Апрельское заявление президента РК Пак Кын Хе о том что РК в ближайшее время подготовит программу реагирования на угрозу кибертерроризма, заставляет нас снова обратить внимание на тему «северокорейских хакеров», на которых в Южной Корее традиционно списывают любые кибератаки или проблемы из-за несоблюдения техники безопасности.
И хотя нам скорее вспоминается недавний скандал с Хиллари Клинтон, которая пользовалась неслужебным «мылом», или исследование американского журналиста Ф. Каплана «Темная территория: Секретная история кибервойны» (Dark Territory: The Secret History of Cyber War), раскрывающее некоторые подробности атаки на компанию Sony Pictures Entertainment в 2014 году (внутренняя сеть компании защищалась простейшими паролями 12345, ABCDE и password), поговорим о том, что еще пытались приписать хакерам КНДР и как в РК с этим борются.
Первый большой вброс на хакерскую тему был еще осенью: тогда разведчики рассказали, что в начале октября 2015 г. хакеры КНДР пытались взломать компьютеры 30-40 депутатов южнокорейского парламента и их помощников, а также сотрудников администрации президента, министерства обороны, МИД, министерства объединения. Спецслужбы РК предотвратили (по их собственным заявлениям) кибератаку, однако частные электронные почтовые ящики некоторых депутатов и их помощников оказались незащищёнными. Среди депутатов, у кого взломали – глава Комитета по дипломатии и объединению На Гён Вон. Была украдена информация, имеющая отношение к регулярным парламентским проверкам деятельности госструктур, а также выстраиванию политики Сеула в отношении КНР. Действовали хакеры, как обычно, с территории Китая, но политический нюх разведчиков всегда отличает китайских хакеров от северокорейских. И вправду, зачем китайским хакерам данные о южнокорейско-китайских отношениях?
Зато общественности рассказали, что на службе КНДР находятся 58 000 хакеров и троллей; 1100 из них — профессиональные хакеры, находятся на территории Китая и Малайзии, зарабатывают в месяц до 3000 долларов, но из них 2000 должны отправлять в госказну, а на остальное живут и откладывают деньги.
Северокорейский след обнаружился и в атаке на компьютеры сотрудников корпорации «Сеульское метро» в июле 2015 г. — так сообщил в ходе парламентской проверки депутат Ха Тхэ Гён от правящей партии Сэнури. Тогда был обнаружен несанкционированный доступ на 213 компьютеров, а рабочих компьютеров заразили вирусом. И хотя утечка информации происходила в течение нескольких месяцев, после обнаружения атаки все 4 тыс. рабочих компьютеров корпорации получили дополнительную защиту. Ныне же выясняется идентичность методов хакерских атак на серверы метро и предшествующие объекты. Это, безусловно, открытие, согласно которому DDOS-атака является не широко распространенным хакерским приемом, а исключительным методом военной разведки КНДР.
Вредоносные коды обнаружились и в компьютерах ведущих южнокорейских оборонных компаний, в том числе в десяти компьютерах отдела по связям с общественностью ведущей компании оборонной сферы «LIG Nex 1″. Данная компания занимается разработкой военной техники и оружия для самых разных направлений, включая современные ракеты и истребители. Военная контрразведка начала расследование инцидента, и пока известно, что занесены были коды с электронными письмами, озаглавленными на корейском как «Об оборонной выставке ADEX». Данная выставка недавно проходила в окрестностях Сеула, а южнокорейские производители, включая «LIG Nex 1″, принимали в ней самое активное участие. «Мы пока не знаем, откуда рассылались подобные письма. Мы настоятельно рекомендовали сотрудникам компаний не открывать никаких подозрительных писем, полученных по каналам электронной почты», — отметили в военном ведомстве.
19 февраля 2016 г. Руководитель парламентского комитета по разведке, депутат Ли Чхоль У, «назначил» новую кибератаку на март-апрель: дескать, каждый раз через какое-то время после ядерного испытания такие атаки случаются, а раз так, то понятно, кто их организует. Ранее на той же неделе полиция объявила, что огромный массив спама на адреса общественных организаций РК шлют именно северокорейские хакеры.
8 марта 2016 г. представители силовых министерств и ведомств провели экстренное совещание в связи с тем, что северокорейские хакеры совершили кибератаку на смартфоны высокопоставленных южнокорейских чиновников, ответственных за государственную безопасность. По данным Национальной службы разведки, в конце февраля-начале марта этого года со стороны Севера имели место примерно 50 кибератак. В десяти случаях хакерам удалось успешно внедрить вредоносный код с помощью текстовых сообщений. Как сообщили представители Национальной службы разведки, указанный код содержал функции, позволяющие записывать голосовые сообщения и завладевать файлами, взламывать текстовые сообщения, записи звонков и телефонную книжку. Кибератаке подверглась также одна из южнокорейских компаний по созданию и поставке программного обеспечения для безопасности интернет-банкинга.
Подсуетились и некоторые перебежчики. Двое таковых, которые, как оказалось, служили в киберкомандовании КНДР (неважно, что это ранее не всплывало), рассказали, что в основном северокорейские хакеры вербуются из выпускников Пхеньянского университета науки и технологий, открытого в 2009 году в рамках межкорейского сотрудничества. Более того, иные учебные заведения национальной обороны или общественной безопасности направляют своих студентов туда на стажировку. А значит, это сотрудничество надо немедленно прекратить.
Пхеньян причастность к хакерским атакам отверг. В статье, опубликованной в воскресенье газетой «Нодон синмун», главном печатном органе правящей ТПК, выдвинутые Сеулом обвинения называются частью обширной пропагандистской кампании, «используемой в политических целях и нацеленной на обострение межкорейских отношений».
Однако комитет финансового контроля РК все равно приступил к проверке уровня безопасности компьютерных сетей 16-ти банковских и страховых компаний. Ряд финансовых организаций РК также приняли дополнительные меры для укрепления кибербезопасности: банки Ури и Синхан создали специальные группы по отслеживанию возможных кибератак и усилили систему проверок безопасности. Контроль систем безопасности решили усилить и другие банки, а также компании, занятые на рынке ценных бумаг.
А между тем оппозиция периодически поднимает вопрос о незаконной прослушке своих депутатов, а оператор популярного мобильного мессенджера KakaoTalk таки оказался вынужден предоставить прокуратуре доступ к сообщениям, которыми обмениваются пользователи, а также к их базам данных. Данное решение было принято спустя год после того, как прокуратура получила отказ в ответ на запрос о предоставлении доступа к сообщениям подозреваемого в совершении преступления под предлогом нарушения политики конфиденциальности. Руководители корпорации Kakao опасались, что в случае передачи прокуратуре содержания общения в групповом чате, который включает подозреваемого в преступлении, будет нарушена конфиденциальность других участников. Прокуратуре поставлено условие, что при передаче ей записей сообщений подозреваемого другие участники чата останутся анонимными. Если пользователи опасаются раскрытия их персональной информации, они могут выбрать «режим приватности» на основе технологии шифрования. При этом сообщение доступно только на смартфоне конкретного пользователя.
Заметим, что это вторая попытка получить доступ к сообщениям после скандала, когда выяснилось, что НРС пыталась закупить программное обеспечение, чтобы иметь возможность читать содержимое переписки по мессенджеру KakaoTalk и прослушивать разговоры. После этого, как говорят, власти КНДР запретили пользоваться южнокорейскими смартфонами.