Что мы знаем о хакерах из КНДР и почему не все из этого правда
2 марта Министерство юстиции США предъявило двум гражданам КНР, Тянь Иньину и Ли Цзядуну, обвинение в отмывании денег. Пока в деле два эпизода, зато сразу на более чем $100 млн. Всего же, согласно результатам совместного расследования американских спецслужб и южнокорейской полиции, за полтора года (с конца 2017-го) северокорейские хакеры похитили с криптовалютных бирж и отмыли с помощью китайских товарищей около четверти миллиарда долларов. И деньги эти, полагают в США, идут на финансирование ракетно-ядерной программы КНДР.
Северокорейские хакеры – хорошо раскрученный бренд. Весьма популярны рассказы о многотысячных кибер-войсках КНДР и целой армии северокорейских IT-рабов, которые трудятся в условиях, по сравнению с которыми НКВДшные шарашки покажутся санаторием. Впрочем, достоверность этих сообщений вызывает серьезные сомнения, поскольку основаны они на рассказах перебежчиков. Их душераздирающие публичные откровения могут быть занятны, но представляют интерес, скорее, как артефакты пропаганды, чем как надежный источник информации. Кибер-операции вообще сфера, не терпящая публичности, а КНДР недаром считается одной из самых закрытых стран мира. А вот в чем не приходится сомневаться, так это в том, что в условиях драконовских санкций, которыми обложили Северную Корею, ее руководство приемлет любые способы получения валюты, необходимой, в том числе, для масштабной программы развития вооружений.
По-видимому, с 2008-2009 годов северокорейцы целенаправленно и систематически использует кибероперации для пополнения бюджета. Тогда же стали создавать операционную сеть в Китае, откуда намного удобнее работать. Выводили деньги с южнокорейских игровых сайтов и интернет-площадок, занимались кибер-вымогательством. В 2010-м была проведена первая (относительно достоверная) атака на банк. До 2017-го использовали традиционные «способы отъема денег»; экспроприации сначала проводили у идеологических противников, потом – как получится. Крупным успехом стала атака в феврале 2016-го на Центробанк Бангладеш. С его счетов в Федеральном резервном банке в Нью-Йорке (который вообще-то является частью Федеральной резервной системы США) через систему SWIFT попытались вывести $951 млн. Успели сделать только две из 35 транзакций: $20 млн ушло на Шри-Ланку, их потом вернули. А вот большую часть из $81 млн, утекшего на Филиппины, найти так и не удалось. Эта атака показала не только хорошую результативность, но и высокую эффективность северокорейского подхода. При том, что хакеры из КНДР могут применять весьма изощренные векторы атак, очень часто используются достаточно простые средства: зачем усложнять, если и так работает? Только за 2015–16 годы, по подсчетам Symantec, северокорейские хакеры вывели $94 млн у банков по всему миру.
В 2009-м появился биткоин. Сначала северокорейцы занимались майнингом, а криптовалюты использовали для получения выкупа и проведения анонимных транзакций. Но в 2017 году, похоже, решили, что гораздо целесообразнее потрошить расплодившиеся криптобиржи. Произошел ряд инцидентов, причем поначалу суммы хищений были не велики – больше похоже, что отрабатывались операционные и технологические цепочки. Но в 2018-м из японской Coincheck уже вывели, якобы, полмиллиарда долларов. Было еще несколько атак, однако суммы ущерба, как правило, не разглашались. Масштабы северокорейской крипто-активности привлекли внимание специалистов. Появилось несколько аналитических докладов, а в 2019-м свои выводы представили эксперты ООН. В февральском докладе указывалось, что сумма, полученная в результате северокорейских компьютерных вторжений и киберограблений, жертвами которых с 2015-го по 2018 год стали финансовые учреждения по всему миру, могла составить более миллиарда долларов. В августовском докладе отмечалось широкое использование криптоджекинга (майнинг с использованием ресурсов скомпрометированных устройств), «цифрового наслоения» (противодействие отслеживанию с помощью создания в режиме реального времени тысяч транзакций с использованием одноразовых кошельков) и других инструментов. Вывод экспертов ООН: «Киберпреступники Корейской Народно-Демократической Республики, многие из которых действуют под руководством Генерального разведывательного бюро, занимаются сбором средств для программ страны по оружию массового уничтожения, причем на сегодняшний день общий объем таких поступлений, по оценкам, составляет до $2 млрд»
Самая известная северокорейская хакерская группа – Lazarus. На Западе она часто фигурирует как «Скрытая кобра», что не имеет никакого отношения к корейским реалиям, просто американское кодовое название. Вообще-то в Корее водятся, в основном, ужи: уж-рыболов и краснопоясный динодон, а на севере встречается Амурский полоз. Но, видно, противостоять ужам для американских спецслужб не слишком почетно, то ли дело кобра – настоящий аспид. Lazarus стала почти именем нарицательным для всех северокорейских хакеров. Скорее всего, группа действительно существует и является подразделением разведслужб. Возможно, удачное название было неформально перенесено на структурное подразделение. Северяне, кстати, никогда не стеснялись неожиданно свалившейся на них громкой хакерской славы и даже поддерживали такое реноме.
Раньше главным по кибер-операциям было Подразделение 121, входившее в Разведуправление армии, но подчинявшееся напрямую Генштабу (было еще Подразделение 180, про которое совсем мало известно). Lazarus связывают с Центром №110, который входит в структуру 3-го Отдела (техническая разведка). Впрочем, поскольку устройство северокорейских разведслужб – тайна за семью печатями, эти сведения точными не назовешь. Считается также, что Lazarus состоит из нескольких подгрупп, специализирующихся на различных направлениях от проведения атак до противодействия вражеским спецслужбам. Носят они очень поэтические названия: «Беззвучный Чхоллима», «Лабиринт Чхоллима» и так далее. Чхоллима, крылатый конь корейской мифологии, когда-то был одним из символов чучхе, а его изображения и сейчас можно встретить повсюду. Так что выглядит все правдоподобно, но в действительности – развесистая клюква.
Именно Lazarus приписывают все громкие дела: от нашумевшего взлома Sony Pictures Entertainment в 2014 году, до сетевого червя WannaCry, который в 2016-м по оценкам экспертов всего за четыре дня дополз до 300 тысяч пользователей в 150 странах мира и нанес ущерб на примерно миллиард долларов. Звучит так, будто ни одно компьютерное преступление не обходится без вездесущего Lazarus. Хотя есть еще, например, Bluenoroff (существует с 2014 года). Министерство финансов США утверждает, что «группа была специально создана северокорейским правительством в ответ на расширение глобальных санкций для незаконного добывания денег, ...которые частично направляются на развитие ракетно-ядерной программы». Есть еще Andariel (с 2015-го). Возможно, это подразделение Lazarus, занимающееся «классическим» кибершпионажем и кибердиверсиями, хотя именно с ней связывали взломы банкоматов и создание вредоносных программ для атак на игровые сайты. Есть и множество других.
Другой фрагмент пазла, представленного американской Фемидой, – китайские граждане, отмывающие деньги для северокорейцев. То, что Китай давно стал «мировой прачечной» – секрет Полишинеля. Отношение к этому китайских властей отдельная тема. Северная Корея давно и широко использует китайские тылы по всей логистической цепочке. Недостаточно просто вывести средства. Их нужно легализовать и использовать по назначению: закупить и доставить в страну большую номенклатуру запрещенных товаров. В качестве иллюстрации приведем пример, который на фоне нынешних событий выглядит почти курьезом. Речь об операциях 2015 года, которые проводила китайская Mingzheng International Trading Ltd. В 2017-м американцы предъявили ей обвинения в том, что компания фактически служит «ширмой» для находящегося под санкциями северокорейского банка. Сумма претензий составила $1,9 млн, что по заявлению прокуратуры «является крупнейшим перехватом [нелегальных] северокорейских активов, осуществленным Министерством юстиции».
Сейчас многие задаются вопросом, что стоит за американским выпадом на фоне весьма непростых отношений с Китаем, да еще и накануне выборов. Комментариев пока немного, но уже озвученная некоторыми версия, согласно которой всему виной бардак, выглядит не слишком убедительно. Похоже, американцы взялись за дело системно. В феврале Белый дом представил проект бюджета на 2021 год. Он, в частности, предусматривает переподчинение Секретной службы Министерству финансов. Собственно, она всегда ему и подчинялась с момента своего создания в 1865 году для борьбы с фальшивомонетчиками (идея принадлежала тогдашнему министру финансов Хью Маккалафу). Задачей Секретной службы всегда была защита самого ценного, что есть в стране: от американского доллара (и финансовой системы в целом) до виски (пока им не занялось ФБР). После череды убийств и покушений ей поручили также охрану первых лиц. В 2003-м Секретную службу переполчинили Министерству внутренней безопасности, созданному после событий 11 сентября. Похоже, не слишком удачно: ее преследовали скандалы (вроде истории с проститутками во время визита Барака Обамы в Колумбию), к ее работе были серьезные претензии, а руководство жаловалось на хроническую нехватку денег и кадров. И вот теперь Стивен Мнучин снова берет Секретную службу под широкое крыло Министерства финансов. Уже заявлено, что планируется значительно усилить противодействие различным финансовым махинациям. Всем приготовиться.
Подписывайтесь на все публикации журнала "Профиль" в Дзен, читайте наши Telegram-каналы: Профиль-News, и журнал Профиль