заглянуть на тёмную сторону

Северная Корея стала главным бандитом в интернет-пространстве.

Северная Корея проводит все более хитроумные хакерские атаки. Их жертвами становятся банки, правительства разных стран и даже самые обычные пользователи интернета, пишет The Wall Street Journal [перевод публикует "Деловая столица"].

Хакеры из Северной Кореи, которых по традиции считали весьма посредственными, сегодня стали одними из самых виртуозных и опасных в мире. Согласно исследованию The Wall Street Journal за последние полтора года северокорейские кибератаки против Соединенных Штатов значительно участились, а навыки местных хакеров быстро улучшаются. Они атакуют все более важные цели. Эксперты по кибербезопасности утверждают, что в марте Северная Корея проникла в турецкие банки, а перед зимней Олимпиадой в Сеуле атаковала южнокорейские компьютерные системы.

В течение многих лет Северная Корея считалась второй лигой в киберпространстве, атаки которой легко обнаружить. Навыки местных хакеров оценивали куда скромнее, чем возможности их коллег из России, Израиля или Соединенных Штатов. Но похоже, что эти времена подошли к концу: Пхеньян перешел на удивительно оригинальную технику кодирования и взлома.

Режим, который готовится к переговорам с Вашингтоном о замораживании своей ядерной программы, атакует все более амбициозные цели вроде центральных банков или систем продаж. Благодаря развитию хакерства Северная Корея получает средства для компенсации потерь от экономических санкций и угрожает иностранным финансовым институтам.

Хакеры вместо олимпийцев

"Северная Корея обучает элиту хакеров так же, как другие страны тренируют олимпийских спортсменов", — заявляют беженцы из этой страны, эксперты по кибербезопасности из Южной Кореи и агенты разведки. Одиннадцатилетних детей, если они проявляют способности в этом направлении, отправляют в специальные школы, где они учатся взламывать системы и создавать компьютерные вирусы. "После направления в хакерское подразделение вы получаете титул, делающий вас исключительным гражданином. Отныне вам не нужно беспокоиться о еде или обеспечении основных потребностей", — рассказывает беженец из Северной Кореи.

Чтобы оценить киберпрограмму Северной Кореи, The Wall Street Journal опросила десятки северокорейских беженцев, экспертов по кибербезопасности, советников правительства Южной Кореи и военных экспертов. Исследователи подчеркивают, что определить источник атаки довольно сложно, поэтому нет 100%-ной уверенности в том, что каждая атака, приписываемая Северной Корее, действительно была проведена ею.

Респонденты указывают на достаточное количество доказательств того, что северокорейские хакеры совершенствуются: используют уязвимости в часто используемых программах уже через несколько дней после обнаружения лазеек, а созданные ими вредоносные программы не обнаруживают антивирусные программы. Когда производитель программного обеспечения или нанятые специалисты по кибербезопасности латают дыры, хакеры адаптируют свои программы в течение нескольких дней или недель. Причем настолько успешно, что, к примеру, Apple пришлось обновить свою операционную систему iPhone.

Многие хакеры из Северной Кореи хорошо знают английский, а также используют другие языки во время кодирования, чтобы замести следы и навести подозрения в нападении на другие страны. Они также имеют репутацию пионеров во взломе смартфонов, могут скрыть вредоносное ПО в Библии на мобильном телефоне или использовать Facebook для инфицирования своих жертв.

"Весь мир должен обратить на это внимание", — говорит директор аналитического отдела американской компании по кибербезопасности FireEye Джон Хальквист. Он утверждает, что северокорейский режим проводит одни из лучших хакерских атак в мире.

17 атак в секунду

Северная Корея свою причастность к кибератакам отрицает. И к той, которая была проведена в прошлом году при помощи шпионского программного обеспечения WannaCry и блокировала данные на компьютерах по всему миру, требуя выкуп в биткоинах, и к краже $81 млн из Центрального банка Бангладеш в 2016-м. Издание отправило просьбы предоставить комментарии в консульство Северной Кореи в Гонконге, но ответа так и не получило.

Эксперты отмечают, что следы, выказывающие корейский режим, скрыты глубоко во вредоносных программах и кодах. Среди них можно найти корейские слова, которые в ходу только на севере, использование серверов, которые связывают с атаками Пхеньяна, и файлы, созданные пользователями, связанными с местными хакерами.

Соединенные Штаты и другие страны публично обвинили Северную Корею в многочисленных атаках, совершенных в последние месяцы, в том числе и WannaCry, указывая в качестве доказательства собственно метод кодирования и техники, характерные для режима. Южная Корея считает, что северный сосед атакует ее 1,5 млн раз в день, то есть совершает по 17 атак в секунду.

В конце прошлого года хакеры из Северной Кореи стали первыми, кто обнаружил уязвимость в популярном медиаплеере Adobe Flash Player, что позволило им выполнять незаметные для других атаки на протяжении многих месяцев. В компании McAfee утверждают, что после того, как Adobe в феврале ликвидировала уязвимость, хакеры Пхеньяна модифицировали вредоносное программное обеспечение и направили его против европейских финансовых учреждений, чтобы иметь возможность получать конфиденциальную информацию об их сетях.

Страна как преступная организация

Преимущество Северной Кореи в киберпространстве устанавливается параллельно с ее успехами в развитии ракетных технологий после прихода в 2011-м к власти Ким Чен Ына.

Многие нападения, связанные с режимом, происходят без видимой причины. Некоторые эксперты сравнивают это с деятельностью преступной организации, которая ищет любые слабые стороны своих оппонентов, чтобы узнать о них побольше. Эксперты сходятся во мнении, что большинство нападений направлены на кражу информации военной разведки или получение денег, поскольку бюджет Пхеньяна серьезно страдает после введения международных санкций. Нападения усилились и после начала переговоров с Соединенными Штатами. "Наличие хакеров дает гораздо более сильную позицию во время переговоров", — утверждает директор компании Cybereason и бывший аналитик министерства обороны США Росс Рустичи.

В октябре Южная Корея призналась, что северокорейский режим выкрал 235 гигабайтов данных и военных тайн, в том числе американо-корейский план убить Ким Чен Ына в случае войны. Хакеров из Северной Кореи также обвиняют в краже сотен миллионов долларов, информации о кредитных карточках из банкоматов и $530 млн с японской биржи криптовалют в январе этого года.

Польские банки на прицеле

Похоже, что именно криптовалюты находятся в центре внимания хакеров из Северной Кореи. По словам информированных источников, в прошлом году они начали создавать фиктивные профили на Facebook, представляясь молодыми привлекательными женщинами, заинтересованными в биткоинах или работающими в этой отрасли. Они завязывали контакты с мужчинами, работающими на рынке криптовалюты. Для пущей надежности хакеры называли себя сотрудницами исследовательского центра Нью-Йоркского университета и других учреждений. Затем просили мужчин открыть приложение или файлы Word с открытками, содержащими вредоносное ПО.

Неизвестно, как именно северокорейский режим на этом зарабатывал. Как заявили в декабре в Facebook, компания закрыла фальшивые хакерские профили, которые "выдавали себя за других людей, чтобы получше узнать собеседника и завязать с ним отношения".

По словам экспертов по кибербезопасности, Северная Корея также использовала технику watering hole attack. Атака, название которой отсылает к поведению хищников, поджидающих своих жертв в местах водопоя, заключается в инфицировании сайтов, которые часто посещает жертва. При помощи этой техники Пхеньян в 2016-м атаковал банки в Мексике, Польше и Азии.

По данным компании Proofpoint, занимающейся кибербезопасностью, в июне Северная Корея снова применила технику watering hole attack, но на этот раз в новом варианте, используя различные методы шифрования. Новое вредоносное ПО в Proofpoint назвали PowerRatankba. "PowerRatankba показывает, что Северная Корея может адаптироваться к новым условиям, когда кто-то разгадывает ее методы, делает их общедоступными и информирует мир о том, как защититься, — говорит вице-президент Proofpoint Райан Калебер. — Так же, как производители постоянно развивают свой продукт, хакеры постоянно совершенствуются".

Почти совершенство

Северная Корея создает свою киберармию, по крайней мере, с середины 1990-х годов, когда тогдашний лидер Ким Чен Ир заявил, что "все будущие войны будут компьютерными войнами". Впервые северокорейские хакеры попали на передовицы газет в 2014-м, когда взломали компьютерные системы Sony Pictures Entertainment, уничтожили находящиеся там данные и опубликовали корпоративную переписку. Сама атака прошла с использованием несложного широко распространенного вируса под названием Wiper.

Беженцы и эксперты из Южной Кореи говорят, что хакеры в Северной Корее получают хорошие квартиры в Пхеньяне и освобождаются от обязательной военной службы. The Wall Street Journal поговорила с беженцем, который обучался взлому компьютерных сетей в Северной Корее. Он рассказал об интенсивной подготовке к соревнованиям по хакерству, проводимым каждый год в Пхеньяне. На протяжении соревнований команды молодых хакеров решают программистские головоломки и ломают системы безопасности, причем на каждую задачу отведено определенное время. "На протяжении полугода и днем, и ночью мы готовились только к этому соревнованию", — говорит собеседник издания. Вспоминает, как после одной из ночных тренировок вернулся домой, чтобы поесть, и проснулся головой в миске с супом. "Мы все мечтали принять участие в этом конкурсе", — объясняет он. Лучшие хакеры, выбранные на конкурсе, работают над кражей денег у иностранных банков или воруют информацию военной разведки. "Запуск ядерной программы, оружие и поддержание режима требуют огромных денег в твердой валюте, поэтому очевидно, что банки являются первой целью нападений", — объясняет собеседник газеты.

Три команды хакеров

Северная Корея отправляет некоторых хакеров за границу, чтобы те изучали иностранные языки или принимали участие в международных хакатонах в Индии или Китае, где они могут помериться силами с программистами со всего мира. В 2015-м в Индии состоялся международный конкурс CodeChef. Команды из Северной Кореи заняли первое, второе и третье места, притом что в соревновании приняли участие более 7,6 тыс. человек со всего мира. Три из 15 лучших программистов, выбранных из примерно 100 тыс. членов сообщества CodeChef, — представители Северной Кореи.

Беженцы и южнокорейские эксперты говорят, что киберармия Северной Кореи насчитывает около 7 тыс. хакеров и вспомогательного персонала, разделенных на три группы.

Команда А, которую иностранные исследователи часто называют Lazarus, атакует иностранные цели и несет ответственность за самые громкие атаки Северной Кореи вроде WannaCry или взлом Sony.

Команда В в основном сосредоточена на Южной Корее и похищает военные или инфраструктурные секреты, хотя эксперты по кибербезопасности говорят, что в последнее время она начала искать разведданные и в других источниках.

Команда C выполняет задачи, требующие более низкой квалификации, например, атаки с использованием электронной почты, так называемые spear phishing.

"Хотя ранее атаки проводились с использованием хорошо известных инструментов и кодирования, Пхеньян учится у лучших иностранных хакеров", — утверждает консультант по кибербезопасности в правительстве Южной Кореи Саймон Чой. Через принадлежащие хакерам из Северной Кореи учетные записи в Facebook и Twitter они следят за действиями известных китайских хакеров и лайкают руководства, описывающие, к примеру, создание вредоносного кода для мобильных устройств. Некоторые корейцы с севера подписались на онлайн-курсы, предлагаемые корейцами с юга, на которых можно научиться взламывать смартфоны.

Компании, занимающиеся кибербезопасностью, также утверждают, что Северная Корея отправила программистов за границу, где легче подключиться к глобальной финансовой системе. Аналитическая компания Recorded Future заявляет, что обнаружила следы деятельности северокорейских хакеров в Китае, Индии, Новой Зеландии и Мозамбике.

Впереди планеты всей

В McAfee сообщили, что в декабре северокорейскому хакеру понадобилась неделя, чтобы открыть и использовать Invoke-PSImage, новый хакерский инструмент с открытым исходным кодом, который позволил ему атаковать участников зимних Олимпийских игр. По данным McAfee, хакеры использовали этот инструмент для создания необычных вредоносных программ, которые были невидимы для большинства антивирусных программ и скрывали вредоносный код в графическом файле, включенном в документ Word.

Особое впечатление на экспертов произвела последняя атака с использованием Adobe Flash. По данным южнокорейских и американских экспертов, вредоносное ПО появилось в ноябре в Южной Корее, присоединившись к файлам Microsoft Office, распространяемым по электронной почте. Жертвы заражали свои компьютеры, отображая встроенный контент Adobe Flash в документах Word или электронных таблицах. В это время у хакеров была возможность установить удаленный доступ к компьютерам и украсть файлы. Первого февраля Adobe обнародовала отчет о безопасности своего программного обеспечения, а пять дней спустя выпустила обновление. Компания по кибербезопасности FireEye обвинила в нападении Северную Корею.

Как сообщает McAfee, всего за несколько недель хакеры из Пхеньяна адаптировали одну из вредоносных программ и использовали ее в начале марта для атаки на турецкие финансовые институции. Несмотря на то что они не украли никаких денег, атаки позволили им получить важные данные, к примеру, о функционировании внутренних банковских систем. "Это вредоносное программное обеспечение не было написано обычным Кимом", — говорит главный инженер McAfee Кристиан Бек.

Чой, советник по кибербезопасности в Южной Корее, собрал подробную информацию об одной из атак в сети, чтобы узнать о ее авторе. В конце концов он нашел то, что считает профилем хакера на Facebook. В графах "родной город" и "текущее место жительства" написано Пхеньян.


facebook twitter Google Plus rss



Последние обновления

Стали известны некоторые детали биографии офицера-предателя, переметнувшегося к оккупантам в прошлом году, которого во вражеском тылу вычислили и вернули в часть разведчики 93-й ОМБр «Холодный яр» ВСУ.

О некоторых, ранее неизвестных общественности, некоторых страницах биографии предателя сообщил на своей странице в Facebook волонтер Роман Доник.

Здоровье двух командиров батальонов 9-го отдельного мотострелкового полка морской пехоты 1-го армейского корпуса (АК) российских оккупационных войск сильно подорвано. Одного медики «скрутили болтами», второй еще подает признаки жизни, но совсем плохой.


загрузка...

следи за нами социально

facebook twitter Google Plus ЖЖ rss