21.02.2022 Автор: Константин Асмолов

Саморазоблачение мифа о северокорейских хакерах

DPRK94234

Совсем недавно мы писали о том, что прекращение моратория КНДР и потенциально новый виток напряженности могли быть вызваны серией хакерских атак на северокорейский интернет во второй половине января 2022-го года, благо еще в 2018 г. в США заявляли, что первый выстрел этой войны будет сделан в киберпространстве.

Да, обвалить надолго весь интернет не удалось. Максимум, что удалось хакеру или хакерам, это временно на около шести чесов «обвалить» большинство сайтов, но для северокорейцев была важна именно серия попыток вывести из строя интернет всей страны или как минимум ключевые сайты, которых не так уж и много. По крайней мере, один из центральных маршрутизаторов, обеспечивающих доступ к сетям страны, в какой-то момент оказался парализованным, что нарушило цифровые соединения Севера с внешним миром.

После этого северяне стали действовать соответственно, однако мы поговорим скорее о том, как в этой деликатной ситуации недруги КНДР пытаются перевести стрелки и как в ходе этого перевода стрелок они нечаянно разоблачили придуманный ими миф о пхеньянских хакерах.

Во-первых, из ниоткуда (о деятельности этого человека ранее и вне связи с данным инцидентом автор ссылок не нашел) возник некий хакер по прозвищу Р4х, утверждающий в интервью изданию WIRED, что именно он обвалил северокорейский интернет — якобы в качестве мести за попытку взломать его.

По словам анонимного, но словоохотливого хакера, чуть больше года назад он был взломан северокорейскими шпионами как одна из жертв кампании, нацеленной на западных исследователей безопасности с очевидной целью украсть их хакерские инструменты и подробную информацию об уязвимостях программного обеспечения. Правда, при попытке прояснить детали, выясняется, что взлом выглядел так: в конце января 2021 года он открыл файл, отправленный ему коллегой-хакером. 24 часа спустя он обнаружил сообщение в блоге группы анализа угроз Google, предупреждающее о том, что северокорейские хакеры нацелились на исследователей безопасности. И действительно, когда P4x внимательно изучил хакерский инструмент, который он получил от незнакомца, он увидел, что в нем содержится бэкдор, предназначенный для обеспечения удаленного доступа к его компьютеру. Как можно заметить, доказательств того, что его ломали из КНДР, не приведено даже на уровне «атака шла с северокорейского адреса» или «это был почерк, характерный для», – Р4х прочитал о том, что злокозненные северяне ломают хакеров, а раз он хакер и его ломают – точно из Пхеньяна. Поистине, гений логики!

Позже с хакером связалось ФБР, «но ему так и не предложили никакой реальной помощи, чтобы оценить ущерб от взлома Северной Кореи или защитить себя в будущем». После года ожиданий он так и не увидел «реакции правительства на нападения Северной Кореи на американских граждан» и не услышал «о каких-либо последствиях для хакеров, которые нацелились на него, об открытом расследовании их деятельности или даже об официальном признании того, что ответственность лежит на Северной Корее». Здесь занятно и то, что профессиональный хакер контактирует с ФБР, а также то, что нет сообщений относительно того,  что ФБР подтвердило пхеньянский след взлома.

Так или иначе, дело было решено взять в собственные руки. P4x обнаружил множество известных, но не исправленных уязвимостей в северокорейских системах, которые позволили ему в одиночку запускать DDOS-атаки, но отказался публично раскрывать эти уязвимости, так как рассказ о них помог бы властям КНДР защититься от следующих атак. Упомянул он только ошибку в программном обеспечении веб-сервера NginX, которая неправильно обрабатывает определенные заголовки HTTP, позволяя серверам, на которых работает программное обеспечение, перегружаться и отключаться.

Разумеется, P4x «поделился записями экрана, чтобы подтвердить свою ответственность за нападения, но отказался использовать свое настоящее имя, опасаясь судебного преследования или возмездия».

По словам хакера, теперь он намерен попытаться взломать северокорейские системы, чтобы украсть информацию и поделиться ею с экспертами. В то же время он надеется привлечь больше хактивистов к своему делу с помощью сайта, который он запустил под нецензурным названием «Проект FUNK», цель которого – «проводить пропорциональные атаки и сбор информации, чтобы помешать КНДР полностью бесконтрольно взламывать западный мир». Хотя он признает, что его атаки, скорее всего, нарушают законы США о компьютерном мошенничестве и хакерстве, он утверждает, что не сделал ничего этически неправильного и его совесть чиста.

С одной стороны, американскому и западному общественному мнению удачно скормили классическую легенду «о герое хакере», который, не вылезая из пижамы и с перерывом на сериалы про инопланетян, может нанести урон интернету целой страны. Аудитория, привыкшая к хакерам из кино и фильмам про супергероев, восприняла это как очередную историю про победу демократии над авторитаризмом, не говоря уже о том, что за действия одного анонима, да ещё и спровоцированного, никто ответственности не несёт. И речь идёт об индивидуальной атаке, а не о начале кибервойны.

Однако отметим то, какова была реакция специалистов по кибербезопасности на выходку Р4х. Мартин Уильямс, исследователь из проекта 38 North, отмечает, что неясно, какие реальные последствия оказали эти атаки. Лишь небольшая часть северокорейцев имеет доступ к Интернету, а сайты, которые стали жертвами P4x, в основном используются для пропаганды на международную аудиторию.

Дейв Айтел, бывший хакер АНБ и основатель охранной фирмы Immunity, который также стал мишенью предположительно пхеньянских хакеров, полагает, что P4x скорее может помешать более серьезным разведывательным усилиям, нацеленным на те же цели.

Дэн Пинкстон, эксперт по северокорейским киберугрозам в Университете Троя, также полагает, что DDoS-атаки от Р4х заставят северокорейцев принять более масштабные меры кибербезопасности, которые нейтрализуют или снизят вред от других кибератак против Северной Кореи, так что конечный результат может быть отрицательным.

Группа хакеров с сайта securityboulevard.com подозревают, что все несколько не так. Во-первых, расплывчатость американских законов о хакерстве делает то, что он сделал, преступлением, и фактически Р4х сам на себя донес. Во-вторых, то, что месть совпала с ракетными испытаниями КНДР и сменой политики Байдена, выглядит сомнительным совпадением. Больше походит на попытку задать неверное направление и отвлечь внимание от чего-то иного.

С другой стороны, зададимся вопросом о том, насколько один, даже талантливый хакер, может достигнуть подобных результатов. Как ни странно, подобная вероятность есть, т.к. данные о защищённости северокорейского интернета есть, и они разбивают в дребезги миф о неприступных цифровых окопах, которые охраняют тысячи хакеров. Отдельные вебсайты, по заверению специалистов, крайне плохо написаны и ещё хуже защищены. В ряде случаев ситуация приобретает вовсе анекдотичный характер, когда сайт не работает из-за детской ошибки или для его защиты используется комбинация admin/admin.

Более того, история с «хакерами на диване» не нова. Так, например, в 2016-м году британский подросток Эндрю МакКин «взломал» тестируемую в КНДР соцсеть Starcon, потому что разработчики ресурса не поменяли стандартные настройки для доступа администраторов. МакКин ввел в поле для имени «admin», а в поле для пароля слово «password», после чего «оказался внутри» с соответствующими правами. Впрочем, ничего ломать он не стал и только оставил сообщение «Э-э, я не создавал этот сайт, но только что нашел вход в систему», после чего сайт стал недоступен.

Впрочем, директор отдела интернет-анализа Dyn Дуг Мадори полагает, что starcon.net.kp не была государственным проектом. Он подозревает, что кто-то в КНДР сделал это в качестве теста, но люди за пределами Северной Кореи отчего-то могли получить доступ к сайту, сделанному с помощью phpDolphin, программной системы на основе шаблонов, которая позволяет любому создать клон Facebook.

Во-вторых, одновременно с повестью о хакере появилась целая серия отчётов и материалов о том, как злокозненные хакеры из КНДР воруют миллионы, которые тратятся на ядерную программу.

Вначале Reuters со ссылкой на конфиденциальный отчет группы экспертов ООН, отслеживающей выполнение санкций в отношении Пхеньяна, сообщила, что с начала 2020 по середину 2021 года киберпреступники из КНДР украли более 50 млн долларов как минимум с трёх криптовалютных бирж в Северной Америке, Европе и Азии. По данным экспертов, Северная Корея осуществила как минимум семь атак на криптовалютные платформы, и доходы от них направлялись на ядерные и ракетные программы.

Затем «Нихон кэйдзай симбун» со ссылкой на тот же пока секретный доклад поведала, что группа хакеров kimsuky, входящая в состав разведывательного управления КНДР, совершила атаку на МАГАТЭ путём создания фишингового сайта и получения личных данных пользователей. Корейская аэрокосмическая корпорация (KAI) также подверглась атаке хакеров. Предполагается, что объектом атаки могли стать устройства в виртуальной сети корпорации.

Официальный доклад будет представлен в марте этого года после его обсуждения, так что выяснить, какие доказательства были приведены, пока нельзя.

Но кому-то 50 миллионов – мало. Вот отчет американской аналитической фирмы Chainalysis, в котором говорится, что в 2021 году северокорейские хакеры украли криптовалюту на сумму около 400 миллионов долларов США, а число взломов, связанных с Северной Кореей, выросло с четырех до семи.

Атаки в основном были нацелены на инвестиционные фирмы и централизованные биржи. Хакеры использовали ряд методов, в том числе фишинговые приманки, эксплойты кода, социальную инженерию и вредоносные программы для выкачивания средств из «горячих» кошельков организаций, а затем переводили их на адреса, контролируемые Северной Кореей. И конечно, «многие из прошлогодних атак были совершены так называемой группой Lazarus».

Chainalysis не определила все цели взломов, но сказал, что это были в основном инвестиционные фирмы и криптовалютные биржи, в том числе Liquid.com, которая объявила в августе 2021 г., что неавторизованный пользователь получил доступ к некоторым криптовалютным кошелькам, которыми она управляла.

Кроме того, Северная Корея якобы активизировала усилия по отмыванию украденной криптовалюты, увеличив использование программных инструментов, которые объединяют и шифруют криптовалюты с тысяч адресов.

Наконец, южнокорейская фирма по кибербезопасности AhnLabs опубликовала результаты в новом отчете, в котором говорится, что хакеры, связанные с поддерживаемой Пхеньяном группой Kimsuky, начали распространять средство удаленного администрирования (RAT) с помощью нового варианта вредоносного ПО Gold Dragon, одного из фирменных бэкдоров группы.

Север отреагировал ожидаемо: «США поднимают шумиху с самого начала года, обвиняя нас в «краже криптовалюты» и «кибератаках» на другие страны», — говорится в статье, размещённой 7 февраля на веб-сайте министерства иностранных дел КНДР. Назвав США «государством самых тяжких киберпреступлений в мире», Север подверг Вашингтон критике за «злоупотребление киберпространством».

Как видно, во всем виноваты пресловутые группы «Кимсуки» и «Лазарус», в северокорейском происхождении которых у авторов давно возникают сомнения. К тому же, можно заняться ещё одним любопытным вопросом. Допустим, что северокорейцы добыли за счёт хакеров 50 миллионов долларов. Насколько это может помочь развитию ядерной программы? Внезапно выясняется, что для серьёзных проектов в оборонном строительстве это копейки. Одна бригада «Искандеров» стоит в районе 200-300 миллионов долларов. И если раньше, когда ракетная программа находилась на стадии «нашли денег – сделали ракету из того что было – запустили – копим на следующую», подобные разговоры ещё имели какой-то смысл, то с выходом ракетной программы Севера на качественно иной уровень подобные рассуждения можно воспринимать только с точки зрения пропаганды.

Подводя итоги, можно сказать, что попытка «перевода стрелок» не удалась. Более того, рассказки о коварных хакерах из КНДР противоречат доказанной истории про успешную атаку на северокорейский интернет. Да, организовать DDOS-атаку – это не самый существенный вред, который данный хакер или те, кто за ним прятались, могли бы нанести интернет-ресурсам, и дело невеликого мастерства. Но подумаем о другом: если некая страна готовит хакеров, то уровень ее атаки на чужой интернет и способность защитить собственные цифровые границы должна быть примерно равной. Более того, респонденты автора отмечают, что создание серьёзной инфраструктуры безопасности интернета должно бы предшествовать подготовке хакеров и без неё создание армии подобных специалистов маловероятно, как и то, что никто из этих хакеров не занимается вопросами безопасности. Так что или тысячи хакеров в погонах, или интернет страны может обвалить один человек в тапочках.

А нам остается ждать, будут ли продолжаться подобные атаки представителей «гражданского общества» на «тиранический режим» и каков будет ответ Пхеньяна.

Константин Асмолов, кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Института Дальнего Востока РАН, специально для интернет-журнала «Новое Восточное Обозрение».


×
Выберие дайджест для скачивания:
×