Ынтернет: как КНДР взрастила самые эффективные кибервойска в мире. Часть 3

13.07.2018

Северная Корея обладает одной из самых эффективных и многочисленных киберармий в мире: в состав кибервойск входит более 6 тыс. человек - столько же, сколько и у США.

Ежегодно северокорейские хакеры приносят родному бюджету до 1 млрд долл. в год (для сравнения: ВВП КНДР в 2016 г. оценивали в 28 млрд долл.)

Киберсилы КНДР признаются экспертами из США и ЕС одной из самых эффективных и боеспособных киберармий в мире наравне с США, КНР, Россией и Израилем.

Как получилось, что страна с населением чуть больше 25 млн человек создала одни из самых эффективных войск? Об этом подробно рассказали к.т.н., гендиректор ООО ТСС Александр Атаманов и к.т.н., гендиректор «Лаборатории Цифровой Форензики» Александр Мамаев в докладе «Серверная Корея: Как КНДР создала самые эффективные кибервойска в мире», опубликованном на сайте Российского совета по международным делам.

В первой части мы рассказали об идеологических и коммерческих атаках Пхеньяна, во второй части - об атаках на критическую инфраструктуру. Теперь пришло время рассказать об интересе КНДР к криптовалютам, позволяющим эффективно обходить санкции.

Криптовалютный ажиотаж

Повышенный интерес властей КНДР к криптовалютам заслуживает отдельного внимания. За 9 лет с момента запуска биткоина криптовалюты из увлечения энтузиастов превратились в полноценный финансовый инструмент. В декабре 2017 г., на пике рынка, капитализация рынка криптовалют превысила 500 млрд долл. На данный момент на цифровых биржах обращается более 1100 криптовалют, количество активных пользователей виртуальных кошельков, хранящих криптовалюты, выросло с 2,9 млн в 2013г. до 5,8 млн человек в 2017 г.

Согласно докладу Кембриджского центра альтернативных финансов (CCAF), большинство обладателей криптовалют (более 60%) проживают в Северной Америке и Европе, еще 20% - в Азиатско-Тихоокеанском регионе. Многие страны официально признали криптовалюты финансовым инструментом или платежным средством: Европейский суд в 2015 г. отнес транзакции в биткоинах к платежным операциям с валютами, монетами и банкнотами, рекомендовав членам ЕС не облагать операции НДС; Япония признала биткоин законным платежным средством в марте 2016 г.; Китай классифицировал криптовалюту как товар; Минфин США объявил биткоин «децентрализованной виртуальной валютой», а Швейцария приравняла его к иностранным валютам, которые имеют право на оборот и прием к оплате в стране.

В октябре 2017 г. по итогам совещания с министром финансов Антоном Силуановым, помощником Андреем Белоусовым и председателем ЦБ Эльвирой Набиуллиной президент России Владимир Путин поручил к 1 июля 2018 г. прописать в российском законодательстве статус криптовалют, токенов, смарт-контрактов и технологии блокчейна; установить требования к майнерам, включая регистрацию указанных субъектов, а также определить порядок налогообложения; урегулировать публичное привлечение денежных средств и криптовалют путем размещения токенов (ICO) по аналогии с первичным размещением ценных бумаг (IPO). Пока что на поручении история и остановилась.

Но криптопроекты, как и другие компании, не всегда защищены от киберугроз. В разное время жертвами хакеров становились криптобиржи MtGox, Bitfinex и NEM, венчурный фонд The DAO, торговая площадка Coincheck, онлайн-рынок для майнинга криптовалют NiceHash.

Криптокошельки оказываются не более надежными: по оценкам High-Tech Bridge, более 90% популярных криптокошельков, представленных в Google Play, подвержены уязвимостям того или иного рода.

Технический комментарий: эксперты изучили как приложения с числом установок до 100 тыс., так и те, количество инсталляций которых превышает 500 тыс. Как оказалось, 93% программ с числом установок до 100 тыс. содержат по меньшей мере 3 уязвимости среднего уровня опасности, в 90% приложений из данной категории было обнаружено по меньшей мере 2 опасные проблемы. Также выяснилось, что 87% кошельков уязвимы к атакам «человек посередине», позволяющей перехват информации, 66% приложений содержат вшитые конфиденциальные данные (в том числе пароли и ключи API), 57% приложений используют функционал, подвергающий риску конфиденциальность пользователя, 80% приложений отправляют данные в незашифрованном виде по HTTP, 30% применяют ненадежное либо неэффективное шифрование, 77% приложений используют SSLv3 или TLS 1.0, бэкенды (API или web-сервисы) 44% приложений оказались уязвимы к атаке Poodle. 100% приложений не имеют защиты против реверс-инжиниринга.

По оценкам Group-IB, общий ущерб от целевых хакерских атак на криптоиндустрию в 2017 г. составил более 160 млн долл., доход от хакерских атак на криптобиржи варьируется от 1,5 до 72 млн долл., в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего 1,5 млн долл.

Неудивительно, что КНДР активно интересуется криптотемой: аналитики ТСС еще в 2013 г. идентифицировали на форумах, посвященных биткоину, IP-адреса, связанные с Северной Кореей.

Южная Корея – один из локомотивов криптоиндустрии. Именно местные проекты первыми пострадали от северокорейских хакеров. Например, Youbit в декабре 2017 г. «потеряла» 17% цифровых денег и вскоре обанкротилась. Тогда курс биткоина достиг 20 тыс. долл., в апреле мошенникам удалось похитить биткоинов на 36 млн долл. В Сеуле также подозревают Пхеньян в хищении 523 млн долл. у японского обменника Coincheck.

Жертвами хакеров становились и частные инвесторы. В 2017 г. хакеры из КНДР начали массово создавать в Facebook фиктивные профили привлекательных девушек, якобы интересующихся биткоином и работающих в криптоотрасли. В профилях фигурировали «Исследовательский центр NYU» и другие учреждения, не вызывающие подозрений. Хакеры заводили знакомства с мужчинами-пользователями криптобирж, затем отправляли файлы Microsoft Word, замаскированные под открытки или приглашения, заражая ПО пользователей и получая доступ к криптосредствам, рассказывали аналитики, знакомые с расследованием.

Еще один способ извлечения прибыли – заражение рабочих станций вирусом для майнинга криптовалют. В январе 2018 г. американская фирма AlienVault обнаружила фрагмент вредоносного ПО, устанавливающего приложение на компьютер жертвы, чтобы добыть валюту Monero.

Технический комментарий: в практике «Лаборатории Цифровой Форензики» было зарегистрировано как минимум два случая заражения компьютерных сетей вирусом для майнинга Monero. Анализ кода вредоносной программы позволяет утверждать, что в атаке использовались эксплойты, идентичные предыдущим атакам, приписываемым северокорейским хакерам.

Интерес КНДР к Monero не случаен. Биткоин остается самой популярной криптовалютой в мире. Одна из ключевых характеристик валюты, привлекающая криптоэнтузиастов, - «анонимность» транзакций: переводы в биткоинах, предположительно, невозможно отследить. Однако с недавних пор ситуация изменилась: в начале 2018 г. поставщик блокчейн-решений Bitfury Group представил набор инструментов Crystal, позволяющий сотрудникам правоохранительных органов и частным экспертам отслеживать пути подозрительных транзакций до конечного получателя или точки сбыта криптовалюты. Сервис устанавливает связь между предполагаемыми злоумышленниками, позволяет определять вероятность причастности отдельных адресов к незаконной деятельности. И это не единственное решение, представленное на рынке. Monero пока не так популярна, как биткоин, но ее уровень безопасности сегодня оценивается выше.

В следующей части исследования мы расскажем о том, как КНДР удалось легализовать производство и поставки программного обеспечения (и почему это грозит не только тотальной слежкой за пользователями, но и грандиозными кибератаками по всему миру).