Северокорейские хакеры: нестрашная правда
https://i.amz.mshcdn.com/kvjNzyUNiDYxIH68xkd4BmgjMW4=/950×534/filters:quality(90)/https%3A%2F%2Fblueprint-api-production.s3.amazonaws.com%2Fuploads%2Fcard%2Fimage%2F445962%2Fe91c968c-ad50-49ea-be06-abe2f0d55520.jpg
Объемный разбор мифологии об "ужасных северо-корейских хакерах" на конкретных примерах и демонстрация механизмов формирования этой мифологии на основе недостоверных и сомнительных источников,
Сама статья очень большая (зато богатая на фактологический материал), поэтому выделил интересное.
Северокорейские хакеры: нестрашная правда
Не гоняясь за сенсациями, автор сразу хочет отметить, что его исследование может страдать неполнотой по двум группам причин. Первая — определенные трудности, связанные со сбором информации касательно КНДР. Здесь сказывается, с одной стороны, закрытость страны, в результате чего при отсутствии иной информации исследователи вынуждены использовать данные «ненадежных рассказчиков» без возможности качественной перепроверки их историй. К чему это ведет, можно вспомнить на примере ситуации с Син Дон Хёком, когда выяснилось, что главный свидетель доклада о правах человека в КНДР и автор бестселлера «Побег из Лагеря 14» попросту выдумал большую часть душераздирающих подробностей своей истории. Однако в материалах на исследуемую тему источниками новостей оказываются т.н. «карьерные перебежчики», гастролирующие по РК или США с репертуаром, состоящим из «ужасов о Севере».
С другой стороны, никуда не уходит и антисеверокорейская пропаганда, отчего еще некоторая часть источников информации, например, национальная служба разведки РК, не может восприниматься автором как полностью объективная. Демонизация режима осуществляется как за счет вбросов заведомо ложной информации, так и за счет ситуаций, когда вне зависимости от качества улик КНДР объявляется причастной «хайли лайкли» (весьма вероятно. — Прим. ред.). В результате вместо того, чтобы описывать реальный режим, пусть и одиозный, и авторитарный, из КНДР лепят условное «государство зла», которое должно быть черным зеркалом представлений об идеальном государстве. Соответственно, если те или иные практики в «нашем» обществе запрещены или угрожают другим (как, например, хакерство), «государство зла» их с удовольствием практикует. В этом контексте автору вспоминаются предыдущие мифы о том, как КНДР выпускала фальшивые доллары уникального качества, которые, правда, в товарном числе так нигде и не обнаружились. Говорили также о героине в количестве, сравнимом с афганским. Следов поставок такового за пределами страны также найдено не было.
С третьей стороны, демонизация КНДР оказывается способом прикрытия собственной некомпетентности. Это хорошо видно по ситуации в РК: каждый раз, когда объектом кибератаки становятся крупный банк или важное предприятие, немедленно выясняется, что это были северокорейские хакеры. Нередко спустя некоторое время на поверхность всплывают отголоски корпоративного скандала, связанного с вопиющей безответственностью внутри компании. Ведь одно дело — продемонстрировать широкой публике собственное разгильдяйство, а другое — стать жертвой секретных компьютерных служб тоталитарного режима. На этом фоне забывается, что Южная Корея лидирует по числу незащищенных или плохозащищенных точек доступа Wi-Fi (47,9%), а по данным доклада, опубликованного интернет-провайдером Akamai Korea, в первом квартале 2017 г. в РК совершено 4500 DDoS-атак, причем мощность 19 из них превысила 100 Гбит в секунду. Однако вторая сложность исследования даже важнее, чем первая. Она касается проблем доказательства хакерской деятельности не только применительно к КНДР, но и вообще. Это важно, потому что у массового читателя, недостаточно знакомого с особенностями кибербезопасности (даже если он хороший специалист в востоковедении или политологии), представления о возможностях хакеров или принципах информационной безопасности вообще могут быть совершенно голливудскими, и они могут «повестись» на аргументы или утверждения, ценность которых, по мнению автора, сомнительна. Ряд таких тезисов мы разберем ниже, причем «северокорейские» хакеры здесь могут быть и российскими, и американскими, и даже албанскими.
Утверждение №1. «Похожее программное обеспечение применялось во время предыдущих атак северокорейских хакеров / в данной атаке используются эксплойты или элементы кода, применяемого хакерами из КНДР».
Даже если вынести за скобки вопрос, точно ли предыдущие атаки были северокорейскими, можно отметить, что уникального хакерского программного обеспечения (ПО) немного и большинство взломщиков применяют ограниченный набор средств. Заимствование элементов кода является повсеместной практикой, которую используют для экономии времени, а также с целью ложно обвинить непричастную сторону. Если даже уникальное в первой атаке ПО есть в открытом доступе, его элементы вполне могут быть скопированы или доработаны. Вдобавок хакерский рынок давно индустриализовался, и авторы вредоносного ПО, его распространители и выгодополучатели — часто совсем разные люди.
Стиль программирования или избранная тактика — неплохая косвенная улика, но только на больших объемах, позволяющих гарантированно определить, что это не случайное совпадение. А с учетом того, что причастность КНДР и к предыдущим атакам может быть под вопросом, доказательство «от повторения» подменяется навыком экстраполяции и создает порочный круг, когда в ходе расследования одно «хайли лайкли» нагромождается на другое, но в выводах это «возможно» исчезает, и о причастности КНДР говорят уже безапелляционно. Теоретически бывает уникальное ПО или методика, которую применяют только определенные силы. Но сказать с достаточной долей уверенности, что «эту методику применяет только АНБ (Агентство национальной безопасности) США, потому что она очень дорогая или сложно исполнимая», бывает непросто. Чуть ли не единственный относительно достоверный пример — атака на центрифуги в Иране с применением вируса Stuxnet.
Утверждение № 2. «Это был IP из КНДР».
Программы подмены IP распространены еще больше, чем хакерские. По сути, любой браузер с функцией VPN позволяет выдавать себя за пользователя другой страны. Да, бытовые анонимайзеры достаточно легко могут обойти и отследить реальный IP, но есть и более сложные способы.
Сколько-нибудь вменяемый хакер, приобретший возможность посылать сообщения с сети адресов даже минимального размера (так называемый ботнет), не светит и не собирается светить IP-адресами, на которых не работает ботнет.
Таким образом, никакие промежуточные IP-адреса (а адрес считается промежуточным, пока не доказано обратное) не являются доказательством, хотя если все отслеженные цепочки уходят в КНДР, это сильная улика, говорящая о наличии хакера в регионе, но не позволяющая его идентифицировать.
Среди подобных утверждений часто можно услышать следующее: «Атака проводилась из Шэньяна, значит это точно северокорейцы». При этом китайские спецслужбы и аффилированные с ними хакеры известны кибератаками на своих противников, в том числе и на РК.
Утверждение № 3. «Хакеры атаковали систему, не подключенную к Интернету».
Здесь у специалиста сразу возникнет вопрос КАК. Вирус нужно неким образом занести, требуется принципиальная возможность доступа к объекту «со стороны Интернета». И если такой физической возможности нет, проще искать не вредоносную программу из ниоткуда, а человека, который каким-то образом выполнил работу вместо хакера (например, воткнул в неподключенный к Интернету компьютер флешку с программой автозапуска вируса). Таковым может быть как инсайдер, сотрудничающий с «хакерами», так и лицо, ничего об этом не подозревающее. Поэтому, с точки зрения ряда знакомых автора, все разговоры про успешные атаки внутренней сети скорее указывают на то, что на самом деле эта сеть не была полностью изолирована от внешнего мира.
Утверждение № 4. «У нас есть секретные доказательства, но мы их вам не покажем, потому что они секретные».
Иногда это может означать, что вместо доказательств, соответствующих процедурам судопроизводства, есть доказательства, которые либо кажутся аналитикам надежными, но недостаточны для суда, либо источник доказательств или методы их добывания по каким-то причинам не разглашают (см. Разоблачения Wikileaks и Сноудена про PRISM и ряд иных программ). Но эта же фраза может означать доказательства, взятые с потолка, что важно воспринимать в связке со следующим тезисом.
Утверждение № 5. «Давайте поместим этот случай в политический контекст. КНДР уже была замешана в разнообразных грязных делах. Что мешает ей совершить еще и это?»
Хотя этот тезис активно используется даже такими относительно объективными компаниями, как Recorded Future, де-факто речь идет не столько об учете «предшествующих преступлений и дурной репутации», сколько о формировании пресуппозиции: если ужасный кровавый пхеньянский режим может заниматься киберпреступностью, то отчего бы ему ее не практиковать? Ведь он ужасный, кровавый и пхеньнянский. Теоретическая возможность таким образом приравнивается к доказательству, что весьма напоминает аргументы некоторых «активисток женского движения» о том, что каждый мужчина является скрытым насильником по факту наличия члена. Может — значит делает!
Однако именно благодаря тезису о «кровавом пхеньянском режиме» любую кибератаку в РК принято атрибутировать как северокорейскую, если ее можно отнести к угрозам национальной безопасности, а следы иного происхождения не слишком очевидны. Собственно, все новости класса «Х могла быть причастна к У» спекулятивны, если не сопровождаются хотя бы какими-то основаниями. То же самое касается фраз класса «группировки, связанные с Пхеньяном». Такое утверждение не аксиома. Факт связи стоит доказать чем-то большим, чем «они работают против его врагов».
К более вероятным, но все равно косвенным уликам относятся:
— результаты лингвистической экспертизы, когда родной язык хакера определяют по допущенным ошибкам;
— анализ кода, при котором можно выяснить режим работы хакера, его часовой пояс или выбор языка по умолчанию. Например, на идентификацию российского происхождения хакерской группировки APT29 указывали не только особенности вирусов, но и русские слова в коде и часы работы, совпадавшие с московским временем;
— ситуация, когда группировка признается в совершенном или берет на себя ответственность.
Однако и в этих случаях остается вероятность того, что умелый хакер путал следы, русский язык в коде принадлежал эмигранту, который уже 10 лет живет в США, а честолюбцы приписали себе чужие успехи или некто пошел на сделку с правосудием. В системе политических интриг даже логику «кому выгодно» надо применять с осторожностью из-за возможности провокаций.
В результате серьезные улики возникают только там, где цифровой мир соприкасается с реальным. Например, хакера поймали непосредственно в момент атаки или на его компьютере, оказавшемся в руках следствия, нашли исходники вируса или иные доказательства того, что атака была оттуда. Либо доказан факт получения хакером похищенных денег (отследили перевод на аффилированный счет в цепочке платежей, сняли момент снятия денег в банкомате, выявили использование похищенных номеров кредиток и т.п.). Либо нашли свидетелей, готовых дать показания против хакера.
<..>
Вообще из северокорейского ПО известны антивирусная программа SiliVaccine и ОС «Пульгын пёль»/Red Star, являющаяся одной из локализаций Linux. На 2009 г. в Пхеньяне могли похвастаться системой комплексной защиты компьютерных сетей «Чхольбёк», персональным файрволлом «Чхольонсон» или USB-устройством для аутентификации по отпечаткам пальцев.
В 2010 г. стало известно про первый северокорейский наладонник, в 2015 г. — про первый интернет-магазин, в 2016 г. — про стриминговый сервис в крупных городах, а в 2017 г. — про планшет, оптимизированный под работу в Интранете. К этому же времени относится информация о том, что на примерно 25 млн человек в КНДР приходятся 4 млн мобильных телефонов.
Как свидетельствует Глобальный индекс кибербезопасности, опубликованный 5 июля 2017 г. Международным союзом электросвязи, КНДР занимает 52-ое место в мире по уровню кибербезопасности (РК — 13-ое) по критериям правовой, технической и организационной подготовленности, готовности к сотрудничеству, развитию образовательного и исследовательского потенциала. Подобные данные говорят, что в стране хватает кадровых и технических ресурсов для создания кибервойск, состав и структура которых будут рассмотрены в следующей части.
<…>
Авторы «Серверной Кореи» несколько доработали классификацию Д. Альперовича. В их интерпретации кибервойска КНДР можно разделить на четыре группы: Stardust Chollimа (коммерческие атаки), Silent Chollima (действия против СМИ и государственных учреждений), Labyrinth Chollima (действия против спецслужб), Ricochet Chollima (хищение данных пользователей). Оба автора даже привели корейские названия этих групп (чтобы показать, что это не условные имена, которые дают неизвестным хакерам западные авторы), и все бы было хорошо, если бы не одна деталь, хорошо знакомая корееведам.
Крылатый конь Чхоллима, пробегающий в день тысячу ли (1 ли = 412 м), в течение долгого времени был символом чучхэйских темпов движения вперед, и движением Чхоллима назывался аналог стахановского движения в СССР. Однако в XXI веке «покемон обновился», и уже несколько лет вместо него используется термин Маллима — новый конь пробегает уже десять тысяч ли в день. СМИ КНДР теперь пишут о «новой эпохе Маллима», и использование старого термина выглядит примерно таким же анахронизмом (если не фальшивкой), как советский документ 1970-х гг., в котором вместо КПСС фигурирует ВКП(б).
Другая компания, специализирующаяся на компьютерной безопасности, FireEye, также упоминает группировку APT37 как команду хакеров, которая осуществляет разведывательную деятельность в пользу властей КНДР. По версии FireEye, APT37, именуемая также Reaper, в течение нескольких лет осуществляла кибератаки в отношении Республики Корея, а с 2017 г. также против Японии, Вьетнама и ряда ближневосточных стран. Ее целями были предприятия, связанные с производством электроники, а также здравоохранением, химической и авиационной промышленностью. Связь между APT37 и Пхеньяном удалось проследить с помощью анализа IP-адресов. Правда, надо понимать, что названия типа АРТ (сокращение от Advanced Persistent Threat) — это термины американских специалистов, а не самоназвания.
Основной базой северокорейских хакеров за рубежом считается Китай, особенно его северо-восточный регион. Шэньянский отель Чхильбосан, принадлежащий КНДР, традиционно позиционировался как цитадель хакеров.
Вообще, северокорейские хакеры часто пользуются китайскими провайдерами и интернет-сервисами, хотя бы потому что хакеры-отходники действуют в рамках или под видом китайских компаний. Таким образом, даже отслеженная атака как минимум идет с китайских IP, но поскольку китайских хакеров не меньше и среди них встречаются этнические корейцы, использовать этот аргумент как полное доказательство пхеньянского следа некорректно.
<…>
Если подвести итог, можно допустить следующее.
— большое число молодых программистов, которые в КНДР, безусловно, есть, не тождественно аналогичному числу хакеров;
— тем не менее какое-то число зарубежных отходников может заниматься хакерством — по собственной воле, в рамках работы на некорейского хозяина или по заданию центра;
— спецслужбы КНДР теоретически имеют в своем составе подразделения, отвечающие за информационную безопасность, однако дальнейшее раскрытие этих структур происходит по данным ненадежных рассказчиков. Эту информацию нельзя не принять к сведению, но доверять ей полностью не следует;
— также не следует полностью исключать и вариант, при котором по тем или иным причинам та или иная группировка хакеров выдает себя за северокорейцев (или хотя бы намекает на это).
<…>
Одновременно выяснилось, что незадолго до атаки в компанию Sony Pictures Entertainment поступали сообщения, имевшие признаки шантажа, однако они содержали требования, не связанные с выходом премьеры фильма «Интервью».
Новый виток внимания к истории произошел в апреле 2015 г., когда украденные хакерами документы Sony Pictures были опубликованы на WikiLeaks. На сайте появились более 20,2 тыс. документов SPE, более 173 тысяч электронных писем, а также более 2,2 тысячи электронных адресов, в том числе электронная переписка сотрудников компании с американским правительством. Как выяснилось, у компании «есть связи в Белом доме и с американским военно-промышленным комплексом» (в архиве более 100 электронных адресов американского правительства). Опубликованные письма указали и на тесные связи компании Sony с Демократической партией США.
В сочетании с указанием на то, что «работа компании была парализована, так как ей пришлось отключить Интранет», это, как кажется автору, указывает на то, что атаке подверглись внутренние сети компании, что означает работу инсайдера, а не хакеров снаружи. Да и WikiLeaks как место размещения утечек, не особо дружественное к Северной Корее, тоже говорит о том, что власти Северной Кореи скорее не были причастны ко взлому.
<…>
Как сообщил депутат Национального собрания от правящей Демократической партии Тобуро и член парламентского комитета по вопросам обороны Ли Чхоль Хи, хакеры из КНДР могли украсть из внутренней сети южнокорейской армии секретные документы, в которых описываются оперативный план 5015 (план диверсионных действий, нацеленных на ликвидацию ключевых объектов ракетно-ядерной инфраструктуры КНДР и/или ее высшего руководства в случае войны на полуострове) и оперативный план 5027 (описывает совместные действия РК и США в случае начала полномасштабных военных действий). Также у злоумышленников могли оказаться документы, касающиеся оперативного плана 3100, в котором описывается, как нужно реагировать на небольшие провокации со стороны КНДР, а также содержатся доклады командованию стран-союзниц, данные о ключевых военных объектах и электростанциях Южной Кореи. Всего было похищено 235 гигабайт информации, в том числе 226 документов под грифом «секретно», 42 документа с грифом «конфиденциально» и 27 документов «для служебного пользования».
<…>
Что можно сказать про данную атаку? Документы были похищены из внутренней сети минобороны, которая формально не должна была подключаться к Интернету. Следовательно, или на самом деле речь идет об инсайдере, а не хакерах с недокументированными возможностями, или налицо вопиющее несоблюдение техники безопасности, после которого следует задать неприятный вопрос: почему на компьютерах военного ведомства стоит операционная система, позволяющая распространять вирусы?
Поэтому автор верит не столько в талантливые действия хакеров, сколько в вопиющее разгильдяйство или работу инсайдера, который мог передать информацию как Северной Корее, так и кому-то еще. Благо, с точки зрения ряда специалистов по кибербезопасности, южнокорейская «цифровая крепость» имеет картонные стены, несмотря на довольно грозную репутацию.
В завершение — реплика «в сторону». Если все-таки допустить, что украденная информация ушла в КНДР, то действия Севера в 2016–2017 гг. получают обоснование. Однако хочется задуматься о другом. Представим себе, что в 2016 г. северокорейцы действительно получили большой пакет документов, который адекватно описывает стратегию Сеула и Вашингтона, направленную на ликвидацию северокорейского режима. В такой ситуации Ким Чен Ын мог прийти к выводу о том, что раз военно-политическое руководство США и РК руководствуется данной стратегией, то вопрос о ликвидации КНДР как государства является не вопросом повестки дня, а вопросом времени (грубо говоря, не «если», а «когда»). И это вполне объясняет, почему в течение 2016–2017 гг. северокорейское руководство начинает выкладывать козыри на стол ударными темпами. Будучи уверенной в скорой и неизбежной войне, КНДР стремится предотвратить ее, подняв ставки до того уровня, при котором «легкой прогулки не будет».
<….>
Анализируя вышеуказанный массив данных, можно подвести следующие итоги:
— При большинстве атак использовались примитивные техники типа фишинга, когда жертва получает письмо с приложенным файлом, попытка открыть который или загружает вредоносное ПО, или требует данные логина и пароля. Автор сталкивался с таким не раз, а буквально во время написания этого доклада ряд его коллег получили письма от «него» (в адресе была лишняя точка) с аналогичным приложением. Поддаваться на такое — совсем не соблюдать правила интернет-безопасности.
— Не подтверждаются попытки провести корреляцию между ядерными испытаниями и кибератаками, которые пытались отследить авторы статьи в Reuters. Серьезного усиления атак в указанные даты не наблюдается, и проще говорить о совпадениях. Такого мнения придерживается и ряд американских специалистов.
— Также скорее не подтверждается вывод Института по изучению вопросов финансовой безопасности (FSI) РК, согласно которому в 2015–2017 гг. северокорейские хакеры сменили основное направление атак. Если раньше они пытались украсть военные и промышленные секреты у зарубежных государств либо затруднить работу зарубежных организаций, то теперь больше заинтересованы в краже средств из-за рубежа. Данные процессы скорее идут параллельно.
— На этом фоне сомнительным оказывается и вывод авторов «Серверной Кореи» (пересказавших два источника выше без попыток перепроверки) о том, что «тактика кибервойск КНДР прошла через три главных этапа в своем развитии: от «идеологических» атак (на британский Channel4 и Sony Pictures в 2014 г.) к хакерскому заработку (хищения средств у банков и пользователей, криптомошенничество) и легальному бизнесу в сфере разработок и продаж ПО».
<…>
Справедливо ли говорить о северокорейском следе в конкретных громких случаях — вопрос во многом открытый. Он упирается в то, насколько мы привыкли верить в определенные мифы о северокорейских хакерах и готовы принимать то, что нам представляют в качестве доказательств. В результате почти всегда остается определенная «серая зона», благодаря которой те, кто относится к КНДР сочувственно или просто не верит антипхеньянской пропаганде, могут заявлять о выморочности обвинений, а недруги Северной Кореи — об их истинности. При этом последние нередко используют методы, похожие на те, которые применяются в обвинении руководства РФ в отравлении в Солсбери. Между тем «недостаточно данных» — это именно отсутствие данных, не позволяющее вынести вердикт.
Более того, даже если записать на северокорейский счет всё, что им присваивают, то «убойность атак» хакеров КНДР по сравнению с работой их российских, китайских или западных коллег выглядит блёклой. Раздувание этой угрозы обусловлено политическими соображениями.
По мнению автора, активное муссирование в последние годы темы северокорейских хакеров и особенно финансовой подоплеки их действий, возможно, стоит воспринимать по аналогии с предыдущими попытками отрезать КНДР от источников заработка, будь то рассуждения о Кэсонском комплексе как тайном кошельке северокорейской ядерной программы или о рабском положении северокорейских рабочих за рубежом, которых надо депортировать на родину как можно скорее. Не исключено, что перед нами — работа по подготовке почвы для распространения санкций в отношении КНДР на киберпространство, включая запрет на экспорт северокорейского ПО или «необходимость» инфраструктурной интернет-изоляции Пхеньяна.
К.Асмолов, Центр корейских исследований, Институт Дальнего Востока РАН
http://russiancouncil.ru/analytics-and-comments/analytics/severokoreyskie-khakery-nestrashnaya-pravda/ – читать полную версию статьи
Объемный разбор мифологии об "ужасных северо-корейских хакерах" на конкретных примерах и демонстрация механизмов формирования этой мифологии на основе недостоверных и сомнительных источников,
Сама статья очень большая (зато богатая на фактологический материал), поэтому выделил интересное.
Северокорейские хакеры: нестрашная правда
Не гоняясь за сенсациями, автор сразу хочет отметить, что его исследование может страдать неполнотой по двум группам причин. Первая — определенные трудности, связанные со сбором информации касательно КНДР. Здесь сказывается, с одной стороны, закрытость страны, в результате чего при отсутствии иной информации исследователи вынуждены использовать данные «ненадежных рассказчиков» без возможности качественной перепроверки их историй. К чему это ведет, можно вспомнить на примере ситуации с Син Дон Хёком, когда выяснилось, что главный свидетель доклада о правах человека в КНДР и автор бестселлера «Побег из Лагеря 14» попросту выдумал большую часть душераздирающих подробностей своей истории. Однако в материалах на исследуемую тему источниками новостей оказываются т.н. «карьерные перебежчики», гастролирующие по РК или США с репертуаром, состоящим из «ужасов о Севере».
С другой стороны, никуда не уходит и антисеверокорейская пропаганда, отчего еще некоторая часть источников информации, например, национальная служба разведки РК, не может восприниматься автором как полностью объективная. Демонизация режима осуществляется как за счет вбросов заведомо ложной информации, так и за счет ситуаций, когда вне зависимости от качества улик КНДР объявляется причастной «хайли лайкли» (весьма вероятно. — Прим. ред.). В результате вместо того, чтобы описывать реальный режим, пусть и одиозный, и авторитарный, из КНДР лепят условное «государство зла», которое должно быть черным зеркалом представлений об идеальном государстве. Соответственно, если те или иные практики в «нашем» обществе запрещены или угрожают другим (как, например, хакерство), «государство зла» их с удовольствием практикует. В этом контексте автору вспоминаются предыдущие мифы о том, как КНДР выпускала фальшивые доллары уникального качества, которые, правда, в товарном числе так нигде и не обнаружились. Говорили также о героине в количестве, сравнимом с афганским. Следов поставок такового за пределами страны также найдено не было.
С третьей стороны, демонизация КНДР оказывается способом прикрытия собственной некомпетентности. Это хорошо видно по ситуации в РК: каждый раз, когда объектом кибератаки становятся крупный банк или важное предприятие, немедленно выясняется, что это были северокорейские хакеры. Нередко спустя некоторое время на поверхность всплывают отголоски корпоративного скандала, связанного с вопиющей безответственностью внутри компании. Ведь одно дело — продемонстрировать широкой публике собственное разгильдяйство, а другое — стать жертвой секретных компьютерных служб тоталитарного режима. На этом фоне забывается, что Южная Корея лидирует по числу незащищенных или плохозащищенных точек доступа Wi-Fi (47,9%), а по данным доклада, опубликованного интернет-провайдером Akamai Korea, в первом квартале 2017 г. в РК совершено 4500 DDoS-атак, причем мощность 19 из них превысила 100 Гбит в секунду. Однако вторая сложность исследования даже важнее, чем первая. Она касается проблем доказательства хакерской деятельности не только применительно к КНДР, но и вообще. Это важно, потому что у массового читателя, недостаточно знакомого с особенностями кибербезопасности (даже если он хороший специалист в востоковедении или политологии), представления о возможностях хакеров или принципах информационной безопасности вообще могут быть совершенно голливудскими, и они могут «повестись» на аргументы или утверждения, ценность которых, по мнению автора, сомнительна. Ряд таких тезисов мы разберем ниже, причем «северокорейские» хакеры здесь могут быть и российскими, и американскими, и даже албанскими.
Утверждение №1. «Похожее программное обеспечение применялось во время предыдущих атак северокорейских хакеров / в данной атаке используются эксплойты или элементы кода, применяемого хакерами из КНДР».
Даже если вынести за скобки вопрос, точно ли предыдущие атаки были северокорейскими, можно отметить, что уникального хакерского программного обеспечения (ПО) немного и большинство взломщиков применяют ограниченный набор средств. Заимствование элементов кода является повсеместной практикой, которую используют для экономии времени, а также с целью ложно обвинить непричастную сторону. Если даже уникальное в первой атаке ПО есть в открытом доступе, его элементы вполне могут быть скопированы или доработаны. Вдобавок хакерский рынок давно индустриализовался, и авторы вредоносного ПО, его распространители и выгодополучатели — часто совсем разные люди.
Стиль программирования или избранная тактика — неплохая косвенная улика, но только на больших объемах, позволяющих гарантированно определить, что это не случайное совпадение. А с учетом того, что причастность КНДР и к предыдущим атакам может быть под вопросом, доказательство «от повторения» подменяется навыком экстраполяции и создает порочный круг, когда в ходе расследования одно «хайли лайкли» нагромождается на другое, но в выводах это «возможно» исчезает, и о причастности КНДР говорят уже безапелляционно. Теоретически бывает уникальное ПО или методика, которую применяют только определенные силы. Но сказать с достаточной долей уверенности, что «эту методику применяет только АНБ (Агентство национальной безопасности) США, потому что она очень дорогая или сложно исполнимая», бывает непросто. Чуть ли не единственный относительно достоверный пример — атака на центрифуги в Иране с применением вируса Stuxnet.
Утверждение № 2. «Это был IP из КНДР».
Программы подмены IP распространены еще больше, чем хакерские. По сути, любой браузер с функцией VPN позволяет выдавать себя за пользователя другой страны. Да, бытовые анонимайзеры достаточно легко могут обойти и отследить реальный IP, но есть и более сложные способы.
Сколько-нибудь вменяемый хакер, приобретший возможность посылать сообщения с сети адресов даже минимального размера (так называемый ботнет), не светит и не собирается светить IP-адресами, на которых не работает ботнет.
Таким образом, никакие промежуточные IP-адреса (а адрес считается промежуточным, пока не доказано обратное) не являются доказательством, хотя если все отслеженные цепочки уходят в КНДР, это сильная улика, говорящая о наличии хакера в регионе, но не позволяющая его идентифицировать.
Среди подобных утверждений часто можно услышать следующее: «Атака проводилась из Шэньяна, значит это точно северокорейцы». При этом китайские спецслужбы и аффилированные с ними хакеры известны кибератаками на своих противников, в том числе и на РК.
Утверждение № 3. «Хакеры атаковали систему, не подключенную к Интернету».
Здесь у специалиста сразу возникнет вопрос КАК. Вирус нужно неким образом занести, требуется принципиальная возможность доступа к объекту «со стороны Интернета». И если такой физической возможности нет, проще искать не вредоносную программу из ниоткуда, а человека, который каким-то образом выполнил работу вместо хакера (например, воткнул в неподключенный к Интернету компьютер флешку с программой автозапуска вируса). Таковым может быть как инсайдер, сотрудничающий с «хакерами», так и лицо, ничего об этом не подозревающее. Поэтому, с точки зрения ряда знакомых автора, все разговоры про успешные атаки внутренней сети скорее указывают на то, что на самом деле эта сеть не была полностью изолирована от внешнего мира.
Утверждение № 4. «У нас есть секретные доказательства, но мы их вам не покажем, потому что они секретные».
Иногда это может означать, что вместо доказательств, соответствующих процедурам судопроизводства, есть доказательства, которые либо кажутся аналитикам надежными, но недостаточны для суда, либо источник доказательств или методы их добывания по каким-то причинам не разглашают (см. Разоблачения Wikileaks и Сноудена про PRISM и ряд иных программ). Но эта же фраза может означать доказательства, взятые с потолка, что важно воспринимать в связке со следующим тезисом.
Утверждение № 5. «Давайте поместим этот случай в политический контекст. КНДР уже была замешана в разнообразных грязных делах. Что мешает ей совершить еще и это?»
Хотя этот тезис активно используется даже такими относительно объективными компаниями, как Recorded Future, де-факто речь идет не столько об учете «предшествующих преступлений и дурной репутации», сколько о формировании пресуппозиции: если ужасный кровавый пхеньянский режим может заниматься киберпреступностью, то отчего бы ему ее не практиковать? Ведь он ужасный, кровавый и пхеньнянский. Теоретическая возможность таким образом приравнивается к доказательству, что весьма напоминает аргументы некоторых «активисток женского движения» о том, что каждый мужчина является скрытым насильником по факту наличия члена. Может — значит делает!
Однако именно благодаря тезису о «кровавом пхеньянском режиме» любую кибератаку в РК принято атрибутировать как северокорейскую, если ее можно отнести к угрозам национальной безопасности, а следы иного происхождения не слишком очевидны. Собственно, все новости класса «Х могла быть причастна к У» спекулятивны, если не сопровождаются хотя бы какими-то основаниями. То же самое касается фраз класса «группировки, связанные с Пхеньяном». Такое утверждение не аксиома. Факт связи стоит доказать чем-то большим, чем «они работают против его врагов».
К более вероятным, но все равно косвенным уликам относятся:
— результаты лингвистической экспертизы, когда родной язык хакера определяют по допущенным ошибкам;
— анализ кода, при котором можно выяснить режим работы хакера, его часовой пояс или выбор языка по умолчанию. Например, на идентификацию российского происхождения хакерской группировки APT29 указывали не только особенности вирусов, но и русские слова в коде и часы работы, совпадавшие с московским временем;
— ситуация, когда группировка признается в совершенном или берет на себя ответственность.
Однако и в этих случаях остается вероятность того, что умелый хакер путал следы, русский язык в коде принадлежал эмигранту, который уже 10 лет живет в США, а честолюбцы приписали себе чужие успехи или некто пошел на сделку с правосудием. В системе политических интриг даже логику «кому выгодно» надо применять с осторожностью из-за возможности провокаций.
В результате серьезные улики возникают только там, где цифровой мир соприкасается с реальным. Например, хакера поймали непосредственно в момент атаки или на его компьютере, оказавшемся в руках следствия, нашли исходники вируса или иные доказательства того, что атака была оттуда. Либо доказан факт получения хакером похищенных денег (отследили перевод на аффилированный счет в цепочке платежей, сняли момент снятия денег в банкомате, выявили использование похищенных номеров кредиток и т.п.). Либо нашли свидетелей, готовых дать показания против хакера.
<..>
Вообще из северокорейского ПО известны антивирусная программа SiliVaccine и ОС «Пульгын пёль»/Red Star, являющаяся одной из локализаций Linux. На 2009 г. в Пхеньяне могли похвастаться системой комплексной защиты компьютерных сетей «Чхольбёк», персональным файрволлом «Чхольонсон» или USB-устройством для аутентификации по отпечаткам пальцев.
В 2010 г. стало известно про первый северокорейский наладонник, в 2015 г. — про первый интернет-магазин, в 2016 г. — про стриминговый сервис в крупных городах, а в 2017 г. — про планшет, оптимизированный под работу в Интранете. К этому же времени относится информация о том, что на примерно 25 млн человек в КНДР приходятся 4 млн мобильных телефонов.
Как свидетельствует Глобальный индекс кибербезопасности, опубликованный 5 июля 2017 г. Международным союзом электросвязи, КНДР занимает 52-ое место в мире по уровню кибербезопасности (РК — 13-ое) по критериям правовой, технической и организационной подготовленности, готовности к сотрудничеству, развитию образовательного и исследовательского потенциала. Подобные данные говорят, что в стране хватает кадровых и технических ресурсов для создания кибервойск, состав и структура которых будут рассмотрены в следующей части.
<…>
Авторы «Серверной Кореи» несколько доработали классификацию Д. Альперовича. В их интерпретации кибервойска КНДР можно разделить на четыре группы: Stardust Chollimа (коммерческие атаки), Silent Chollima (действия против СМИ и государственных учреждений), Labyrinth Chollima (действия против спецслужб), Ricochet Chollima (хищение данных пользователей). Оба автора даже привели корейские названия этих групп (чтобы показать, что это не условные имена, которые дают неизвестным хакерам западные авторы), и все бы было хорошо, если бы не одна деталь, хорошо знакомая корееведам.
Крылатый конь Чхоллима, пробегающий в день тысячу ли (1 ли = 412 м), в течение долгого времени был символом чучхэйских темпов движения вперед, и движением Чхоллима назывался аналог стахановского движения в СССР. Однако в XXI веке «покемон обновился», и уже несколько лет вместо него используется термин Маллима — новый конь пробегает уже десять тысяч ли в день. СМИ КНДР теперь пишут о «новой эпохе Маллима», и использование старого термина выглядит примерно таким же анахронизмом (если не фальшивкой), как советский документ 1970-х гг., в котором вместо КПСС фигурирует ВКП(б).
Другая компания, специализирующаяся на компьютерной безопасности, FireEye, также упоминает группировку APT37 как команду хакеров, которая осуществляет разведывательную деятельность в пользу властей КНДР. По версии FireEye, APT37, именуемая также Reaper, в течение нескольких лет осуществляла кибератаки в отношении Республики Корея, а с 2017 г. также против Японии, Вьетнама и ряда ближневосточных стран. Ее целями были предприятия, связанные с производством электроники, а также здравоохранением, химической и авиационной промышленностью. Связь между APT37 и Пхеньяном удалось проследить с помощью анализа IP-адресов. Правда, надо понимать, что названия типа АРТ (сокращение от Advanced Persistent Threat) — это термины американских специалистов, а не самоназвания.
Основной базой северокорейских хакеров за рубежом считается Китай, особенно его северо-восточный регион. Шэньянский отель Чхильбосан, принадлежащий КНДР, традиционно позиционировался как цитадель хакеров.
Вообще, северокорейские хакеры часто пользуются китайскими провайдерами и интернет-сервисами, хотя бы потому что хакеры-отходники действуют в рамках или под видом китайских компаний. Таким образом, даже отслеженная атака как минимум идет с китайских IP, но поскольку китайских хакеров не меньше и среди них встречаются этнические корейцы, использовать этот аргумент как полное доказательство пхеньянского следа некорректно.
<…>
Если подвести итог, можно допустить следующее.
— большое число молодых программистов, которые в КНДР, безусловно, есть, не тождественно аналогичному числу хакеров;
— тем не менее какое-то число зарубежных отходников может заниматься хакерством — по собственной воле, в рамках работы на некорейского хозяина или по заданию центра;
— спецслужбы КНДР теоретически имеют в своем составе подразделения, отвечающие за информационную безопасность, однако дальнейшее раскрытие этих структур происходит по данным ненадежных рассказчиков. Эту информацию нельзя не принять к сведению, но доверять ей полностью не следует;
— также не следует полностью исключать и вариант, при котором по тем или иным причинам та или иная группировка хакеров выдает себя за северокорейцев (или хотя бы намекает на это).
<…>
Одновременно выяснилось, что незадолго до атаки в компанию Sony Pictures Entertainment поступали сообщения, имевшие признаки шантажа, однако они содержали требования, не связанные с выходом премьеры фильма «Интервью».
Новый виток внимания к истории произошел в апреле 2015 г., когда украденные хакерами документы Sony Pictures были опубликованы на WikiLeaks. На сайте появились более 20,2 тыс. документов SPE, более 173 тысяч электронных писем, а также более 2,2 тысячи электронных адресов, в том числе электронная переписка сотрудников компании с американским правительством. Как выяснилось, у компании «есть связи в Белом доме и с американским военно-промышленным комплексом» (в архиве более 100 электронных адресов американского правительства). Опубликованные письма указали и на тесные связи компании Sony с Демократической партией США.
В сочетании с указанием на то, что «работа компании была парализована, так как ей пришлось отключить Интранет», это, как кажется автору, указывает на то, что атаке подверглись внутренние сети компании, что означает работу инсайдера, а не хакеров снаружи. Да и WikiLeaks как место размещения утечек, не особо дружественное к Северной Корее, тоже говорит о том, что власти Северной Кореи скорее не были причастны ко взлому.
<…>
Как сообщил депутат Национального собрания от правящей Демократической партии Тобуро и член парламентского комитета по вопросам обороны Ли Чхоль Хи, хакеры из КНДР могли украсть из внутренней сети южнокорейской армии секретные документы, в которых описываются оперативный план 5015 (план диверсионных действий, нацеленных на ликвидацию ключевых объектов ракетно-ядерной инфраструктуры КНДР и/или ее высшего руководства в случае войны на полуострове) и оперативный план 5027 (описывает совместные действия РК и США в случае начала полномасштабных военных действий). Также у злоумышленников могли оказаться документы, касающиеся оперативного плана 3100, в котором описывается, как нужно реагировать на небольшие провокации со стороны КНДР, а также содержатся доклады командованию стран-союзниц, данные о ключевых военных объектах и электростанциях Южной Кореи. Всего было похищено 235 гигабайт информации, в том числе 226 документов под грифом «секретно», 42 документа с грифом «конфиденциально» и 27 документов «для служебного пользования».
<…>
Что можно сказать про данную атаку? Документы были похищены из внутренней сети минобороны, которая формально не должна была подключаться к Интернету. Следовательно, или на самом деле речь идет об инсайдере, а не хакерах с недокументированными возможностями, или налицо вопиющее несоблюдение техники безопасности, после которого следует задать неприятный вопрос: почему на компьютерах военного ведомства стоит операционная система, позволяющая распространять вирусы?
Поэтому автор верит не столько в талантливые действия хакеров, сколько в вопиющее разгильдяйство или работу инсайдера, который мог передать информацию как Северной Корее, так и кому-то еще. Благо, с точки зрения ряда специалистов по кибербезопасности, южнокорейская «цифровая крепость» имеет картонные стены, несмотря на довольно грозную репутацию.
В завершение — реплика «в сторону». Если все-таки допустить, что украденная информация ушла в КНДР, то действия Севера в 2016–2017 гг. получают обоснование. Однако хочется задуматься о другом. Представим себе, что в 2016 г. северокорейцы действительно получили большой пакет документов, который адекватно описывает стратегию Сеула и Вашингтона, направленную на ликвидацию северокорейского режима. В такой ситуации Ким Чен Ын мог прийти к выводу о том, что раз военно-политическое руководство США и РК руководствуется данной стратегией, то вопрос о ликвидации КНДР как государства является не вопросом повестки дня, а вопросом времени (грубо говоря, не «если», а «когда»). И это вполне объясняет, почему в течение 2016–2017 гг. северокорейское руководство начинает выкладывать козыри на стол ударными темпами. Будучи уверенной в скорой и неизбежной войне, КНДР стремится предотвратить ее, подняв ставки до того уровня, при котором «легкой прогулки не будет».
<….>
Анализируя вышеуказанный массив данных, можно подвести следующие итоги:
— При большинстве атак использовались примитивные техники типа фишинга, когда жертва получает письмо с приложенным файлом, попытка открыть который или загружает вредоносное ПО, или требует данные логина и пароля. Автор сталкивался с таким не раз, а буквально во время написания этого доклада ряд его коллег получили письма от «него» (в адресе была лишняя точка) с аналогичным приложением. Поддаваться на такое — совсем не соблюдать правила интернет-безопасности.
— Не подтверждаются попытки провести корреляцию между ядерными испытаниями и кибератаками, которые пытались отследить авторы статьи в Reuters. Серьезного усиления атак в указанные даты не наблюдается, и проще говорить о совпадениях. Такого мнения придерживается и ряд американских специалистов.
— Также скорее не подтверждается вывод Института по изучению вопросов финансовой безопасности (FSI) РК, согласно которому в 2015–2017 гг. северокорейские хакеры сменили основное направление атак. Если раньше они пытались украсть военные и промышленные секреты у зарубежных государств либо затруднить работу зарубежных организаций, то теперь больше заинтересованы в краже средств из-за рубежа. Данные процессы скорее идут параллельно.
— На этом фоне сомнительным оказывается и вывод авторов «Серверной Кореи» (пересказавших два источника выше без попыток перепроверки) о том, что «тактика кибервойск КНДР прошла через три главных этапа в своем развитии: от «идеологических» атак (на британский Channel4 и Sony Pictures в 2014 г.) к хакерскому заработку (хищения средств у банков и пользователей, криптомошенничество) и легальному бизнесу в сфере разработок и продаж ПО».
<…>
Справедливо ли говорить о северокорейском следе в конкретных громких случаях — вопрос во многом открытый. Он упирается в то, насколько мы привыкли верить в определенные мифы о северокорейских хакерах и готовы принимать то, что нам представляют в качестве доказательств. В результате почти всегда остается определенная «серая зона», благодаря которой те, кто относится к КНДР сочувственно или просто не верит антипхеньянской пропаганде, могут заявлять о выморочности обвинений, а недруги Северной Кореи — об их истинности. При этом последние нередко используют методы, похожие на те, которые применяются в обвинении руководства РФ в отравлении в Солсбери. Между тем «недостаточно данных» — это именно отсутствие данных, не позволяющее вынести вердикт.
Более того, даже если записать на северокорейский счет всё, что им присваивают, то «убойность атак» хакеров КНДР по сравнению с работой их российских, китайских или западных коллег выглядит блёклой. Раздувание этой угрозы обусловлено политическими соображениями.
По мнению автора, активное муссирование в последние годы темы северокорейских хакеров и особенно финансовой подоплеки их действий, возможно, стоит воспринимать по аналогии с предыдущими попытками отрезать КНДР от источников заработка, будь то рассуждения о Кэсонском комплексе как тайном кошельке северокорейской ядерной программы или о рабском положении северокорейских рабочих за рубежом, которых надо депортировать на родину как можно скорее. Не исключено, что перед нами — работа по подготовке почвы для распространения санкций в отношении КНДР на киберпространство, включая запрет на экспорт северокорейского ПО или «необходимость» инфраструктурной интернет-изоляции Пхеньяна.
К.Асмолов, Центр корейских исследований, Институт Дальнего Востока РАН
http://russiancouncil.ru/analytics-and-comments/analytics/severokoreyskie-khakery-nestrashnaya-pravda/ – читать полную версию статьи
Поделиться:
Записи на схожие темы
/https%3A%2F%2Fblueprint-api-production.s3.amazonaws.com%2Fuploads%2Fcard%2Fimage%2F445962%2Fe91c968c-ad50-49ea-be06-abe2f0d55520.jpg){kind=link}