ООН: хакеры из КНДР «добывают» деньги на ракеты Ким Чен Ына. Как создавалась киберармия в стране, где у жителей нет выхода в интернет

Что произошло

Хакеры из Северной Кореи в 2022 году украли рекордный объем криптовалюты, говорится в отчете ООН, с которым ознакомился Reuters. К похожим выводам неделей ранее пришли американские блокчейн-аналитики из Chainalysis. По данным экспертов, взломщики состоят на службе у северокорейских властей, а заработанные деньги «отмываются» и идут на финансирование обороны страны и ядерной программы.

• Северная Корея «использует все более изощренные кибертехнологии для кражи криптовалюты и потенциально ценной информации, в том числе для своих оружейных программ», — сообщили комитету Совета Безопасности ООН независимые наблюдатели.
• В отчете ООН говорится, что хакеры из КНДР украли виртуальных активов на сумму $630 млн в 2022 году — больше, чем в любой другой год. По подсчетам Chainalysis, эта сумма существенно выше — $1,7 млрд. На оценки, вероятно, повлияло изменение курсов криптовалют относительно долларов США в последние месяцы, отмечают эксперты.
• Северную Корею ранее неоднократно обвиняли в проведении кибератак для финансирования своих ядерных и ракетных программ. «Не будет преувеличением сказать, что взлом криптовалюты — это значительная часть экономики страны», — отметили Chainalysis. В Сеуле аналитики ранее подсчитали, что в 2020 году криптоактивы, украденные в ходе хакерских атак, составили 8% от ВВП Северной Кореи.
• В КНДР, в свою очередь, неоднократно отрицали обвинения западных стран в кибератаках.

Детали

В отчете ООН утверждается, что большинство кибератак совершили три крупных хакерских группировки, состоящие на службе у северокорейских властей.

• Kimsuky, также известна под названиями Velvet Chollima и Black Banshee. Начиная с 2010 года члены этой группировки активно атаковали объекты на территории Южной Кореи, но позже расширили географию, рассказали эксперты из Group-IB. В ходе атак они используют целенаправленный фишинг (мошеннические рассылки), чтобы распространить вредоносное ПО, и другие схемы. Например, при атаке на турецкого производителя военной техники хакеры создали поддельную страницу авторизации в почтовом сервисе Outlook, которым пользовались сотрудники этой компании, чтобы получить их данные для входа в рабочую почту. Среди самых масштабных «операций» Kimsuky — взлом компьютерных систем южнокорейских АЭС в 2014 году, в ходе которого группировка украла конфиденциальные документы. Kimsuky предпринимали попытки атаковать и российские оборонные предприятия, отмечали в Group-IB.
• Lazarus Group. Группу обвиняют в причастности к атакам программы-вымогателя WannaCry; она появилась в 2017 году и распространялась крайне быстро — меньше чем за 2 часа заражение было обнаружено в 11 странах мира. WannaCry шифрует наиболее ценные файлы — например, базы данных, а потом блокирует компьютеры и требует выкуп за восстановление доступа к данным в биткоинах. О заражении компьютеров сообщали в том числе в российских «Мегафоне» и МВД. Кроме того, Lazarus обвиняют в причастности к взлому систем крупных банков и учетных записей клиентов, а также к кибератакам на Sony Pictures Entertainment в 2014 году. 
• Andariel распространяет распространяет вымогательские ПО по всему миру. В прошлом году эксперты «Лаборатории Касперского» обнаружили, что группировка атаковала крупные организации в США, Японии, Индии, Вьетнаме и России. «Andariel не фокусируется на каких-то определенных компаниях, для атакующих главное, чтобы у целевой организации было прочное финансовое положение», — отметили эксперты.

История вопроса

• Северная Корея зачастую не ассоциируется с хакерами и программистами. Доступ в интернет для населения страны крайне ограничен — как пишут в СМИ, воспользоваться выходом в Сеть там могут менее 1% населения. 
• Западные эксперты считают, что власти Северной Кореи создали и развивают армию хакеров, чтобы найти средства на поддержание жизни в стране и развитие военной программы в условиях западных санкций, международной изоляции и экономического кризиса.
• Для этого там отбирают талантливых школьников и обучают программированию, пишет New Yorker. Перебежчики из КНДР рассказывают, что молодых специалистов отправляют для подготовки в китайский город Шэньян, занимающий одно из первых мест по уровню высшего образования в КНР.
• По некоторым данным, внутри КНДР будущие бойцы киберфронта получают квалификацию в Политехническом университете имени Ким Чхэка, Университете имени Ким Ир Сена и Университете Моранбонга — эти учреждения отбирают самых способных студентов со всей страны и обучают их в течение шести лет.

• Считается, что поддерживаемые государством хакеры в КНДР работают с 2000-х годов. Впервые они получили широкую известность в 2014-м, когда Lazarus взломали сервера Sony в отместку за ироничный фильм «Интервью», в котором высмеивается лидер страны Ким Чен Ын. 
• С тех пор активность хакеров из Северной Кореи увеличивалась. Например, в 2019 году эксперты ООН заявили, что те украли около $2 млрд за все время своей деятельности и вложили эти средства в оборону страны.
• К 2021 году численность северокорейского элитного подразделения для ведения кибервойн, известного как «Бюро 121», составляла уже 6 тыс. хакеров, говорится в отчетах Минобороны США и Южной Кореи.

Контекст

• Северная Корея в 2022 году активно демонстрировала растущее военное могущество. Также ранее Ким Чен Ын заявил, что 2022-й станет годом «смертельной схватки». 
• В том же году Северная Корея запустила 70 баллистические ракет, что стало рекордом за время разработки страной этих вооружений.
• Также страна провозгласила себя ядерным государством и приняла закон, позволяющий нанести ядерный удар в случае появления «неизбежных» угроз.
• В Японии считают, что КНДР может провести ядерные испытания в ближайшее время. Страна не проводила их с 2017 года, когда добровольно приняла на себя обязательство не испытывать ядерное оружие в обмен на снятие западных санкций. Однако в 2020 году власти КНДР заявили, что больше не будут соблюдать односторонний мораторий, поскольку США свою часть соглашения не выполнили.
• В феврале этого года КНДР предупредила о жесткой реакции в ответ на любую военную провокацию США. «Ядерное оружие за ядерное оружие и тотальная конфронтация за тотальную конфронтацию!» — заявили в МИД страны.