«Тысячи друзей Ким Чен Ына». Как северокорейские хакеры грабили банк
В декабре 2021 года исполнилось 10 лет как Ким Чен Ын занимает пост верховного лидера Северной Кореи. За это время он не только сохранил и укрепил идеологию своих отца и деда, но и сформировал армию государственных хакеров, чьи киберпреступления финансируют его программу создания ядерного оружия и поддерживают экономику. По данным Агентства по кибербезопасности США, поддерживаемые государством хакеры КНДР нацелены на банки по всему миру, крадут секреты обороны, вымогают деньги, захватывают цифровую валюту и отмывают незаконно полученные доходы посредством обмена криптовалют. Режим Кима уже получил от киберпреступлений 2,3 миллиарда долларов и не намерен на этом останавливаться. По данным Банка Кореи в Сеуле, деньги от киберпреступлений составили 8 % от всех доходов Северной Кореи в 2020 году. Была попытка взлома Pfizer Inc. для получения данных о вакцине против Covid. Южная Корея сообщила, что количество попыток взлома в первой половине 2021 года со стороны её соседа увеличилось на 9 % по сравнению со второй половиной 2020 года.
«Интервью» с Ким Чен Ыном
Киберпреступления стали спасательным кругом для испытывающей трудности северокорейской экономики, которая заблокирована санкциями. Также, закрытие границ из-за Covid-19 приостановило ту небольшую легальную торговлю, которую имела Северная Корея, и привело к крупнейшему спаду за два десятилетия. Ким не проявил особого интереса к возвращению к переговорам, которые могут привести к отмене санкций, если Северная Корея свернёт свою программу ядерных вооружений.
Но как одна из самых бедных и изолированных стран мира подготовила команду элитных хакеров? Тот факт, что Северная Корея будет главным подозреваемым в деле о киберпреступлении, для некоторых может стать неожиданностью. Это одна из беднейших стран мира, в значительной степени оторванная от мирового сообщества — технологически, экономически и почти во всех других отношениях.
В индустрии кибербезопасности северокорейские хакеры известны как Lazarus Group. И как бы иронично это не было, всё началось с голливудского фильма.
В 2013 году Sony Pictures объявила о создании нового фильма с участием Сета Рогена и Джеймса Франко, действие которого будет происходить в Северной Корее. По сюжету фильм рассказывает о ведущем ток-шоу, которого играет Франко, и его продюсере, которого играет Роген. Они едут в Северную Корею, чтобы взять интервью у Ким Чен Ына, и ЦРУ убеждает их убить его.
Северная Корея пригрозила ответными действиями против США, если Sony Pictures Entertainment выпустит фильм, а в ноябре 2014 года боссам компании было отправлено электронное письмо от хакеров, называющих себя Хранителями мира, с угрозой нанести «большой ущерб».
После этого через три дня хакеры выполнили свои угрозы. Зарплаты руководителей, конфиденциальная внутренняя электронная почта и сведения о ещё не выпущенных фильмах просочились в сеть, и деятельность компании приостановилась, поскольку её компьютеры были выведены из строя хакерскими вирусами. Сотрудники не могли использовать пропуска, чтобы войти в свои офисы или использовать принтеры. Полных шесть недель кофейня на территории MGM, штаб-квартиры Sony Pictures Entertainment, не могла принимать кредитные карты.
Первоначально Sony настаивала выпустить «Интервью» в обычном порядке, но планы были поспешно отменены, когда хакеры пригрозили уже физической расправой. Крупные сети кинотеатров заявили, что не будут показывать фильм, поэтому он был выпущен только в цифровом формате и в некоторых независимых кинотеатрах.
Но атака на Sony, как оказалось, была отработкой для ещё более амбициозного взлома — ограбления банка в Бангладеш.
Принтер, ФРС и казино
В 2016 году северокорейские хакеры осуществили рейд на 1 миллиард долларов в национальном банке Бангладеш и почти добились успеха — только по счастливой случайности все переводы, кроме 81 миллиона долларов, были остановлены.
Банк Бангладеш — центральный банк страны, отвечающий за надзор за драгоценными валютными резервами страны. Для работников банка всё началось 5-февраля 2016 года с неисправного принтера. Он находился в строго охраняемом помещении на 10-м этаже главного офиса банка в Дакке, столице Бангладеш. Но принтер был не из простых. Его работа заключалась в том, чтобы распечатывать записи о многомиллионных переводах, входящих и исходящих из банка.
Когда сотрудники банка перезагрузили неисправный принтер, они получили «очень тревожные срочные сообщения» от Федерального резервного банка в Нью-Йорке, где Бангладеш держит счёт в долларах США. Федеральный резерв получил инструкции, по всей видимости, от банка Бангладеш, опустошить весь счёт — около миллиарда долларов. Бангладешцы пытались связаться с ФРС для получения разъяснений, но благодаря очень тщательному расчёту времени хакеров им не удалось дозвониться.
Взлом начался в 20:00 по бангладешскому времени в четверг, 4-февраля. Но в Нью-Йорке было утро четверга, что дало ФРС достаточно времени, чтобы невольно выполнить намерения хакеров, пока Бангладеш спал. На следующий день, в пятницу, начались выходные в Бангладеш, которые длятся с пятницы по субботу. Итак, штаб-квартира банка в Дакке начала два выходных дня. А когда в субботу бангладешцы начали раскрывать кражу, уже в Нью-Йорке были выходные.
У хакеров был ещё один козырь в рукаве, чтобы выиграть больше времени. После того как они перевели деньги из ФРС, им нужно было их куда-то отправить. Поэтому они перевели его на счета, которые открыли в Маниле, столице Филиппин. А 8-февраля 2016 года, в понедельник, был первым днём Лунного Нового года, национального праздника во многих странах Азии. Используя разницу во времени между Бангладеш, Нью-Йорком и Манилой, хакеры устроили чёткую пятидневную операцию, чтобы вывести деньги.
У них было достаточно времени, чтобы спланировать все это, потому что, как выяснилось, Lazarus Group скрывалась в компьютерных системах Бангладешского банка в течение года. В январе 2015 года нескольким сотрудникам Бангладешского банка было отправлено безобидное на вид электронное письмо. Оно пришло от соискателя работы, назвавшегося Раселом Ахламом. Его вежливый запрос включал приглашение загрузить его резюме и сопроводительное письмо с веб-сайта. На самом деле Раселя не существовало, это было лишь прикрытием, которое использовала Lazarus Group. Как минимум один человек внутри банка попался на эту уловку, скачал документы и заразился спрятанными внутри вирусами. Оказавшись внутри систем банка, Lazarus Group начала незаметно переходить от компьютера к компьютеру, прокладывая себе путь к цифровым хранилищам.
В мае 2015 года, через несколько месяцев после того, как хакеры получили доступ к системам Банка Бангладеш, сообщники хакеров открыли четыре аккаунта в банке RCBC в Маниле. Оглядываясь назад, можно заметить несколько подозрительных признаков: водительские права, использованные для создания учётных записей, были поддельными, и все заявители утверждали, что у них одинаковая должность и зарплата, несмотря на то, что они работали в разных компаниях. Но, похоже, никто этого не заметил (или закрыл на это глаза). В течение нескольких месяцев учётные записи бездействовали, а их первоначальный депозит в размере 500 долларов оставался нетронутым, в то время как хакеры работали над другими аспектами плана.
Им предстояло преодолеть одно последнее препятствие — принтер на 10-м этаже. Бангладешский банк создал систему бумажных резервных копий для регистрации всех переводов, произведенных со своих счетов. Эта запись транзакций могла мгновенно раскрыть работу хакеров. И поэтому хакеры взломали программное обеспечение, контролирующее принтер, и вывели его из строя.
В 20:36 четверга, 4-февраля 2016 года, хакеры начали осуществлять свои переводы — всего 35 переводов на общую сумму 951 миллион долларов, что составляет почти всё содержимое счета Банка Бангладеш в ФРС Нью-Йорка. Воры получили доступ к системе SWIFT бангладешского банка. Это система, используется тысячами банков по всему миру для координации переводов крупных сумм между собой. Хакеры не воспользовались уязвимостью в SWIFT — им это было не нужно — так что с точки зрения программного обеспечения SWIFT хакеры выглядели как обычные банковские служащие.
Когда Банк Бангладеш обнаружил пропажу денег в течение выходных, они призвали на помощь компанию World Informatix Cyber Security. Вскоре должностным лицам бангладешского банка стало ясно, что транзакции нельзя просто отменить. Часть денег уже поступила на Филиппины, где власти заявили им, что потребуется постановление суда, чтобы начать процесс их возврата. Судебные постановления являются общедоступными документами, поэтому когда Банк Бангладеш наконец подал иск в конце февраля, история стала достоянием общественности во всем мире. Последствия для управляющего банка были мгновенными. Его отправили в отставку.
Воры были на пути к получению огромной зарплаты, но, как и в голливудских фильмах об ограблении, их выдала одна маленькая деталь. И из-за этой детали большая часть переводов была предотвращена. Отделение банка RCBC в Маниле, в которое хакеры пытались перевести 951 млн. долларов, находилось на улице Jupiter-street. В Маниле есть сотни банков, которыми могли бы воспользоваться хакеры, но они выбрали именно этот — и это решение стоило им сотни миллионов долларов.
То самое отделение банка на Jupiter-street
Транзакции были задержаны в ФРС, потому что адрес, использованный в одном из заказов, содержал слово «Jupiter», которое также является названием иранского корабля, находящегося под санкциями. Одного упоминания слова «Jupiter» было достаточно, чтобы в автоматизированных компьютерных системах ФРС зазвенел тревожный звоночек. Платежи были пересмотрены, и большинство из них было остановлено. Но не все. Пять транзакций на сумму 101 млн долларов преодолели этот барьер.
Из них 20 миллионов долларов были переведены в шри-ланкийскую благотворительную организацию под названием Shalika Foundation, которую сообщники хакеров использовали в качестве одного из каналов передачи украденных денег. Но и здесь крошечная деталь сорвала планы хакеров. Была допущена опечатка в слове «Foundation» (Fandation). Внимательный сотрудник банка заметил орфографическую ошибку, и транзакция была отменена. В итоге 81 миллион долларов прошли транзакцию. Не то, к чему стремились хакеры, но потерянные деньги всё равно стали огромным ударом для Бангладеш, страны, где каждый пятый человек живет в нищете.
К тому времени, когда Банк Бангладеш начал свои попытки по возвращению денег, хакеры уже предприняли шаги, чтобы гарантировать, что они останутся вне досягаемости. В пятницу, 5-февраля, четыре счёта, открытые в отделении RCBC на Юпитер-стрит, ожили. Деньги переводились между счетами, отправлялись в фирму по обмену валюты, конвертировались в местную валюту и повторно депонировались в банке. Часть из них была снята наличными. Для экспертов по отмыванию денег такое поведение имеет смысл.
Тем не менее следователи все ещё могли проследить путь денег. Чтобы сделать его полностью не отслеживаемым, он должен был покинуть банковскую систему.
Манила является большой туристической точкой для любителей азартных игр из материкового Китая, где подобное времяпрепровождение является незаконным, а Solaire является одним из самых элегантных казино в Азии. В нем 400 игровых столов и 2000 игровых автоматов. Именно здесь, в блестящем казино Манилы, воры Бангладешского банка начали следующий этап своей операции по отмыванию денег. Из 81 миллиона долларов, прошедших через банк RCBC, 50 миллионов долларов были размещены на счетах в Solaire и другом казино — Midas. Что случилось с остальными 31 миллионом долларов? Согласно комитету Сената Филиппин, созданному для расследования, они были выплачены китайцу по имени Сюй Вейкан, который, как полагают, улетел из города на частном самолёте, и с тех пор о нём ничего не было слышно.
Идея использования казино заключалась в том, чтобы разорвать цепочку отслеживаемости. После того как украденные деньги были конвертированы в фишки казино, разыграны за столами и обменены обратно на наличные, следователям было бы практически невозможно отследить их.
Казино Solaire
Но как насчёт рисков? Разве воры не рискуют потерять добычу за столами казино? Нисколько. Во-первых, вместо того, чтобы играть в публичных частях казино, воры бронировали VIP-комнаты и заполняли их своими сообщниками; это дало им контроль над тем, как разыгрывались деньги. Во-вторых, на украденные деньги они играли в баккару — популярную в Азии карточную игру. Есть только три исхода, на которые можно сделать ставку, и относительно опытный игрок может вернуть 90 % или более своей ставки (отличный результат для отмывателей денег, которые часто получают гораздо меньшую прибыль). Преступники теперь могли отмывать украденные средства и рассчитывать на здоровую прибыль, но для этого требовалось тщательное управление игроками и их ставками, а это требовало времени. Неделями игроки сидели в казино Манилы, отмывая деньги.
Бангладешский банк, тем временем, наверстывал упущенное. Его официальные лица посетили Манилу и установили денежный след. Но когда дело дошло до казино, они уперлись в кирпичную стену. В то время игорные дома на Филиппинах не попадали под действие правил по отмыванию денег. Что касается казино, то наличные были внесены законными игроками. Казино Solaire заявляет, что не имело дело с украденными средствами. Чиновникам банка удалось вернуть 16 миллионов долларов украденных денег у одного из игроков, организовавших азартные игры в казино Midas. Ему было предъявлено обвинение, но позже обвинения были сняты. Однако остальные деньги — 34 миллиона долларов — потеряны.
Поскольку деньги, украденные из банка Бангладеш, отмывались через Филиппины, начали появляться многочисленные связи с Макао. Несколько человек, организовавших азартные игры в Solaire, были прослежены до Макао. Следователи считают, что большая часть украденных денег оказалась на этой крошечной китайской территории, а затем была отправлена обратно в Северную Корею.
Макао — анклав Китая, по конституции схожий с Гонконгом. Как и Филиппины, это популярное место для азартных игр и местонахождение одних из самых престижных казино в мире. Страна также имеет давние связи с Северной Кореей. Именно здесь в начале 2000-х годов северокорейские чиновники были уличены в отмывании поддельных 100-долларовых банкнот чрезвычайно высокого качества — так называемых «супердолларов», — которые, как утверждают власти США, были напечатаны в Северной Корее. Местный банк, через который они их отмывали, в итоге попал в санкционный список США из-за его связей с режимом Пхеньяна.
Также в Макао обучалась северокорейская шпионка, прежде чем она взорвала самолет Korean Air в 1987 году, в результате чего погибло 115 человек. И именно в Макао сводный брат Ким Чен Ына, Ким Чен Нам, жил в изгнании, прежде чем был убит в Малайзии.
«Заветный меч»
В 1990 году Ким Чен Ир решает включить кибернетику в стратегию страны, создав Корейский компьютерный центр. Он становится сердцем ИТ-операций страны. Когда в 2010 году Ким Чен Ын — третий сын Ким Чен Ира — был объявлен его прямым наследником, режим начал продвигать образ будущего лидера, которому только 20 лет, как гения науки и техники. Это была кампания, направленная на то, чтобы завоевать лояльность молодого поколения и вдохновить их стать его воинами, используя эти новые инструменты.
Молодой Ким, пришедший к власти в конце 2011 года после смерти своего отца, назвал ядерное оружие «заветным мечом», и ему нужен был источник его финансирования — задача, осложнявшаяся всё более жесткими санкциями, введенными Советом Безопасности ООН после первых испытаний в стране ядерного оружия и баллистической ракеты большой дальности в 2006 году. И тогда одним из главных приоритетов стало наращивание потенциала кибервойны. С тех пор операции Главного разведывательного управления Северной Кореи значительно выросли. Согласно оценкам в несекретных отчетах по обороне США и Южной Кореи, в настоящее время его подразделение по руководству кибервойной, известное также как Бюро 121, насчитывает более 6000 человек.
Однако охват науки и технологий не распространился на то, чтобы позволить северокорейцам свободно подключаться к глобальному Интернету — это позволило бы слишком многим гражданам увидеть, как выглядит мир за пределами их границ, что противоречит официальной «мифологии» КНДР. Поэтому для обучения своих кибервоинов режим отправляет самых талантливых математиков и программистов за границу, в основном, в Китай. Там они узнают, как остальной мир использует компьютеры и Интернет: чтобы делать покупки, играть в азартные игры, общаться в сети и развлекаться. Именно там они превращаются из математических гениев в хакеров.
Каким бы искусным ни был взлом бангладешского банка, насколько пхеньянский режим остался доволен конечным результатом? В конце концов, заговор начинался как ограбление на миллиард долларов, а конечная добыча составила лишь десятки миллионов. Сотни миллионов долларов были потеряны, когда воры проникли в глобальную банковскую систему, и ещё десятки миллионов, расплачиваясь с посредниками. В будущем, Северная Корея найдет способ избежать такого расточительства.
В мае 2017 года вспышка программы-вымогателя WannaCry распространилась со скоростью лесного пожара, зашифровав файлы жертв и взимая с них выкуп в несколько сотен долларов в виде криптовалют за получение их данных обратно. В Великобритании особенно сильно пострадала Национальная служба здравоохранения; пострадали отделения неотложной помощи, и пришлось перенести срочные онкологические приёмы.
Когда следователи из Национального агентства по борьбе с преступностью Великобритании изучили код, они обнаружили поразительное сходство с вирусами, которые использовались для взлома бангладешского банка и Sony Pictures Entertainment. Это показывает, что киберармия Северной Кореи теперь приняла криптовалюту — жизненно важный шаг вперёд, поскольку эта высокотехнологичная новая форма денег в значительной степени обходит традиционную банковскую систему — и поэтому может избежать дорогостоящих накладных расходов, таких как выплаты посредникам.
WannaCry была только началом. В последующие годы хакеры Северной Кореи нацелились на биржи, где криптовалюты обмениваются на традиционные валюты. В сумме кражи с этих бирж превышают 2 миллиарда долларов. Также КНДР развернула вредоносное ПО под названием AppleJeus, которое представляет собой платформу для торговли криптовалютой, чтобы красть средства у людей, которые пытаются ею воспользоваться. С 2018 года различные версии вредоносной программы использовались для нацеливания более чем на 30 стран. По данным следователей ООН и США, с 2019 по ноябрь 2020 года хакеры AppleJeus украли виртуальные активы на сумму 316 миллиона долларов. Для сравнения, экспорт угля из Северной Кореи ограничен 400 миллионами долларов в год в условиях глобальных санкций.
Правительство США преследует предполагаемых северокорейских агентов, подавая уголовные иски против людей, которые незаконно получили конфиденциальные данные от Sony Pictures Entertainment Inc. в 2014 году и украли 81 миллион долларов из центрального банка Бангладеш в 2016 году (Северная Корея отрицает своё любое участие в этих взломах.)
Если обвинения против Северной Кореи верны, то похоже, что многие недооценили технические возможности страны и опасность, которую она представляет. Поскольку хакеры Северной Кореи действуют под эгидой изолированного государства и получают вознаграждение дома за кражи за границей, мало что можно реально сделать для наказания виновных. Ответные удары по веб-инфраструктуре страны ограничены, поскольку в Северной Корее мало подключённых устройств, а её сеть передачи данных по мобильной связи отрезана от остального мира. Это рисует тревожную картину динамики силы в нашем всё более взаимосвязанном мире и нашей уязвимости перед тем, что эксперты по безопасности называют «асимметричной угрозой» — способностью меньшего противника применять силу новыми способами, которые делают его гораздо большей угрозой.
https://habr.com/ru/companies/timeweb/articles/599435/