21.07.2021 Автор: Константин Асмолов

Kimsuky, или Новые похождения северокорейских хакеров

NKC42311

О северокорейских хакерах пишут много, и раз в полгода-год автор делает своего рода сводку, указывая на то, как истории про пхеньянский след превратились в самовоспроизводящийся миф, а выражение «Hackers believed to be linked to North Korea» — в доказательство. Тем более что весна-лето 2021 года оказались богатыми на громкие события в этой области.

Но пойдем по порядку. 27 октября 2020 г. США выпустили предупреждение против «известной северокорейской хакерской группы Kimsuky, которая была обвинена во взломе Sony Pictures в 2014 г.». Как выясняется, это не менее серьезная команда, чем небезызвестный Lazarus. Проблема в том, что для российского уха группа хакеров под названием «кимсуки» звучит как перевод на английский «Kims bitches», что скорее рождает подозрения в совсем не пхеньянском следе.

Впрочем, с одной стороны, автор по-прежнему относится к северокорейским хакерам с изрядной долей скептицизма, с другой — палку не стоит перегибать и в противоположную сторону. Надо понимать, что достаточное число северокорейской элиты активно использует интернет. Как отмечала 22 февраля 2021 г. в интервью изданию Der Spiegel профессор Гарвардской школы государственного управления и старший научный сотрудник американской компании по кибербезопасности Recorded Future Присцилла Мориучи, анализ интернет-трафика КНДР за 2017 год показал, что за последние три года объем его использования увеличился более чем на 300%.

Кроме того, в Северной Корее создан Военный университет имени Ким Чен Ына, где готовят специалистов военно-технической направленности, и южнокорейские СМИ пестрили по этому поводу предположениями о том, что хакерский факультет там тоже есть.

Но вернемся к «кимсукам». В апреле 2020 г. Компания IBM выявила попытки хакеров взломать сайты основных компаний-поставщиков вакцин от COVID-19. В заявлении, опубликованном сайте компании IBM, говорится, что ещё в сентябре группа хакеров отправила ложные электронные письма от имени китайского поставщика вакцин организациям, связанным с процессом их распространения, в том числе, в Германии, Италии, РК, Чехии, на Тайване.

В ноябре 2020 г. «кимсуки» пытались взломать несколько международных организаций, включая компании, которые работали над вакцинами против ковида. Есть основания подозревать Пхеньян: «вредоносная программа и инфраструктура имеют схожие функции и были связаны с тем же IP-адресом, что и другая вредоносная программа, используемая «кимсуки» в прошлом», хотя хакеры не ограничивались южной Кореей и нацеливались также на США, Европу, Россию и Японию.

13 ноября 2020 г. Microsoft обнаружил атаки против компаний и НИИ, которые занимались разработкой вакцины против ковида. Как заявил вице-президент по безопасности и доверию клиентов Том Берт, жертвами стали «ведущие фармацевтические компании и исследователи вакцин в Канаде, Франции, Индии, Южной Корее и Соединенных Штатах». Одна атака якобы была из России, две – из КНДР. По данным Рейтерс и CNN, северокорейцы выдавали себя за вербовщиков и предлагали работу сотрудникам компаний, в том числе Астразенека.

3 декабря 2020 г. «Чосон ильбо» сообщила, что в сентябре 2020 г. северокорейские хакеры выдавали себя за вербовщиков на сайтах LinkedIn и WhatsApp и создавали поддельные веб-сайты, похожие на порталы входа в систему, используемые производителями лекарств, чтобы люди вводили туда по ошибке свои регистрационные номера и пароли.

Как сообщал портал Vice со ссылкой на компанию Google, пхеньянские хакеры разработали новый метод социальной инженерии и использовали его против исследователей кибербезопасности, заставляя их посетить зараженный веб-сайт «Блог исследователя эксплойтов». В этом блоге якобы обсуждались и анализировались уже известные уязвимости, а также распространялась информация о новых, еще не изученных брешах в кибербезопасности. Злоумышленники использовали фейковые аккаунты в Twitter и LinkedIn для того, чтобы связаться с жертвами и предложить им доступ к ресурсу.

В феврале 2021 г. Korea Times сообщила, что в 2019-20 гг. КНДР украла криптовалюты на сумму примерно в 316,4 млн долл. Остаётся только понять, как внутри Северной Кореи всё это может быть обналичено и пущено в ход.

16 февраля член парламентского комитета РК по разведке Ха Тхэ Гён заявил, что с начала года в отношении РК были совершены 1 млн 580 тыс. кибератак (больше на 32% по сравнению с прошлым годом ), большинство из которых было с Севера. Об этом говорилось в докладе Национальной службы разведки, однако затем случился любопытный конфуз. Ха заявил, что компания Pfizer тоже подверглась нападению северокорейских хакеров, сославшись на документы разведки и другие источники, которые он отказался уточнить, однако спецслужбы «не подтвердили» этот факт.

17 февраля Минюст США предъявил обвинение в кибератаках трём северокорейским программистам, укравшим 1,3 млрд долларов, в том числе в криптовалюте. По мнению ведомства, 36-летний Пак Чжин Хек, 31-летний Чон Чан Хек и 27-летний Ким Ир принадлежали к военной разведке КНДР.

Если собрать все обвинения, то Пак Чжин Хёк является аналогом вездесущих российских шпионов Петрова и Боширова. Он ломал Sony Pictures, он создал WannaCry, он украл 81 миллион из Центрального банка Бангладеш, при этом на момент преступления ему было меньше 30 лет. Он якобы ограбил биржи цифровых валют в Словении и Индонезии и вымогал у нью-йоркской биржи 11,8 миллиона долларов. В 2018 г. он похитил 6,1 миллиона долларов из банкоматов пакистанского банка «Ислами» после получения доступа к его компьютерной сети. Также, как сообщается, он принимал активное участие во взломе зарубежных финансовых учреждений, в том числе вьетнамских, и в обналичивании виртуальной валюты.

Правда, не очень понятно, сколько из этих денег дошло в итоге до Севера, поскольку окончательное обвинение было предъявлено 37-летнему жителю Канады Галебу Алаумари, который, по версии следствия, отмывал деньги для северокорейцев. Так что нельзя исключать, что задержанный, который отмывал деньги для других хакеров, занимавшихся фишингом, кражами из банков и т.п., просто переложил ответственность на представителей Северной Кореи.

В апреле 2021 г. NK News сообщила, что северокорейские эксперты участвуют в различных онлайн-соревнованиях по программированию, и могут оттачивать свои боевые навыки. Впрочем, специалисты по кибербезопасности заявили, что это не страшно, потому что участие программистов Севера в соревнованиях по кодированию, наоборот, может выявить их привычки, которые могут быть использованы для связи будущих атак с КНДР.

Другой материал NK News за тот же месяц повествует о том, что северокорейцы выдавали себя за фирму по кибербезопасности, и группа анализа угроз Google (TAG) обнаружила связи между северокорейскими хакерами и веб-сайтом, который якобы принадлежит турецкой компании по кибербезопасности под названием SecuriElite.

Исследователи фирмы Sygnia подозревали сотрудничество между северокорейской группой Lazarus и преступниками, стоящими за кампанией вымогательства TFlower. По их мнению, новый вариант вредоносного программного обеспечения MATA, который ранее был связан с Lazarus, был использован для установки программы-вымогателя TFlower.

А как сообщала компания Group-IB, представители Lazarus использовали новый вид вредоносного JavaScript для кражи цифровых денег у онлайн-ритейлеров. Хакеры внедрили этот код в сайты интернет-магазинов, некоторые из которых уже были заражены так называемой скимминг-вредоносной программой, крадущей информацию о кредитных картах у клиентов.

7 апреля стало известно даже, что предположительно северокорейские хакеры выдавали себя за журналистов NK News. Южнокорейская фирма ESTsecurity сообщила им, что «группа, подозреваемая в работе от имени КНДР», создала профиль в Facebook, утверждая, что он принадлежит “журналисту NK News” по имени Винсент Джин. Расследование NK News обнаружило два Твиттер-аккаунта с одинаковым именем и фотографией.

8 апреля 2021 г. Британский портал raiders of cryptо надел на северокорейских хакеров виртуальный лавровый венок. Оказывается, пять из 10 крупнейших киберпреступлений в финансовой сфере, совершённых за последнее десятилетие, были осуществлены «хакерами, связанными с КНДР», а из 102 кибератак 30 имеют отношение к Пхеньяну, хотя реальные цифры ещё выше, поскольку исполнителей 64 атак установить не удалось. Согласно информации портала, хакеры, связанные с КНДР, в 2018 году похитили более 534 млн долларов с японской биржи криптовалют Coincheck. В том же году была совершена кибератака на Центральный Банк Малайзии. Северокорейские хакеры причастны к хищению 170 млн долларов из Union Bank of India в 2016 году, к взлому системы Экспортно-импортного банка Мексики в 2018 году и Банка Нигерии в 2016 году.

Исследователи NKNews предполагают, что попытки фишинга Кимсуки следуют предсказуемой схеме против некоторых американских организаций в течение нескольких недель после введения новых санкций или введения существующих, говорится в докладе корпорации RAND, опубликованном ранее в этом месяце. Исследователи заявили, что они проанализировали фишинговые атаки против RAND, приписываемые «кимсуки», в течение двух лет и обнаружили высокую корреляцию между санкционной активностью и попытками обмануть сотрудников RAND, чтобы они переходили по вредоносным ссылкам.

19 апреля 2021 г. исследователь южнокорейского Института стратегии национальной безопасности О Иль Сок заявил, что на фоне экономических проблем (торговля с Китаем сократилась из-за пандемии COVID-19, а санкции США и ООН ужесточаются), кибератаки на финансовые учреждения и аналитические центры в Южной Корее, Соединенных Штатах и других странах Севера будут продолжены. Эксперт также предупредил, что Север может начать кибератаки на южнокорейское правительство и американские аналитические центры, связанные с ядерными переговорами, а также других экспертов по Северной Корее.

Однако, в случае массовой кибератаки со стороны Севера, США могут рассматривать их как «серьёзные угрозы» и принимать более агрессивные ответные меры, — ввести экономические санкции и даже нанести физический удар при помощи БПЛА по объектам, откуда происходят кибератаки. Правда, с учетом большинства страшилок, это означает, что беспилотники будут атаковать Китай или РФ?

Но настоящий скандал разразился в Южной Корее после того, как 1 июня руководство Корейского института атомной энергии (KAERI) сообщило в министерство науки и информационно-коммуникационных технологий и в главный центр кибербезопасности при Национальной службе разведки, что внутренняя компьютерная сеть в период с 14 по 31 мая неоднократно подвергалась кибератакам. Эксперты обновили систему безопасности и заблокировали 13 адресов интернет-протокола злоумышленников. При этом в институте отказались комментировать сообщения о том, что кибератаки совершались с территории Северной Кореи, а также оценивать ущерб. Видимо, потому, что помнили, что подключиться к полностью изолированной от внешнего мира сети можно не при помощи особой хакерской магии, а через инсайдера.

Тем не менее 18 июня 2021 г. Ха Тхэ Гён заявил, что сеть была взломана в результате северокорейской кибератаки. Оказывается, «некоторые IP-адреса были прослежены до взлома серверов «кимсуки», северокорейской группы кибершпионажа». Более того, некоторые из IP-адресов были обнаружены с использованием электронной почты бывшего специального советника президента Мун Чжэ Ина по внешней политике Мун Чжон Ина, который то ли стал жертвой фишинга, то ли потворствовал хакерам.

Разумеется, в дальнейшем Ха и иные представители консервативной «Силы народа» запустили кампанию слухов о том, что ущерб на самом деле гораздо больше, но администрация Мун Чжэ Ина просто не решается признать факт кибератаки и масштабы её реального успеха.

25 июня 2021 г. фирма по кибербезопасности ESTsecurity сообщила, что «хакеры, связанные с Северной Кореей», такие как Thallium и Kimsuky, подозреваются в проведении кибератак с использованием адресов электронной почты правительства Южной Кореи, в том числе Корейского института национального объединения.

А 30 июня к «атомному скандалу» добавился «летный» — выяснилось, что взлом KAERI последовал за аналогичными кибератаками на Korea Aerospace Industries (KAI) и Daewoo Shipbuilding and Marine Engineering (DSME). По словам Ха Тхэ Гёна, они были атакованы с помощью уязвимости системы VPN.

В первом случае мишенью, видимо, были конфиденциальные данные о крупных проектах, включая чертежи прототипа истребителей KF-21; во втором — разработки новейших подводных лодок, чертежи атомных реакторов и прилагающихся БРПЛ: как раз тогда, когда северокорейцы сами вот-вот спустят на воду подводную лодку, способную нести баллистические ракеты.

Разумеется «некоторые из кибератак были прослежены до серверов «кимсуки». Реальный эффект атаки не известен, но, по мнению консервативных газет, вроде следует считать, что украли все, что надо: ведь северокорейские хакеры не оставляют никаких следов, кроме тех, что указывают на их причастность к Пхеньяну. По словам Ха и другого члена комитета Ким Бен Ги, ущерб, нанесенный стране хакерскими группами, вырос на 9 процентов в первом полугодии по сравнению со второй половиной прошлого года.

На фоне сообщений о кибератаках 7 июля министерство по делам объединения раскрыло сведения о попытках взлома своей информационной инфраструктуры.

С 2016 года ведомство отмечает тенденцию роста числа хакерских атак, о чём свидетельствуют приведённые цифры – 260 (2016 г.), 336 (2017 г.), 630 (2018 г.), 767 (2019 г.). В прошлом году зафиксировано 633 попытки взлома. Среди них 310 пришлось на попытки сбора системной информации, 265 на атаки посредством взлома электронной почты, 46 — попытки попыток взлома через веб-сайт, 8 инцидентов с доступом к вредоносным IP-адресам и 4 обнаружения вредоносного кода.

Консерваторы в этом контексте вспоминают недавнюю атаку на топливную инфраструктуру США и заявляют, что в стране до сих пор не существует национальной стратегии в области кибервойны или соответствующего законодательства. Национальная киберстратегия, разработанная правительством в 2019 году, больше посвящена кибербезопасности, чем обороне. Нет секретаря президента, отвечающего за кибербезопасность, а роль и функции Управления национальной безопасности давно устарели.

Подведём итог. Подобные истории, конечно, представляют интерес для специалистов по кибербезопасности, но можно обратить внимание, что практически во всех случаях конкретные доказательства северокорейского следа оставляют желать лучшего. За подробностями автор отсылает к методологическому разделу своего исследования по северокорейским хакерам, выводы которого ещё не утратили актуальность.

Константин Асмолов, кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Института Дальнего Востока РАН, специально для интернет-журнала «Новое Восточное Обозрение».


×
Выберие дайджест для скачивания:
×