В своей книге «Хакер и государство: кибератаки и новая норма геополитики» Бен Бьюкенен раскрывает механизмы, с помощью которых северокорейские хакеры, действуя по указке правительства, систематически обворовывают финансовые учреждения по всему миру, похищая десятки миллионов долларов. Ниже представлен адаптированный отрывок из этого исследования, который показывает эволюцию методов Пхеньяна от подделки денег к сложным кибероперациям.
От супердолларов к киберпространству
До того как перейти к цифровым атакам, Северная Корея десятилетиями занималась старомодным, но высокотехнологичным мошенничеством — производством так называемых «супердолларов». Эти поддельные стодолларовые банкноты были настолько совершенны, что содержали правильное сочетание хлопковой и льняной бумаги, точные защитные волокна и водяные знаки, что делало их почти неотличимыми от настоящих. Считается, что эта программа была инициирована еще Ким Чен Иром в 1970-х годах с двойной целью: получить столь необходимую твердую валюту и одновременно подорвать доверие к экономике США. На пике активности эта деятельность приносила режиму до $15 млн в год, а общий доход от всей преступной деятельности (включая торговлю наркотиками) оценивался в $500 млн ежегодно.
Однако масштабная международная операция под руководством США в 2000-х годах, включавшая санкции и аресты по всему миру, практически свернула этот бизнес. К 2008 году поток фальшивок резко сократился. Как отметил один из агентов ФБР, Северная Корея, лишившись сети распространения, была вынуждена искать новые, более простые и безопасные способы пополнения казны. Этим способом стали кибератаки.
Новое поколение грабителей: хакеры за рубежом
Пхеньян начал целенаправленно готовить кадры для кибервойны, отправляя талантливую молодежь на обучение в Китай и даже под прикрытием дипломатических миссий ООН — в сами США. После обучения эти специалисты часто действовали из-за рубежа, в основном из Китая, что обеспечивало им стабильный интернет и позволяло отрицать связь с правительством. Их главной мишенью стали мировые финансовые учреждения.
Методы их работы смелы и изощренны. Вместо того чтобы взламывать хранилища, они атакуют саму систему доверия, на которой построены международные расчеты. Их главный инструмент — система SWIFT (Общество всемирных межбанковских финансовых каналов связи), через которую ежедневно проходят триллионы долларов. Хакеры взламывали банковские сети, получали доступ к учетным записям SWIFT и, маскируясь под законных пользователей, инициировали многомиллионные переводы на подконтрольные счета. При этом они манипулировали журналами транзакций, чтобы скрыть следы и посеять неразбериху.
Эта деятельность оказалась невероятно прибыльной. По оценкам ООН, Северная Корея заработала на кибератаках около $2 млрд. Для страны с ВВП всего в $28 млрд это колоссальная сумма, которая, как полагают, идет на финансирование ядерной и ракетной программ. Но цель не только в деньгах. Успешные атаки подрывают саму целостность и доверие к глобальной финансовой системе, что является мощным инструментом геополитического давления.
Шедевр киберпреступления: ограбление Центробанка Бангладеша
Наглядной иллюстрацией тактики северокорейцев стала атака на Центробанк Бангладеша в феврале 2016 года. Хакеры месяцами готовились, незаметно проникая в сеть банка, который, как выяснилось, использовал дешевое оборудование и имел слабую защиту. Их целью был сервер, подключенный к системе SWIFT.
Получив доступ, они 4 февраля инициировали около 30 платежных поручений на общую сумму почти $1 млрд на счета в Шри-Ланке и на Филиппинах. Чтобы остаться незамеченными, хакеры отключили принтер, который автоматически печатал все SWIFT-транзакции. Сотрудники банка утром обнаружили молчащий принтер и ошибки в системе, но было уже поздно.
Бдительность сотрудников Федерального резервного банка Нью-Йорка, куда поступили запросы, предотвратила большую часть хищения. Их смутили переводы на частные счета, а одна из транзакций была отклонена из-за вопиющей опечатки в названии получателя-фонда. Однако четыре перевода на общую сумму $81 млн прошли и были мгновенно выведены через казино на Филиппинах. В итоге банку удалось вернуть лишь $68 тысяч.
Расследование компаний BAE Systems и «Лаборатория Касперского» однозначно связало эту атаку с Северной Кореей, найдя совпадения в коде с более ранними операциями, например, взломом Sony в 2014 году. Это было не просто ограбление, а часть глобальной кампании.
Глобальная кампания и эволюция тактики
Параллельно с атакой на Бангладеш хакеры готовили операцию против другого банка в Юго-Восточной Азии. Они действовали по схожему сценарию, но этот банк оказался лучше защищен. Когда в августе 2016 года он обнаружил вторжение и нанял «Лабораторию Касперского», хакерам пришлось спешно отступать, оставив следы, которые подтвердили их причастность.
Кампания была масштабной. В 2017 году северокорейцы скомпрометировали сайт польского финансового регулятора, заразив посетителей — в основном банки — вредоносным кодом. В список целей попали Всемирный банк, центробанки Бразилии, Чили, Мексики и другие. Кроме того, хакеры активно атаковали криптовалютные биржи, пытаясь украсть биткоины. По некоторым оценкам, прибыль от этих операций могла превышать $500 млн.
Инновации в обналичивании: атака через банкоматы
Несмотря на успехи, у хакеров оставалась проблема: крупные банковские переводы было сложно провести незаметно и легко отозвать. Летом 2018 года они опробовали новую тактику, взломав индийский Cosmos Bank. Вместо одного крупного перевода они решили обналичить деньги через банкоматы по всему миру.
11 августа, в течение всего двух часов, курьеры в 28 странах с помощью поддельных карт сняли со счетов около $11 млн. Исследователи из BAE Systems предположили, что хакеры не просто украли данные карт, а полностью скомпрометировали систему аутентификации банка, создав свою собственную, которая автоматически подтверждала мошеннические запросы на снятие наличных. Через два дня они дополнительно перевели через SWIFT еще $2 млн на подставную компанию в Гонконге.
Эта операция показала, что северокорейские хакеры не останавливаются в развитии. Они научились не только проникать в системы, но и гибко обналичивать украденное, а их действия ставят под сомнение основы аутентификации в мировой финансовой системе. Их конечная цель — не только деньги, но и потенциальная дестабилизация глобальной экономики, что делает их деятельность серьезной угрозой международной безопасности.
Интересное еще здесь: Банки.
Как северокорейские хакеры грабят банки по всему миру.