Хакеры КНДР украли миллиарды, маскируясь под россиян

Мир 06 августа, 2019 / 17:21

Северная Корея запустила два неопознанных снаряда в ответ на недавние совместные военные учения Южной Кореи и США. Судя по всему, пуск призван продемонстрировать, что ракетная программа КНДР продолжает развиваться, несмотря на давление международных санкций. Доклад ООН свидетельствует: деньги на развитие этой программы Пхеньян получает с помощью хакерских атак. Всего северокорейские киберпреступники украли порядка $2 млрд.

Хакерские атаки Северной Кореи в мире воспринимают не менее серьёзно, чем её ядерные разработки: это две сильные стороны государства-изгоя. Считается, что киберармия КНДР начала формироваться ещё во времена Ким Чен Ира, но только при его сыне Ким Чен Ыне о северокорейских хакерах заговорили за пределами экспертного сообщества.

КНДР использовала киберпространство для проведения всё более продвинутых атак с целью похитить деньги у финансовых организаций и криптовалютных бирж, — свидетельствует закрытый доклад ООН, попавший в распоряжение Reuters.

Всего таким образом Пхеньян получил около $2 млрд, которые пошли в том числе на финансирование разработки оружия массового поражения. Активность северокорейских хакеров зафиксировали в 17 странах, в основном их целью было получение прибыли.

Фото: Yao Qilin/Xinhua/Global Look Press

В 2016 году им удалось похитить $81 млн у Центробанка Бангладеш. Впрочем, в этом частично виновато и само учреждение: из-за технических проблем его руководству понадобилось четыре дня на то, чтобы потребовать от финансовых организаций по всему миру остановить выплаты хакерам.

А вот банки Тайваня оказались более подготовленными к такого рода нападениям. В 2017-м северокорейцы попытались украсть $60 млн со счетов Дальневосточного международного банка Тайваня, однако его сотрудникам удалось вернуть почти все средства. Не получилось восстановить только $500 тыс.

В разговоре с News.ru руководитель группы исследования сложных угроз Group-IB Анастасия Тихонова рассказала, что северокорейцы используют вредоносные программы собственной разработки как для шпионажа за Южной Кореей, так и для кражи денег.

Анастасия Тихонова, руководитель группы исследования сложных угроз Group-IB

Наиболее известной северокорейской группой является Lazarus. Именно они стоят за попыткой хищения из Центрального банка Бангладеш и компрометацией банков в Польше, выводом денег через систему SWIFT из банков Banco de Chile и Bancomext, атакой на межбанковскую сеть Redbanc и за многим другим. Группа имеет в арсенале большое количество инструментов собственной разработки, которые постоянно совершенствует.

Широко известен компьютерный вирус WannaCry, разработчиком которого США назвали Северную Корею. В 2017 году вредоносная программа поразила более 230 тыс. компьютеров в 150 странах мира, зашифровав все пользовательские данные и потребовав выкуп в биткоинах.

Это была дерзкая атака, и она была направлена на то, чтобы вызвать хаос и разрушение, — заявил на пресс-конференции по горячим следам эпидемии WannaCry тогдашний советник президента США по внутренней безопасности Томас Боссерт. — На данный момент цель Северной Кореи — продемонстрировать, что с помощью ядерного оружия и кибератак они стремятся держать весь мир у себя под прицелом.

По мнению специалиста по кибербезопасности Роберта Поттера, почерк северокорейских хакеров всё-таки легко отличим. Финансовые организации в последнее время научились лучше защищаться от подобных атак, поэтому северокорейцы переключились на более лёгкие жертвы вроде криптовалютных бирж. Недавно они попытались замаскироваться под российских коллег.

Хакерская группа Lazarus предпринимала шаги, чтобы выдавать себя за русскоязычных хакеров, — добавила Анастасия Тихонова. — В частности, в их вредоносный код были добавлены русские слова и символы. Кроме того, часть эксплойтов была взята из разработки русскоязычных хакеров. Всё это было сделано для отвлечения внимания исследователей, которые после быстрого анализа могли прийти к выводу, что за вредоносной деятельностью могут стоять русскоязычные хакеры.

Расследование Bloomberg свидетельствует: северокорейские хакеры — такие же рабочие пчёлы, как большинство их сограждан. Так как к Интернету в Северной Корее подключено ничтожно малое число компьютеров, местным киберпреступникам на службе у государства приходится работать из-за рубежа, в основном — из Китая. Один из бывших хакеров-перебежчиков, живущий в Сеуле, рассказал агентству, что группе, в которой он работал, спускали план по краже порядка $100 тыс. в год. В способах похищения средств их не ограничивали, но позволяли оставить себе только 10% выручки. Остальное шло в бюджет государства, зажатого международными санкциями, но так и не отказавшегося от разработки оружия массового поражения.