банке Нью-Йорка: в документах значилось fandation вместо foundation, что насторожило сотрудников, которые отменили транзакцию. Тем не менее мошенники все же похитили более 80 млн долл.

И если у рядовых пользователей неудачная атака вызвала усмешку, то эксперты, напротив, насторожились. Пхеньян представляет реальную угрозу в киберпространстве. На сегодняшний день кибервойска КНДР насчитывают 6 тыс. человек, в то время как общий штат американского киберкомандования, созданного в 2009 году, и киберподразделений в военных службах США насчитывает чуть менее 7 тыс. сотрудников.

В последние четыре года тактика КНДР прошла три важных этапа: от "идеологических" атак (взлом британского Channel 4, планировавшего показать фильм о похищении Пхеньяном физика-ядерщика, и американской Sony Pictures, выпустившей скандальный фильм "Интервью" про Ким Чен Ына) к интернет-заработку, а следом – легальному IT-бизнесу.

Хакерство стало важной статьей пополнения казны КНДР: киберактивность приносит Пхеньяну до 1 млрд долл. в год. И это существенно больше, чем доход от незаконного экспорта угля и оружия: в 2017 году эти статьи принесли лишь 200 млн долл., говорится в секретном докладе независимых наблюдателей ООН. При этом общий объем экспорта КНДР оценивается в 3 млрд долл. в год.

Помимо ЦБ Бангладеш КНДР причастна к атаке вируса-шифровальщика WannaCry и взлому Комиссии по финансовому надзору Польши в 2017 году. И это лишь те инциденты, о которых стало известно: многие атаки намеренно скрываются жертвами, потому что вскрытые уязвимости наносят урон и по репутации, и по капитализации компаний.

Взрастив армию высококлассных IT-специалистов, КНДР создала десятки компаний по всему миру, занимающихся производством легального программного обеспечения. В частности, фирмы, связанные с Пхеньяном, продают системы идентификации биометрических данных для клиентов в Китае, Японии, Малайзии, Индии, Пакистане, Таиланде, ОАЭ, Великобритании, Германии, Франции, России, Канаде, Аргентине, Нигерии; VPN-технологии закупали контрагенты в Малайзии, сообщает Центр исследований проблем нераспространения им. Джеймса Мартина.

Этот факт не может не тревожить: не исключено, что произведенное северокорейцами ПО содержит бэкдоры – "закладки" в программах, которые используются для скрытого проникновения в систему или получения полного контроля над рабочим местом. Подобную активность можно рассматривать как целенаправленную и неторопливую подготовку к самому тревожному этапу – удару по критической инфраструктуре.

В начале 2018 года аналитики FireEye, входящей в топ-10 мировых компаний в сфере кибербезопасности, сообщили об активности группировки APT37. Эти хакеры занимаются "тайным сбором разведданных для поддержки стратегических военных, политических и экономических интересов КНДР" в автомобилестроении, аэрокосмической отрасли, энергетическом и нефтепромышленном секторах. Тактика хакеров варьируется: от уничтожения данных пользователей до получения скрытого контроля над устройствами.

Пхеньян заинтересован в доступе к критической инфраструктуре зарубежных государств. За 10 лет количество попыток взломать государственные энергетические компании Korea Electric Power Corporation (KEPCO) и Korea Hydro & Nuclear Power (KHNP) в Южной Корее увеличилось в 4 тыс. раз. Следом под удар попали США: в сентябре 2017 года фирма из Мэриленда Dragos индексировала подозрительную активность группировки Covellite, нацелившейся на энергосистему в США, Европе и странах Восточной Азии. Методы злоумышленников очень напоминают активность Lazarus – самой известной группировки из КНДР. Dragos проанализировала 163 новые уязвимости безопасности, появившиеся в компонентах промышленного контроля объектов энергетики, и обнаружила, что 61% из них, вероятно, вызовут "серьезное оперативное воздействие", если будут использованы в кибератаке.

Можно заключить, что сегодня Пхеньян успешно разрабатывает и применяет кибероружие, которое в будущем может оказаться весомым аргументом в дипломатических переговорах. При этом КНДР вынужденно прибегла к хакерству на фоне перманентных санкций – и очень преуспела. Хакерство – идеальный инструмент для пополнения бюджета и обхода наложенных на страну ограничений, в том числе запрета на наем рабочих из КНДР. При этом в действиях группировок КНДР прослеживается четкая специализация. Эксперты компании Crowdstrike подразделяют Lazarus на четыре группы: первая занимается "коммерческими атаками", приносящими доход; вторая действует против СМИ и государственных учреждений; третья фокусируется на противодействии спецслужбам; четвертая отвечает за хищение конфиденциальных данных пользователей.

Не будет преувеличением сказать, что уступки КНДР в ядерном вопросе вызваны успехами в киберпространстве. При этом между хакерскими атаками и ядерными испытаниями есть четкая корреляция: во время 3-го (февраль 2013 года), 4-го (январь 2016 года) и 5-го (сентябрь 2016 года) ядерных испытаний произошли серьезные кибератаки, организованные с Севера, на которые СМИ не обратили должного внимания.

Прозвучит парадоксально, но изоляция КНДР усложняет для США выработку эффективной стратегии против Пхеньяна: Вашингтону приходится опираться на открытые источники информации. Кроме того, попытки нанести ответный удар в киберпространстве заведомо обречены на провал: попросту потому, что страна практически не имеет выхода в Сеть.

Но даже если полностью ограничить доступ КНДР к Интернету, атаки не прекратятся: северокорейские хакеры рассеяны по всему миру и могут продолжать нападения из любой точки Юго-Восточной Азии.

При этом наказать Пхеньян за киберпреступления невозможно: наиболее болезненные санкции против страны уже введены, а на военный удар в ответ на кибератаки ни одно государство не решится.

Об авторе: Александр Владимирович Мамаев – кандидат технических наук, бывший руководитель кафедры "Криптология и дискретная математика" НИЯУ МИФИ.
2.07.18