Хакерские группы, подконтрольные, как утверждают, правительству Северной Кореи, оказались в центре внимания из-за атак на криптокомпании. Обвинения выдвинула полиция Японии. Одновременно с этим появились заявления о том, что украденную криптовалюту КНДР использует для финансирования ядерных исследований.
На днях Национальное полицейское агентство Японии (NPA) и Агентство финансовых услуг (FSA) сообщили, что несколько японских криптобирж пострадали от кибератак, совершённых хакерской группой Lazarus, которая, как считается, находится под непосредственным контролем правительства Северной Кореи. Утверждают, что она связана с Главным разведывательным бюро КНДР, государственной группой внешней разведки, но подтверждений этой информации нет.
Согласно сообщению правительственных структур Японии, группа организовала фишинговые атаки: выдавая себя за руководителей компаний, хакеры заставили сотрудников перейти по ссылкам и загрузить вредоносное программное обеспечение (ПО). В результате компьютеры служащих фирм были заражены. Насколько серьёзно в финансовом отношении пострадали атакованные организации, японская полиция не сообщила. Но власти призвали граждан установить антивирусные программы, не использовать один и тот же пароль на нескольких устройствах или сервисах и не открывать прикреплённые к электронным письмам файлы.
Япония не первая страна, пострадавшая от фишинга Lazarus.
В ходе операции «Работа мечты» группа создала поддельные профили в профессиональной социальной сети LinkedIn. С их помощью взломщики связывались с сотрудниками компаний, рассылали предложения о «работе мечты» со скрытым вредоносным ПО, поддерживали диалог с откликнувшимися и собирали информацию о деятельности и финансах фирм.
Сначала жертвами хакеров были государственные служащие в разных странах. Затем Lazarus нацелилась на организации, тесно сотрудничающие с правительством, такие как израильские производители оборонной продукции и корпорация Boeing. К апрелю 2022 года группа уже рассылала поддельные предложения о работе с троянскими вирусными программами предприятиям химического сектора и IT-компаниям. Подобные фишинговые письма получали и некоторые российские организации, в том числе связанные с оборонной промышленностью.
Как утверждают специалисты, кибератаки хакеров, связанных с Северной Кореей, делятся на три типа. К первому относятся шпионаж, подрывные и разрушительные атаки. Среди последних выделяется операция 2013 года «Тёмный Сеул», в результате которой была парализована работа трёх южнокорейских радиостанций, банков, правительственных веб-сайтов и похищена информация. Нападение привело к повреждению 32 тыс. компьютеров и серверов финансовых и медиакомпаний. Были заблокированы интернет-серверы нескольких банков, а их деятельность остановлена.
Размер причинённого ущерба оценивался в 750 млн долларов.
Во вторую группу входят кибертерроризм и атаки мести, такие как взлом в 2014 году сети компании Sony. Тогда северокорейские хакеры угрожали Sony и её сотрудникам террористическими атаками на кинотеатры, если корпорация запустит в прокат фильм-сатиру «Интервью». По сюжету картины американские спецслужбы якобы пытаются убить лидера КНДР Ким Чен Ына с помощью пластыря с ядом, который способен проникать в организм жертвы через кожу. Эта история крайне не понравилась руководству страны, и после отказа Sony остановить показ ленты хакерская группировка Guardians of Peace, считающаяся частью Lazarus, взломала сеть Sony Pictures и выложила в открытый доступ переписку сотрудников компании, сведения об их заработной плате и даже сценарии планировавшихся к съёмке фильмов.
Третья группа кибератак, ставшая особенно популярной у северокорейских хакеров, – это ограбления кибербанков и криптовалютных бирж, в частности нападение в 2016 году на бангладешский банк с использованием учётных данных его сотрудников в SWIFT. Тогда со счёта Центрального банка Бангладеш в Федеральном резервном банке США злоумышленники смогли вывести в финансовые организации на территории Шри-Ланки и Филиппин больше 100 млн долларов. К 2021 году общий объём ущерба, нанесённого криптовалютным компаниям связанными с КНДР взломщиками, составил 1,75 млрд долларов.
Северокорейские хакеры атакуют компании по всему миру.Фото: RUNGROJ YONGRIT/EPA/TASS
Более 50 млн долларов за период с 2020 года по середину 2021 года похитила у трёх криптовалютных бирж другая известная группа северокорейских хакеров – Kimsuky. Предположительно, именно её члены стояли за взломом системы безопасности сети Ronin в марте 2022 года и выводом оттуда более 615 млн долларов. Для подделки транзакций злоумышленники использовали несколько взломанных ключей.
Американские специалисты утверждают, что украденные криптоактивы используются для финансирования программы создания ядерного оружия. Между тем, как сообщила на днях американская аналитическая организация Chainalysis, эти деньги отмываются на криптобиржах Южной Кореи, которая громче всех обвиняет Пхеньян в краже криптоактивов. По данным аналитиков, с 2019 года хакеры из Северной Кореи отправили на биржи цифровых активов в Южной Корее криптовалюту на сумму около 52,46 млн долларов.
Похоже, что с конца 2020 года КНДР также активизировала усилия по осуществлению кибершпионажа. Считается, что в 2021 году группировка Kimsuky атаковала Корейский исследовательский институт атомной энергии, похитив информацию об атомных электростанциях. В феврале 2021 года Северная Корея попыталась украсть у Pfizer сведения о вакцинах и методах лечения COVID-19.