Как Северная Корея воспитала армию криптохакеров
Северокорейские хакеры — словосочетание, которое годами наводит ужас на участников криптосообщества. Однако при попытке вникнуть в тему возникает масса вопросов: откуда в закрытой КНДР первоклассные киберпреступники, как они выходят в сеть, если власти страны ограждают народ от глобальной паутины, и какую именно цель преследуют
Редакция BeInCrypto выяснила, как закрытая страна, в которой интернет — привилегия, смогла вырастить самую опасную в мире армию хакеров.
В этой статье:
- Парадокс Северной Кореи
- Зачем Северной Корее хакеры
- История северокорейских хакеров
- Откуда в КНДР хакеры
- Хакерские группировки северян
- Топ-10 крупнейших взломов северокорейских хакеров
- Как именно хакеры из КНДР крадут деньги
- Где штаб-квартиры хакеров КНДР
- Вместо итогов
Парадокс Северной Кореи
Пока Россия и другие страны по всему миру живут в 2024 году, жители Северной Кореи вешают на стены календари, в которых говорится о том, что сейчас 113 год. В стране используют летосчисление, основанное на дате рождения основателя страны Ким Ир Сена, 15 апреля 1912 года.
Также многих может удивить возраст Северной Кореи — стране всего 76 лет. Она появилась 9 сентября 1948 года в результате раздела корейского полуострова после окончания Второй мировой войны. Советские войска заняли территорию к северу от 38-й параллели, что послужило началом формирования Корейской Народно-Демократической Республики (КНДР).
В стране все строят вокруг официальной идеологии чучхе, которую ввел Ким Ир Сен — первый лидер страны. Слово «чучхе» можно перевести как «самостоятельность» или «независимость». Эта идеология подчеркивает политическую, экономическую и военную независимость страны от внешних сил.
Что нужно знать о чучхе
Концепция чучхе акцентирует важность самостоятельности каждого индивидуума, а также призывает к национальному самоуважению и суверенитету. Она ставит в центр коллектив и лидера, при этом особое внимание уделяется лидеру как вдохновителю и направляющей силе общества.
Чучхе также подразумевает идею «антагонистического использования силы», что означает противостояние империализму и борьбу за социализм. Идеология сыграла ключевую роль в формировании политической и культурной жизни КНДР.
Улицы Пхеньяна, столицы КНДР. Источник: Mihai Titienar
Топ-5 интересных фактов о Северной Корее:
- Война с югом. В период с 1950 по 1953 год между севером и югом страны шла война, в результате которой полуостров так и не был воссоединен.
- Изоляция. Северная Корея — одна из самых закрытых стран в мире. В ней действуют строгие ограничения на въезд иностранных граждан и на выезд собственных граждан за границу. Главным врагом власти Северной Кореи считают США, так как штаты поддержали юг во время войны 1950-1953 годов. Спустя 70 лет северокорейцы продолжают винить Америку в бедах своей страны.
- Культ личности. В стране существует мощный культ личности, связанный с династией Кимов, начиная с Ким Ир Сена и продолжая его потомками. По состоянию на 2024 год, КНДР правит Ким Чен Ын.
- Технологическая изоляция. В стране нет того разнообразия техники, к которому привыкли мы. Например, в образцово-показательных компьютерных классах, которые показывают иностранцам, уроки информатики проводят на старых компьютерах с ПО Windows 95. Несмотря на отставание во многих сферах, Северная Корея активно развивает свою программу баллистических и ядерных испытаний, которая стала причиной напряжения на геополитической арене.
- Интернет. Вопреки мифам, в Северной Корее можно получить доступ во всемирную паутину. Прямым доказательством тезиса служат блогеры, которые публикуют контент напрямую из страны. Иностранным туристам предлагают подключение к сети через WiFi в отеле. Удовольствие не из дешевых: 10 минут подключения к сети обойдутся в пару долларов. При этом простым северокорейцам, которые никак не связаны с посольскими службами и бизнесом, доступ во всемирную паутину закрыт. Вместо нее власти страны предлагают гражданам интранет — закрытую сеть, в которой собраны отцензурированные сайты для внутреннего пользования.
Северокорейский класс информатики. Источник: The Люди
Получается, что Северная Корея — закрытая страна, в которой у подавляющего большинства граждан нет доступа ко многим современным технологиям и сети интернет. Тем удивительнее становится тот факт, что именно здесь зародились хакерские группировки, которые держат в страхе криптосообщество.
Зачем Северной Корее хакеры
Существует теория, согласно которой хакеры нужны режиму КНДР, чтобы добывать средства на финансирование программы ракетостроения и всего военного комплекса. Закрытой стране без друзей, которая попала под огромное количество санкций, сложно зарабатывать легальными способами. В таком положении анонимные криптовалюты могут стать решением проблемы.
Сравнение количества санкций, введенных против разных стран. Северная Корея находится на четвертом месте, пропуская вперед Россию, Иран и Сирию. Источник: castellum
История северокорейских хакеров
Первая значительная атака северокорейских хакеров, «Операция Троя», была зафиксирована 4 июля 2009 года. Ее приписывают группировке Lazarus. Это была масштабная, но относительно простая атака типа DDoS на американские и южнокорейские веб-сайты, при которой в записи начальной загрузки компьютеров был помещен текст «Memory of Independence Day» (Память о Дне Независимости).
«Троя» послужила отправной точкой для ряда сложных и масштабных кибератак, проведенных Lazarus и другими северокорейскими группировками.
Появление северокорейских хакерских группировок связывают с созданием Главного разведывательного управления Северной Кореи (North Korea’s Reconnaissance General Bureau, RGB). Военное агентство страны отвечает за осуществление внешней разведывательной деятельности, проведение специальных операций и кибервойну.
RGB было создано в 2009 году путем слияния нескольких северокорейских разведывательных служб, чтобы усилить их эффективность и координацию.
Сегодня RGB играет ключевую роль в северокорейской оборонной стратегии, проводя операции, которые включают сбор разведданных, подрывную деятельность против Южной Кореи и других врагов, а также разработку и применение кибератак. Это управление также связывают с многочисленными кибератаками и шпионскими операциями по всему миру, что делает его важным игроком на мировой арене.
Откуда в КНДР хакеры
Старенькие Windows 95 в классах информатики ставят под сомнение возможность воспитать в КНДР армию хакеров, однако на деле властям страны это как-то удалось. История с интернетом как привилегией позволяет предположить, что у некоторых северокорейцев все же есть доступ к современной технике и технологиям, который и помогает им создавать хакерские группировки во благо партии.
Вот три «источника», которые власти КНДР, вероятно, используют для пополнения своей армии хакеров:
- Специализированные учебные заведения. В Северной Корее существуют специализированные учебные заведения, такие как Университет Ким Ир Сена, где обучают будущих специалистов в области информационных технологий и кибербезопасности. Учебные заведения предлагают курсы и программы, нацеленные на развитие навыков в области кибербезопасности и программирования.
- Военные учебные программы. Считается, что многие хакеры проходят обучение в рамках военных программ, где их обучают не только техническим аспектам кибербезопасности, но и тактике информационной войны. Программа включает в себя как теоретические знания, так и практику.
- Обучение за рубежом. Некоторые отчеты указывают на то, что лучших студентов отправляют для дополнительного обучения в другие страны, включая Китай и Россию, где они могут обучаться в топовых технических университетах. Такой подход дает стране возможность изучать передовые технологии и методы в области кибербезопасности.
В некоторых источниках также попадается информация о вербовке северокорейскими спецслужбами иностранных специалистов.
Состав хакерских группировок Северной Кореи формально можно разделить на две группы:
- Военнослужащие. Многие хакеры в Северной Корее являются членами армии, особенно те, кто входит в состав таких известных групп, как Lazarus Group. Они обычно работают под руководством Главного разведывательного управления Северной Кореи.
- Талантливые программисты. Хакерские группы также могут включать в себя выпускников ведущих университетов, обладающих высокими навыками программирования и кибербезопасности.
Хакерские группировки северян
В сети есть информация о нескольких северокорейских хакерских группировках. У каждой своя специализация, которая делает ее работу уникальной. Вот самые яркие хакерские группировки Северной Кореи:
Lazarus Group (также известная как Hidden Cobra). Это одна из самых известных групп, ассоциируемых с Северной Кореей. Они занимаются широким спектром кибератак, включая кражу данных, взлом банковских систем и криптовалютных бирж. Считается, что хакеры из группировки стоят за многочисленными крупными киберпреступлениями.
Kimsuky (также известная как Thallium). Группа специализируется на кибершпионаже, особенно направленном на южнокорейские правительственные организации, индивидуальных диссидентов и международные организации.
Andariel Group (подгруппа Lazarus). Они фокусируются на кибератаках, цель которых — конкретное получение финансовой выгоды. Они также известны атаками на южнокорейские банки и военные учреждения.
Bluenoroff (подгруппа Lazarus). Группа особенно активна в финансовом секторе. Ее участники проводят атаки с целью кражи средств для финансирования государственных программ Северной Кореи.
Топ-10 крупнейших взломов северокорейских хакеров
За годы своей работы местные группировки запомнились миру рядом громких взломов. Вот топ-10:
- Взлом Sony Pictures 2014 год. Хакеры Lazarus Group осуществили кибератаку, в результате которой были украдены и опубликованы личные данные сотрудников, внутренние письма и несколько неопубликованных фильмов.
- Кража миллионов у Бангладешского центрального банка (2016 год). Группа Lazarus пыталась украсть более $850 млн через систему SWIFT. Хакерам удалось успешно перевести $81 млн на Филиппины.
- WannaCry ransomware (2017 год). Этот вирус затронул сотни тысяч компьютеров в более чем 150 странах. Хотя прямые доказательства вины Lazarus отсутствуют, многие эксперты связывают эту масштабную атаку с Северной Кореей.
- Взлом криптовалютной биржи Coincheck (2018 год). Хакеры украли NEM на сумму примерно $534 млн. Это одна из крупнейших краж криптовалюты в истории.
- Атака на банк Banco de Chile (2018 год). Хакеры украли около $10 млн, используя вредоносное ПО для отвлечения внимания безопасников, в то время как основная атака происходила на другом уровне.
- Кража у криптовалютной биржи KuCoin (2020 год). Сумма ущерба составила около $275 млн. Хакеры использовали вирусы и фишинговые атаки для доступа к кошелькам биржи.
- Взлом Axie Infinity’s Ronin Network (2022 год). Хакеры из группы Lazarus украли более $600 млн в криптовалюте Ethereum и USDC через взлом игровой платформы.
- Кража $49 млн у криптобиржи Upbit (2019 год). Хакеры перевели 342 тыс. Ethereum с горячего кошелька биржи на свой адрес.
- Атака на Cosmos Bank (2018 год). Lazarus Group украла $13,5 млн через манипулирование банкоматами и SWIFT-переводами.
- Взлом южнокорейской криптобиржи Bithumb (2017 год). Ущерб оценивается в $7 млн. Хакеры получили доступ к активам в результате взлома данных пользователей платформы.
Как именно хакеры из КНДР крадут деньги
Северокорейские хакеры используют в работе комбинации различных техник. Вот некоторые из них:
- Фишинг. Хакеры рассылают жертвам электронные письма или сообщения, которые кажутся безопасными. На деле же они содержат вредоносные ссылки или вложения. Цель таких атак — кража учетных данных или установка вредоносного программного обеспечения на компьютеры жертв.
- Распространение вредоносного ПО. Северокорейские хакеры создают и распространяют различные типы вредоносных программ, включая троянские ПО, для кражи данных или шифрования файлов с последующим требованием выкупа.
- Атаки на уязвимости. Хакеры ищут уязвимости в программном обеспечении, чтобы использовать их для проникновения в систему. Метод может включать использование уязвимостей нулевого дня (zero-day vulnerabilities), о которых не знают разработчики и для которых еще не разработаны патчи.
- DDoS-атаки. Распределенные атаки типа «отказ в обслуживании» (DDoS) используются для перегрузки веб-сайтов или сетевых сервисов, направляя на них большое количество запросов с множества зараженных компьютеров (ботнетов).
- Социальная инженерия. Этот метод включает манипулирование людьми для получения конфиденциальной информации или их принуждения к совершению действий, которые могут нарушить безопасность.
- Подделка документов и сайтов. Создание поддельных документов и веб-сайтов для обмана пользователей и кражи данных.
- Внедрение через цепочку поставок. Атаки на поставщиков программного обеспечения или обновлений, чтобы через них распространить вредоносное ПО среди конечных пользователей.
- Криптоджекинг. Использование захваченных систем для майнинга криптовалют.
Где штаб-квартиры хакеров КНДР
Северокорейские хакеры работают из различных мест, в том числе из самой Северной Кореи, в которой, как мы выяснили ранее, все же есть доступ к интернету. Некоторые группировки расположены за границей. Вот как выглядит география северокорейских группировок:
- Северная Корея. Некоторые хакеры базируются непосредственно в Северной Корее, где они работают под строгим контролем государства в специализированных учреждениях. Эти локации обеспечены высокоскоростным интернетом, который, как известно, пролегает через китайские сети.
- Китай. Многие северокорейские хакеры работают из Китая, в частности из городов близ границы, таких как Шэньян и Далянь. Эти города служат удобной базой для хакеров из-за лучшего доступа к интернету и возможности скрывать свою деятельность за международным трафиком.
- Другие страны. Некоторые северокорейские хакеры работают из других стран, включая страны Юго-Восточной Азии, такие как Малайзия и Индия. Это позволяет им уклоняться от международного наблюдения и использовать глобальные сети для своих операций.
Вместо итогов
Северной Корее удается совмещать несовместимое. С одной стороны, местные власти пытаются изолировать своих граждан от внешнего мира, например, закрывая им доступ в интернет. С другой — северокорейские регуляторы крайне заинтересованы в том, чтобы не отставать от технического прогресса, так как они научились зарабатывать на нем силами хакерских группировок.
Власти КНДР отрицают свою причастность ко взломам, которые приписывают северокорейским группировкам. Поэтому никто не может утверждать на 100%, что именно хакеры дают стране «топливо» для финансирования военной программы. Однако сотни исследователей уверены в том, что именно Северная Корея создала самую мощную армию киберпреступников, против которой у участников криптосообщества нет оружия.