3,4 миллиарда долларов — столько хакеры всего мира украли с января по декабрь 2025 года в одной только криптовалютной индустрии. Больше половины этой суммы — около двух миллиардов — могли стать добычей хакерских группировок из КНДР. Еще полтора десятилетия назад словосочетание «северокорейские хакеры» вызывало у специалистов лишь усмешки, однако теперь они стали одной из наиболее опасных сил в мире с крайне разнообразным и сложным арсеналом, и это при том, что даже о самом факте их существования можно судить лишь по косвенным признакам. «Лента.ру» изучила историю становления этой угрозы.
Крупнейшая кража в истории
Вечером 21 февраля 2025 года глава одной из крупнейших криптовалютных бирж мира Bybit Бен Чжоу перед сном рутинно одобрил несколько операций и посмотрел отчеты о деятельности компании. Едва он начал засыпать, как раздался поздний звонок — на другом конце был руководитель финансового блока Bybit.
«Бен, возникла проблема, — дрожащим голосом сказал звонивший. — Возможно, нас взломали… Весь Ethereum исчез».
Бен Чжоу лично успокаивал пользователей Bybit после беспрецедентного ограбления
Кадр: Bybit / YouTube
Спустя несколько десятков минут весь мир узнал о самом крупном ограблении в истории: со счетов компании вывели криптовалюту на 1,4 миллиарда долларов. Бирже удалось в течение трех суток восстановить активы за счет экстренных финансовых вливаний, благодаря чему ни один пользователь не пострадал. Параллельно началось расследование: преступник воспользовался уязвимостями в системе, чему поспособствовала компрометация одного из поставщиков программного обеспечения для Bybit — компании Safe{Wallet}. А она, в свою очередь, пострадала из-за своего сотрудника, устройство которого было заражено прямо во время собеседования.
Как хакерам это удалось? Дело в том, что крупные криптовалютные биржи, как правило, хранят средства пользователей и собственные резервы на так называемых мультиподписных кошельках. Это означает, что для вывода средств необходимо подтверждение сразу нескольких пользователей с определенным статусом.
Однако во время взлома преступникам удалось подменить интерфейс системы безопасности, разработанной Safe{Wallet}. Все ответственные лица перед тем, как дать свое согласие, видели именно интерфейс подменного сайта
Все казалось привычным: верный адрес получателя и традиционный внешний вид самой страницы, однако на самом деле сотрудники Bybit давали добро на передачу контроля над кошельками хакерам, которые после этого спокойно вывели все средства в Ethereum на два десятка собственных кошельков.
Биржа Bybit потеряла практически все свои активы в криптовалюте Ethereum
Фото: DennisF / Shutterstock / Fotodom
«Корейская Народно-Демократическая Республика несет ответственность за кражу виртуальных активов с криптовалютной биржи Bybit. Злоумышленники действуют быстро и уже конвертировали часть украденных активов в биткоины и другие виртуальные активы, распределенные по тысячам адресов в нескольких блокчейнах. Ожидается, что эти активы будут дополнительно отмыты и в конечном итоге конвертированы в фиатную (то есть обыкновенную, — прим. «Ленты.ру») валюту», — заявили спустя несколько дней в Федеральном бюро расследований США.
Привязка к КНДР была ожидаемой. Похожую методику взлома в июле 2024 года применили хакеры, скомпрометировавшие еще одну биржу — WazirX. Тогда индийские инвесторы потеряли без малого 235 миллионов долларов, а расследование быстро вывело специалистов на северокорейскую киберпреступную группировку, за которой в западной прессе закрепилось название Lazarus.
Передовая тактика
Атака на Bybit, по данным американских спецслужб, стала возможной благодаря самой передовой тактике хакеров из КНДР. Преступники играют роли представителей HR-департаментов или соискателей вакансий, нацеливаясь при этом преимущественно на игроков в сфере блокчейн-технологий, но не только на них.
Основные цели на протяжении нескольких лет — сотрудники крупных компаний, преимущественно в сфере разработки ПО, финтеха, криптоинвестиций. Злоумышленники связываются с ними под видом рекрутеров и на определенном этапе коммуникации обманом вынуждают жертву установить или запустить ВПО, в роли которого зачастую выступают самописные инструменты и программы удаленного доступа
После краткой предварительной переписки хакеры предлагают жертве зайти на малоизвестный сайт-однодневку, чтобы пройти тест на владение навыками и записать видео о себе. Там на устройства соискателей скачиваются вредоносные программы, способные перехватывать данные с них или даже удаленно ими управлять. Не исключено, что именно так был заражен компьютер сотрудника Safe{Wallet}.
Среди специалистов по информационной безопасности эта схема получила ироничное название «заразительное собеседование»
«Со мной это постоянно случается, и я уверен, что это происходит со всеми в этой сфере. Качество маскарадных представлений, проводимых северокорейцами, значительно улучшилось за последний год. Просто ужасно, как далеко они продвинулись», — сказал руководитель отдела развития бизнеса швейцарской компании Global Ledger Карлос Янез.
Собеседование с будущим работодателем может обернуться для сотрудника взломом нынешнего
Фото: Fiordaliso / Getty Images
Во втором сценарии будущие взломщики не приглашают никого на работу, а устраиваются на нее сами. «Соискатели» охотно проводят онлайн-собеседования, выполняют тестовые задания и даже выражают готовность работать над наиболее сложными задачами, даже если ради этого им придется трудиться сверхурочно. Настоящая их задача — проникнуть в инфраструктуру компании, внутрь периметра безопасности. Дальнейшие действия могут варьироваться от банальной кражи до промышленного шпионажа.
КНДР направляет тысячи высококвалифицированных IT-специалистов по всему миру для получения дохода, который способствует реализации программ создания оружия массового уничтожения и баллистических ракет
С этим согласились и в департаменте киберразведки (Threat Intelligence) компании F6. «Lazarus действует как с целью шпионажа, так и с целью получения финансовой выгоды. Группа примечательна активным использованием социальной инженерии. Она постоянно эволюционирует, обновляет инструменты и способы доставки нагрузки на целевое устройство», — рассказали «Ленте.ру» в компании.
Там добавили, что эти методы использует не только Lazarus, но и другие группировки из Северной Кореи. Однако они действуют исключительно с целью шпионажа. К ним в компании отнесли группировки Kimsuky и APT37.
За северокорейскими хакерскими группировками, по мнению западных спецслужб, стоят правительство КНДР и лично Ким Чен Ын
Фото: KCNA / Reuters
Хакеры из Kimsuky активны преимущественно в Южной Корее, Японии и США, их излюбленной тактикой считается фишинг. Например, в последних атаках киберпреступники распространяли в письмах QR-коды, ведущие на страницы с вредоносным содержимым. Среди полюбившихся им целей выделяются владельцы устройств под управлением операционной системы Android. А вот для пользователей Windows более опасно объединение APT37 — оно работает в разных регионах и проводит атаки с целью шпионажа.
Ненадежные свидетели
Первые сообщения о том, что в КНДР возникли собственные хакерские группировки, появились еще в 2004 году. Тогда Министерство обороны Южной Кореи утверждало, что «военные соседней страны обучили более 500 кибервоинов взлому южнокорейских, японских и американских сетей с целью сбора разведывательной информации или атак на компьютерные системы».
Стоит отметить, что между Северной и Южной Кореей десятилетиями продолжается информационная война, и долгие годы основным источником сведений о похождениях кибервоинов из КНДР был именно Сеул.
Другим источником данных служили многочисленные перебежчики из Северной Кореи, традиционно рассказывающие ужасы о жизни в этой стране. Как правило, их слова охотно используют западные СМИ, а сами они становятся медийными звездами. В последние годы среди них появилось несколько человек, активно монетизирующих свое прошлое в социальных сетях, а раньше перебежчики делали то же самое с помощью документальной литературы.
Перебежчики наперебой рассказывают об ужасах жизни в КНДР
Фото: Cha Song Ho / AP
Однако наиболее авторитетные исследователи КНДР, в том числе русскоязычные, призывают относиться к этим сведениям аккуратно, прямо называя их ненадежными источниками: после бегства эти люди заинтересованы предоставить максимально шокирующую информацию о своей родине, чтобы получить преференции в новой стране проживания, которой обычно становятся Южная Корея или Соединенные Штаты.
«В отсутствии иной информации исследователи вынуждены использовать данные "ненадежных рассказчиков" без возможности качественной перепроверки их историй. К чему это ведет, можно вспомнить на примере ситуации с Син Дон Хеком, когда выяснилось, что главный свидетель доклада о правах человека в КНДР и автор бестселлера "Побег из Лагеря 14" попросту выдумал большую часть душераздирающих подробностей своей истории. Однако в материалах на исследуемую тему источниками новостей оказываются так называемые "карьерные перебежчики", гастролирующие по Южной Корее и США с репертуаром, состоящим из "ужасов о Севере"», — предостерегал кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Российской Академии наук Константин Асмолов.
По данным Асмолова, к концу 2010-х подавляющее большинство сведений о хакерах из КНДР предоставил один и тот же перебежчик — Ким Хын Гван
Он называет себя преподавателем компьютерных наук, лично обучившим нескольких компьютерных гениев в Пхеньяне в интересах разведки. Он покинул страну в 2004 году, но почему-то до сих пор использует некие источники информации на своей родине.
По его словам, он вплавь пересек реку Туманную на границе между КНДР и Китаем, подкупив одного из пограничников. Пока он плыл, по нему якобы открыл огонь на поражение другой военный, не получивший взятки.
Сбежать из КНДР когда-то было не так уж сложно, однако в последние годы границы охраняются надежнее
Фото: Kim Hong-Ji / Reuters
«Северокорейские хакеры — настоящее сокровище для Ким Чен Ына, потому что становится ясно, что они — лучшие в мире, они — гении из КНДР. Давайте попробуем составить рейтинг стран по уровню мастерства спонсируемых этими государствами киберпреступников. Большинство людей скажут, что на первом месте — Соединенные Штаты, на втором — Россия, на третьем — Китай и так далее. Но ответьте мне честно: кто еще проводит столько же успешных хакерских операций, как Северная Корея?» — говорил Ким Хын Гван в интервью.
На том, что внутри страны появилась целая киберармия, настаивал и другой перебежчик — бывший посол КНДР в Лондоне Тхэ Ён Хо, попросивший убежища в Южной Корее в 2016 году. По его словам, на мысль о важности современных технологий занимавшего тогда пост главы государства Ким Чен Ира натолкнул его сын, нынешний председатель КНДР Ким Чен Ын, обучавшийся, согласно наиболее распространенной на Западе версии, в Швейцарии.
Идею создания киберподразделений в северокорейской разведке Ким Чен Иру (справа в светлом костюме) мог подсказать его сын Ким Чен Ын (слева от него)
Фото: KCNA / Reuters
Именно он и его брат Ким Чен Чхоль просветили своего отца. Ким Чен Ир быстро оценил преимущества компьютеров и сетевых технологий
Эта версия косвенно подтверждается Ким Хын Гваном. Он утверждает, что еще в 1998 году в составе разведывательных структур КНДР появилось подразделение для киберопераций. По некоторым данным, именно тогда Ким Чен Ын окончил школу и вернулся в Пхеньян, хотя, по другим данным, это случилось только в 2000 году.
«Если до сих пор война сводилась к пулям и нефти, то в XXI веке — это война за информацию», — такую фразу, по свидетельству Ким Хын Гвана, якобы произнес Ким Чен Ир в беседе с высшими армейскими чинами в 2003 году, вскоре после начала очередной американской кампании в Ираке.
Простые жители КНДР вряд ли знают что-нибудь о хакерах, якобы работающих в интересах их страны
Фото: Carl Court / Getty Images
Перебежчик сыплет различными номерами подразделений, которые, как он утверждает, отвечают за те или иные атаки. Наиболее известное из них — подразделение 121, именно его в исследованиях называют группировкой Lazarus. Тогда, в 1998-м, по словам перебежчика, оно состояло из тех же 500 человек.
Остальная структура северокорейских хакерских объединений значительно меняется с течением времени, однако суммарная их численность по состоянию на 2024 год может достигать, по версии южнокорейской разведки, 8,4 тысячи человек.
Откуда в КНДР хакеры?
Перебежчики рассказывают, что поначалу киберпреступников рекрутировали из числа наиболее одаренных студентов факультета автоматизации Политехнического университета имени Ким Чхэка в Пхеньяне, позже к ним присоединились выпускники Пхеньянского университета. Еще одна версия перебежчиков — вербовка кажущихся перспективными 11-летних кандидатов, которых затем отправляют на обучение в специальные школы.
«Существует пирамидальная система набора одаренных детей, хорошо разбирающихся в математике, программировании и обладающих развитыми аналитическими способностями. Они оканчивают колледж, после чего их отправляют учиться в ведущие технологические университеты Северной Кореи», — утверждал в 2011 году Ким Хын Гван.
работали на КНДР, по данным на 2024 год
По данным Ким Хын Гвана, после прохождения ускоренной двухлетней программы обучения студенты на год уезжали в Россию или Китай, чтобы закрепить знания, а после возвращения на родину становились действующими сотрудниками тех или иных подразделений.
«Откуда они появляются, если в стране нет интернета? Ну, чтобы их учить, интернет находится. У них есть несколько достаточно хороших центров по подготовке, технически у них хороший уровень — учат, потом отбирают», — отмечал известный востоковед, профессор сеульского Университета Кунмин Андрей Ланьков в эфире YouTube-канала «вДудь» (автор канала Юрий Дудь признан Минюстом иностранным агентом).
Андрей Ланьков уверен в существовании северокорейских хакеров
Кадр: Андрей Ланьков / YouTube
К слову, информация о связях с Россией всплывала и в другом контексте. Сбежавший из КНДР в 2008 году студент-киберпреступник Чан Се-юль упоминал, что некоторые дисциплины им преподавали лекторы из Москвы.
«Когда я учился [на военной базе] в Мириме, у нас преподавали профессора из российской Военной академии имени М. В. Фрунзе (после 1998 года — Общевойсковая академия Вооруженных Сил Российской Федерации — прим. «Ленты.ру»). Тогда во всем университете был всего один или два компьютера. Мы почти не пользовались ими и в основном изучали программирование и основы информатики в теории. К моменту окончания учебы ни у кого из нас не было практического опыта работы с компьютерами», — сказал Чан Се-юль.
Сведения об условиях и даже о месте работы уже состоявшихся хакеров расходятся. Например, бывшие студенты Ким Хын Гвана в беседах с ним утверждали, что «наилучшие условия» предоставляются не только киберпреступникам, но и членам их семей
Например, родителей могут перевезти в Пхеньян, что по меркам КНДР — колоссальное улучшение социального статуса. Однако чаще — и это неудивительно — перебежчики рассказывают об ужасах невыносимого рабского труда хакеров.
Живущий в Вашингтоне перебежчик Хён-Сын Ли уже рассказал журналистам со ссылкой на опыт своих знакомых, что элитные кибервзломщики ютятся в квартирах группами по 10-20 человек, работают по 14 часов и спят по четыре-пять человек в одной комнате. При этом, по его словам, все их передвижения строго контролируются.
Некоторые перебежчики уверяют, что хакеры живут в условиях, близким к элитным, пусть и по северокорейским меркам
Фото: Carl Court / Getty Images
«У вас нет никакой свободы. Вам не разрешается покидать квартиру, если только вам не нужно что-то купить, например, продукты, и тогда это должен организовать руководитель группы. За покупками отправляются два-три человека», — утверждает Хён-Сын Ли, добавляя, что переселение родителей из других городов в столицу на самом деле выглядит как захват их в качестве заложников.
Некоторые хакеры, по словам «ненадежных рассказчиков», живут в Пхеньяне, — в качестве их предполагаемого «логова» упоминалась, например, недостроенная монументальная 105-этажная гостиница «Рюген» в центре города. А другие вообще находятся за пределами страны
Незаселенная гостиница «Рюген» в Пхеньяне упоминалась в качестве места обитания киберпреступников
Фото: Danish Siddiqui / Reuters
Человек по имени Чон Хёк рассказывал журналистам, что жил и работал со своими коллегами в тесном трехэтажном доме в городе на северо-востоке Китая. Хакеры, с которыми он делил дом, как он утверждал, должны были зарабатывать до 100 тысяч долларов в год любыми доступными способами, но им разрешалось оставить себе менее 10 процентов от этой суммы.
По его словам, дом принадлежал китайскому бизнесмену, имевшему какие-то деловые связи с Пхеньяном. На верхнем этаже спали десятки выпускников элитных северокорейских университетов, одним из них был сам Чон Хёк, завербованный еще на третьем курсе. На нижних этажах располагался лабиринт из кабинок и компьютеров, а на стенах висели портреты Ким Чен Ира и Ким Ир Сена, как это принято в Северной Корее.
Элитные программисты? Ни в коем случае. Мы были просто кучкой бедных, низкооплачиваемых рабочих. Некоторые хакеры едва сводили концы с концами, им просто повезло, что у них были заказы на работу
«Эти центры [для работы] физически находятся не в Северной Корее. Например, очень долго один из крупнейших центров располагался в гостинице средней руки в [китайском] городе Шэньяне, где они жили более или менее без выхода в город: группами могли выйти на рынок отовариться или в пельменную под надзором особиста. Но в основном они там жили и хакерили направо и налево. Я полагаю, и сейчас такие базы могут существовать в разных странах мира, в основном в Восточной и Юго-Восточной Азии», — уточнял востоковед Андрей Ланьков.
В обиде на Голливуд
Первые приписываемые КНДР кибератаки едва ли можно назвать впечатляющими. Напротив — они были достаточно неумелыми, громоздкими в исполнении и технически несовершенными. Речь идет о волне, запущенной в 2004 году, когда гости с Севера немного покопались в беспроводных сетях на Юге, заодно протестировав некоторые вредоносные программы.
Во второй половине 2000-х и первой половине 2010-х киберпреступники из КНДР уделяли большую часть своего времени проведению DDoS-атак, которые в те годы были достаточно эффективным инструментом, причиняющим жертвам немало хлопот. Под ударом оказались южнокорейские финансовые институты и СМИ. Хакеров из Северной Кореи подозревали и в атаках против американских госорганов, однако в том случае следы вели как раз в Сеул.
Технический арсенал хакеров начала 2000-х наверняка был куда более скромным, чем у их коллег из 2020-х
Фото: Pavel Mikheyev / Reuters
К 2013 году разработчики из КНДР достаточно заматерели, чтобы провести действительно большую атаку с помощью вредоносного ПО DarkSeoul. Его протестировали в марте того года на шести южнокорейских учреждениях с предполагаемым ущербом в размере 750-900 миллионов долларов. Однако это был только первый акт того, что в Южной Корее потом назвали полноценным кибертерактом.
25 июня, в 63-ю годовщину начала Корейской войны, хакеры провели комбинированную атаку, продемонстрировавшую Сеулу возросший потенциал противника. Были украдены персональные данные сотен тысяч пользователей, в том числе южнокорейских и американских военных, парализованы сайты госструктур и банков, на многих ресурсах появились речевки, прославляющие Ким Чен Ына.
Северокорейских хакеров, ответственных за кибератаки 2000-2010-х, до сих пор безуспешно разыскивают агенты ФБР
Фото: Mario Tama / Getty Images
Годом позже, 24 ноября 2014 года, случилась одна из наиболее громких и эффектных атак, приписываемых взломщикам из КНДР. Согласно принятой на Западе версии, хакеры атаковали компанию Sony Pictures, чтобы не допустить начала проката снятого ею фильма «Интервью», посвященного ликвидации Ким Чен Ына
Началось нападение с того, что сотрудники киноконцерна, пришедшие на работу и включившие свои компьютеры, увидели вместо привычной заставки сгенерированные изображения отрезанной головы генерального директора Sony Pictures. Вскоре после этого компания приняла решение отключить все системы, чтобы избежать кражи данных, погрузив работников в каменный век.
Но было поздно: к началу декабря оказались украдены гигабайты ценнейшей информации — контракты, зарплатные ведомости, сведения о бюджете фильмов, медкарты, номера социального страхования и переписка сотрудников.
Куда хуже, что преступники уничтожили 75 процентов сведений на серверах и полностью очистили принадлежащие кинокомпании центры обработки данных. В качестве вишенки на торте они украли еще и пять готовых фильмов, не вышедших в широкий прокат, а также сценарий новой картины о приключениях Джеймса Бонда.
Sony Pictures не повезло первой испытать на себе мощь северокорейского возмездия
Фото: Chris Pizzello / Invision / AP
«ФБР располагает достаточной информацией, чтобы заключить, что ответственность за эти действия несет правительство Северной Кореи. Наш вывод основан, в частности, на техническом анализе вредоносного ПО, использованного в этой атаке, который выявил связи с другими вредоносными программами, которые, как известно ФБР, ранее разрабатывались северокорейскими террористами. Например, было обнаружено сходство в отдельных строках кода, алгоритмах шифрования, методах удаления данных и скомпрометированных сетях», — дежурно отчиталась американская спецслужба.
Кроме того, в ведомстве указали на совпадения использованной взломщиками инфраструктуры с той, что ранее связывалась с Пхеньяном, в том числе IP-адреса, упомянутые в программном коде вредоносного ПО. Отдельно уточняется, что хакеры применяли инструменты и методы, которые специалисты уже встречали во время атаки 20 июня 2013 года.
Речь идет о формировании пресуппозиции: если ужасный кровавый пхеньянский режим может заниматься киберпреступностью, то отчего бы ему ее не практиковать? Ведь он ужасный, кровавый и пхеньянский
С этой версией согласились не все. В частности, источник Fox News утверждал, что по уровню исполнительского мастерства атака ближе к киберпреступникам из России, Китая или Ирана. К схожим выводам пришли аналитики компании Taia Global, проанализировавшие сообщения на плохом английском, отправленные хакерами до атаки и во время нее руководству Sony Pictures. Они предположили, что эти послания были написаны человеком, для которого родной язык — русский.
Как бы то ни было, после этого крупные кинотеатры, опасаясь будущей мести, отказались пускать в прокат «Интервью», но это сделали мелкие независимые сети и онлайн-платформы. Картина в итоге с трудом окупилась, однако это был явно не тот результат, на который рассчитывали продюсеры.
«Когда-то они были просто посмешищем»
Менее чем через три года, в октябре 2017-го, The New York Times опубликовала эпохальную статью, окончательно разделившую в глазах широкой аудитории историю северокорейской киберпреступности на два этапа. Материал с заголовком «Мир когда-то смеялся над киберсилой Северной Кореи. Теперь это в прошлом» рассказывает об основных предполагаемых достижениях хакеров из КНДР.
«С 2009 года, когда они были просто посмешищем, их возможности значительно расширились. Когда-то они проводили очень простую атаку на незначительную веб-страницу, созданную Белым домом или ЦРУ, а затем их сторонники заявляли, что взломали правительство США. Но с тех пор их хакеры стали намного лучше», — сказал журналистам научный сотрудник проекта по кибербезопасности в Гарвардском университете Бен Бьюкенен.
Приписываемые Пхеньяну атаки с годами стали такими же монументальными, как памятники в столице КНДР
Фото: Carl Court / Getty Images
За три года, прошедшие со взлома Sony Pictures, северокорейские киберпреступники сделали многое, чтобы в одном из главных американских изданий появилась статья с признанием их выдающихся способностей.
В списке приписываемых им злодеяний — десятки, если не сотни атак
Некоторые получились действительно громкими — например, кража и последующая публикация чертежей узлов реакторов южнокорейских АЭС у компании оператора KHNP в декабре 2014 года или попытка взлома компьютеров десятков депутатов южнокорейского парламента, сотрудников Администрации президента, Министерства иностранных дел, Минобороны и других ведомств в октябре 2015 года. Но с течением времени КНДР все чаще обвиняли в атаках, в основе которых были финансовые, а не идеологические мотивы.
Отношения КНДР и Южной Кореи, несмотря на потепление во второй половине 2010-х, снова стали крайне холодными
Фото: Kim Hong-Ji / Reuters
Наиболее дерзкая из них произошла в феврале 2016 года, когда хакеры нацелились на святая святых — Федеральную резервную систему США. Точнее, на один из управляемых ею счетов, принадлежащих Центробанку Бангладеш. Целью преступников был миллиард долларов, но в итоге они получили гораздо меньше — лишь 81 миллион, что все равно оказалось баснословной добычей.
«Киберугроза со стороны Северной Кореи подкралась незаметно. Раньше они были смесью чего-то странного, абсурдного и средневекового, поэтому люди не воспринимали их всерьез. Казалось бы, как такая изолированная, отсталая страна может обладать такими возможностями? А как такая изолированная, отсталая страна может обладать ядерным оружием?» — заявил в том самом материале The New York Times бывший директор британского Управления правительственной связи Роберт Ханниган.
В мае 2017 года мир содрогнулся еще раз, когда около 300 тысяч устройств в 150 странах оказались зашифрованы вирусом-вымогателем, вошедшим в историю под названием WannaCry. Выкуп за расшифровку в биткоинах согласились заплатить лишь чуть больше 300 человек, поэтому прибыль хакеров не стала ошеломительной. Однако атака отлично продемонстрировала их возможности: общие убытки от одной из первых цифровых «пандемий» могут исчисляться миллиардами долларов. Соединенные Штаты официально возложили ответственность за распространение WannaCry на Пхеньян.
Северная Корея несет за это прямую ответственность. Мы делаем это заявление не легкомысленно, оно основано на доказательствах. И мы не одиноки в своих выводах — другие правительства и частные компании согласны с этим. Великобритания приписывает атаку Северной Корее, а Microsoft отследила ее до киберподразделений северокорейского правительства
Стоит отметить, что атрибуция (выяснение авторства) кибератак, приписываемых северокорейским хакерам, не так проста, как выглядит в заявлениях американских и южнокорейских ведомств и исследователей. Проблема в том, что Пхеньян либо отрицает, либо никак не комментирует эти обвинения, а среди перебежчиков не нашлось ни одного участника хоть сколько-нибудь резонансных атак последних полутора десятилетий.
Почему все обвиняют именно КНДР?
Вопрос атрибуции компьютерных атак в информационной безопасности вообще считается одним из наиболее сложных. Некоторые из них — почти исключительно технические.
«Атрибуция групп к странам строится на основе разных параметров. Например, каждая страна имеет свой ландшафт угроз, поэтому нацеленность на конкурирующие в политических вопросах страны уже позволяет сузить круг стран для атрибуции. Кроме того, играют роль оставленные разработчиками комментарии в коде, временные диапазоны активности разработчиков, соответствующие часовому поясу присутствия, пересечение кода и инфраструктуры с более ранними атаками группы», — сказали «Ленте.ру» в департаменте киберразведки (Threat Intelligence) компании F6.
Следы ряда атак привели исследователей в Пхеньян
Фото: Carl Court / Getty Images
Однако не менее важным считается поиск реальных доказательств связи между конкретным человеком и конкретной атакой. Проблема в том, что добыть их, не задействуя инструменты международного сотрудничества и расследования преступлений, практически невозможно.
А Северная Корея вряд ли согласится участвовать в таких инициативах — вне зависимости от того, причастна она к атакам или нет
«До тех пор, пока правоохранительными органами не будет доподлинно установлен конкретный человек, нажимавший кнопки на клавиатуре конкретного компьютера в ходе той или иной кибератаки, точная, доказательная атрибуция до уровня страны невозможна», — констатировал в беседе с «Лентой.ру» директор по стратегическим альянсам и взаимодействию с органами государственной власти компании «Гарда» Павел Кузнецов.
Одно из наиболее известных исследований, посвященных атрибуции Lazarus, в том числе в контексте атаки на счета Центробанка Бангладеш, провели аналитики компании Group-IB. В 2018 году они отследили действия хакеров до конкретных IP-адресов в Пхеньяне, а также смогли сопоставить их с упоминавшимися до этого в южнокорейских медиа адресами, причастными к атаке на банки Сеула в 2016 году.
Южную Корею и США в разные годы могли атаковать из одной точки
Фото: Jordan Lye / Getty Images
Однако даже такие доказательства не позволяют отследить конкретного человека и конкретное устройство. Из-за этого многие исследователи как в мире информационной безопасности, так и за его пределами, стараются аккуратно говорить о причастности Пхеньяна к тем или иным резонансным взломам.
«Не хотелось бы говорить о специалистах из КНДР в контексте киберпреступлений, поскольку конкретно о преступных группировках нет каких-либо подтвержденных данных. С другой стороны, действительно, нельзя не отметить серьезный скачок в развитии корейских специалистов в области компьютерных технологий. Почему именно это произошло, сказать трудно, ведь страна закрыта от внешнего мира. При этом надо отметить, что, как и любая страна, начавшая входить в какую-либо область позже остальных, КНДР довольно быстро вышла на высокий уровень, поскольку им не пришлось повторять ошибок и трудностей поиска, как другим государствам», — отметил в беседе с «Лентой.ру» коммерческий директор компании «Код безопасности» Федор Дбар.
Lazarus, скорее всего, существует, но не обязательно является командой хакеров северокорейского происхождения, и ее связь с КНДР требует дополнительных доказательств
Впрочем, востоковед Андрей Ланьков говорил, что не знает «ни одного серьезного человека, не занимающегося всякими пропагандистскими экзерсисами, который сомневался бы в том, что они [северокорейские хакеры] есть». Ланьков шутил даже, что отрицание их существования можно расценивать как оскорбление корейского народа.
Криптовалютный разворот
Во второй половине 2010-х хакерам из КНДР все чаще начали приписывать атаки против криптовалютных игроков, которые увенчала кража из Bybit. Но начиналось все, судя по всему, с обмана отдельных пользователей, а первой корпоративной жертвой стала южнокорейская биржа Bithump, потерявшая семь миллионов долларов.
Если северокорейских хакеров придумал именно Ким Чен Ир, то он и представить себе не мог, как это озолотит его страну
Фото: Korea News Service / Reuters
За ней последовал обменный сервис Youbit, потерявший 17 процентов своих активов, а также платформа облачного майнинга криптовалют Nicehash, лишившаяся в декабре 2017 года примерно 81 миллиона долларов. В 2022 году, по данным ФБР, Lazarus и APT37 совместными усилиями украли 620 миллионов долларов из сети Ronin Network, а в 2023 году их добычей стали более 300 миллионов долларов.
К слову, не забывают гости из КНДР заглядывать и в Россию. По сведениям Reuters, которые Москва официально не комментировала, в 2023 году взломщики из Северной Кореи тайно внедрились в системы расположенного в Реутове конструкторского бюро НПО «Машиностроение».
Reuters не смогло установить, были ли украдены какие-либо данные во время взлома и какая информация могла быть просмотрена. В течение нескольких месяцев после взлома Пхеньян объявил о ряде разработок в своей подсанкционной программе баллистических ракет, но неясно, были ли они связаны с этим инцидентом
«Россия не является приоритетной целью северокорейских хакеров, однако в разное время специалисты фиксировали небольшую активность в этом регионе. Оценивая последние несколько лет, можно сказать, что в 2024 году были выявлены атаки на Россию со стороны двух северокорейских групп — APT37 и Lazarus. Группа APT37 использовала вредоносные установщики достаточно редкого программного обеспечения, предназначенного для российских госслужащих», — констатировали в департаменте киберразведки (Threat Intelligence) компании F6.
В России северокорейский след не принято искать так активно, как на Западе
Фото: Alvin Baez / Reuters
«Напомню, что в соответствии со статьей 18 Договора о всеобъемлющем стратегическом партнерстве, подписанного в 2024 году, Россия и КНДР расширяют обмен информацией для предупреждения, выявления, пресечения и расследования преступлений и иных правонарушений, связанных с использованием информационных технологий. Это является конкретным шагом к обеспечению безопасности информационного пространства как минимум наших двух дружественных стран», — уточнил директор по стратегическим альянсам и взаимодействию с органами государственной власти компании «Гарда» Павел Кузнецов.
Тем не менее именно криптовалюты, по мнению различных исследователей, стали главной целью Пхеньяна
Начиная с 2022 года северокорейские хакеры ежегодно крадут более миллиарда долларов, а представители США и ООН теперь открыто заявляют, что кража цифровых активов стала ключевым источником финансирования северокорейских программ по созданию оружия массового уничтожения.
Ким Чен Ын может строить теневую криптовалютную империю
Фото: KCNA / Reuters
Если версии западных наблюдателей о причастности Северной Кореи к сотням крупных атак верны, это означает, что КНДР фактически создала и регулярно пополняет суверенный фонд благосостояния из украденных активов, на которые невозможно наложить санкции. Некоторые аналитики утверждают, что Пхеньян со временем может войти в число крупнейших государственных держателей биткоина в мире, уступая только Соединенным Штатам и Китаю. И в этом случае страна может стать одной из первых теневых криптовалютных сверхдержав. Какое влияние это окажет на геополитические процессы, предсказать пока невозможно.