Преступная сеть. Как хакинг вышел на мировой уровень: от вирусов до вмешательства в выборы - Джефф Уайт

основном сбором разведданных и обеспечением стратегического преимущества, то киберсолдаты КНДР, по свидетельству ученых, принципиально от них отличаются: они занимаются хакингом ради денег.

Репутация Lazarus Group росла, и специалисты по технологической безопасности начали замечать, что самые громкие атаки группы мотивированы необходимостью пополнять правительственную казну. Есть веские причины полагать, что предположение экспертов верно: несмотря на некоторую разрядку в отношениях с США и Республикой Кореей, текущий северокорейский режим был обложен строгими санкциями, особенно после активизации испытаний реактивного вооружения при Ким Чен Ыне, сыне и преемнике Ким Ир Сена на посту верховного руководителя КНДР.

Среди прочих санкций в марте 2013 года Совет безопасности ООН принял Резолюцию 2094, запрещающую КНДР совершать переводы в наличных и серьезно ограничивающую связи республики с международной банковской системой[69]. Голодающая страна теперь лишилась и доступа к финансовым услугам.

Ранее мы увидели, как российские киберпреступные банды выкачивали сотни миллионов долларов из систем онлайн-банкинга. Взяв с них пример, северокорейские хакеры, согласно показаниям, данным следователям ООН, занялись повышением доходов страны в условиях санкций[70]. При этом они не стали размениваться по пустякам, воруя средства с кредитных карт и личных счетов пользователей. Вместо этого, по данным ФБР, они вышли на новый пугающий уровень и принялись взламывать сами банки.

Чтобы пойти на такую дерзость, КНДР необходимо было решить важнейшую проблему: эта страна практически отрезала себя от мира – как в цифровом, так и в дипломатическом отношении. Это помогает ограничивать внешнее влияние на граждан, но вместе с тем делает хакеров уязвимыми для слежки. Доступ в интернет в КНДР предоставляет местная компания Star, которая несколько лет функционирует как совместное предприятие с тайской фирмой Loxley Pacific (хотя последняя, как сообщается, разорвала сотрудничество в начале января 2018 года)[71]. Star, в свою очередь, получает доступ у китайской компании. В совокупности эти провайдеры предлагают чрезвычайно ограниченный набор соединений, который лишь приоткрывает для страны ворота в интернет. Если такое государство, как Великобритания, может иметь миллионы IP-адресов, связывающих ее компьютеры со внешним миром, то в КНДР их количество едва превышает тысячу. При столь малом числе соединений страна оказывается крайне уязвимой для слежки. Зарубежные спецслужбы способны быстро распознавать любые попытки проводить хакерские операции с территории КНДР.

В итоге, по данным ФБР, страна решила вновь воспользоваться поддержкой своего давнего союзника – Китая. Американцы утверждают, что КНДР управляет в Китае как минимум одной подставной компанией, которая называется Chosun Expo и находится в расположенном прямо возле границы с КНДР городе Далянь[72]. Изначально она была совместным предприятием Северной и Южной Кореи и, похоже, в разное время занималась целым рядом вещей. В архивах на сайте компании можно изучить ее поразительную корпоративную историю – от продажи грибов и ваз до предоставления специализированных услуг в сфере компьютерного программирования. Мои попытки связаться с текущими владельцами сайта не принесли результатов.

В прошлом работа этого предприятия считалась важным упражнением в наведении мостов между враждующими странами, но в какой-то момент Республика Корея вышла из бизнеса. Теперь, по данным ФБР, Chosun Expo используется в качестве прикрытия для северокорейской кибердеятельности, которую в ФБР связывают с хакерским подразделением Разведывательного управления Генерального штаба КНА. В качестве аргумента ФБР приводит показания свидетеля, «непосредственно взаимодействовавшего с Chosun Expo» и сообщившего, что часть сотрудников, «которых отправляли в командировку в Китай, оставляла себе лишь совсем малую часть жалованья, а остальное возвращала правительству КНДР»[73]. Кроме того, американские правоохранительные органы утверждают, что сайт Chosun Expo зарегистрирован на адрес электронной почты, на который впоследствии заходили с северокорейского IP-адреса.

На архивной версии сайта Chosun Expo, датированной 2015 годом, сообщается, что компания базируется в КНДР. Но в США настаивают, что свои налеты на святая святых западного финансового мира северокорейские хакеры совершали именно из Китая.

Приближалось высокотехнологичное ограбление в четырех актах, но, прежде чем взяться за банки, хакеры нанесли удар по легенде американской мягкой силы: Голливуду.

Генеральная репетиция

Актерам Сету Рогену и Джеймсу Франко хорошо удаются легкомысленные комедии, и их фильм «Интервью», выпущенный в 2014 году компанией Sony Pictures Entertainment, не стал исключением. По сюжету два бестолковых журналиста отправляются в КНДР, чтобы взять эксклюзивное интервью у высшего руководителя страны Ким Чен Ына, но в итоге интервью перерастает в его несуразное убийство.

Предполагалось, что фильм выйдет на Рождество, но уже с июня в кинотеатрах крутились трейлеры, в которых, как и ожидалось, высмеивался северокорейский лидер. Картина заканчивается натуралистичной сгенерированной на компьютере сценой, в которой киношный Ким Чен Ын умирает в горящем вертолете. Многие не увидели в этих трейлерах ничего необычного: в конце концов, все Кимы и их причуды годами оставались объектами глумления. Но из-за этого фильма КНДР мгновенно ощетинилась.

Двадцать седьмого июня посол КНДР в ООН отправил в международную организацию письмо, в котором заявил, что фильм вызвал в стране «огромную ненависть и гнев». «Люди, оклеветавшие наше верховное руководство и совершившие враждебные действия в адрес КНДР, не уйдут от сурового наказания, положенного по закону, где бы в мире они ни находились», – говорилось в нем. Заканчивалось письмо угрозой применения «суровых и беспощадных ответных мер»[74]. По данным ФБР, официальными письмами дело не ограничилось. В начале сентября на страницах двух актеров «Интервью» в Facebook[75] появились привлекающие внимание комментарии, в которых, как отмечает ФБР, предлагались «обнаженные фото многих звезд первой величины»[76]. В этих комментариях также содержалась ссылка, при переходе по которой на компьютер устанавливалась заставка с фотографиями женщины-модели. На самом деле это было прикрытие – программа пыталась заразить компьютер вирусом.

По данным ФБР, комментарии разместил пользователь Facebook Дэвид Эндосон, который зашел на сайт с помощью адреса электронной почты, связанного с подставной северокорейской компанией Chosun Expo, находящейся в Китае. Складывалось впечатление, что КНДР пошла в наступление на звезд, которые насмехались над высшим руководителем страны, и попыталась взломать их учетные записи, разместив соблазнительные ссылки у них на страницах. Если так и было, это демонстрирует на удивление глубокое понимание поп-культуры для страны, которая, как предполагается, наглухо закрыта от внешнего мира. Всего двумя неделями ранее обнаженные фотографии звезд действительно просочились в интернет. Своевременно размещенная ссылка на свежую утечку интимных снимков вполне могла оказаться достаточно привлекательной, чтобы голливудский актер решил по ней перейти.

Непонятно, знали ли в Sony об этих сообщениях и письме в ООН, но, даже если и да, кажется маловероятным, чтобы компания пошла на попятный и отменила выход фильма. Позже выяснилось, что в Sony прекрасно понимали, что