Самые громкие кибер-атаки прошлых лет

Автор статьи:
Новости Якутска
корреспондент Yakutsk.ru
Нашли ошибку?
Пожаловаться
на корреспондента
12:57 10.06.2021 / Психология
Самые громкие кибер-атаки прошлых лет

Северная Корея, кибератаки и «Лазарь»: что мы действительно знаем



Пыль уже оседает после WannaCry, самого крупного вымогателя в истории, а эксперты в области кибербезопасности глубоко погружаются в то, как это было сделано, что можно сделать для защиты компьютеров и кого действительно нужно винить.





Для многих кажется, что последний вопрос уже решён: это была Северная Корея. Но история глубже: растёт печально известная группа хакеров-трудоголиков, которые все вместе называются Lazarus и которые могут использовать секретные логовища в северо-восточном Китае, успев создать виртуальную «фабрику вредоносных программ», что в будущем может привести к ещё большему хаосу. Большая оговорка: Lazarus не раскрывает много о себе.





Тем не менее, обширные исследования представляют собой увлекательную, хотя и пугающую картину хакерского коллектива, который является наёмническим, цепким и мотивированным тем, что, по-видимому, смешивает политические и финансовые цели. Всё в WannaCry указывает на них. Так кто же они?





19 декабря 2014 года, всего через месяц после взлома Sony Pictures, полевое отделение ФБР в Сан-Диего выпустило пресс-релиз о том, что Северная Корея была виновницей и заявила, что такие кибератаки представляют собой «одну из самых серьёзных угроз национальной безопасности».





ФБР перечисляло сходства в конкретных строках кода, алгоритмах шифрования, методах удаления данных и скомпрометированных сетях. В докладе говорилось, что между инфраструктурой, используемой в атаке, и другой кибер-активностью, которая ранее связывалась непосредственно с Северной Кореей, было значительное перекрытие, в том числе несколько адресов интернет-протокола, жёстко закодированных во вредоносных программах для удаления данных. С тех пор его обвинение в том, что Северная Корея виновата, широко оспаривается.





В попытке проанализировать взлом Sony, отраслевой консорциум во главе с Novetta запустил операцию Blockbuster, а в 2016 году опубликовал наиболее подробный публичный отчёт на сегодняшний день о нападении. Его выводы совпали с выводами ФБР о том, что тактика, инструменты и возможности сильно указывают на работу «структурированной, обеспеченной ресурсами и мотивированной организации», но заявили, что её анализ не может поддержать прямую атрибуцию национального государства. Вместо этого он определил, что атака «была выполнена одной группой или потенциально очень тесно связанными группами, обмениваясь техническими ресурсами, инфраструктурой и даже задачами». Он указал на группу Лазаря.





В рамках операции проследили первые вхождения деятельности Lazarus в 2009 году или, возможно, в 2007 году, с крупномасштабными атаками на отказ в США и Южной Корее. Затем последовала кампания киберпреступности Troy, которая продолжалась с 2009 по 2013 год и другие.





«Это решительный противник с ресурсами для разработки уникальных, ориентированных на миссию вредоносных программ», — заключили в отчете на 100 страниц.





Исследователи из «Лаборатории Касперского», также участвовавшие в Operation Blockbuster, проанализировали временные метки на учётных записях, подозреваемых в привязке к Lazarus, чтобы создать профиль своих хакеров. Они предположили, что нападавшие, вероятно, находятся в часовом поясе на восемь или девять часов раньше времени по Гринвичу — к ним относятся Китай, Малайзия и части Индонезии. Они даже утверждали, что хакеры спят примерно 6-7 часов в сутки.





«Это указывает на очень трудолюбивую команду, возможно, более трудолюбивую, чем любая другая группа».





Джеймс Скотт, сотрудник аналитического центра в Вашингтоне, сказал, что любые связи между Лазарем и Северной Кореей остаются неясными, но существуют четыре возможности:





— Лазарь связан с Северной Кореей;





— это независимая сторона деятельности лиц, связанных с Северной Кореей;





— он полностью независим от Северной Кореи;





— это кибер-наёмнический коллектив, который иногда работает от имени Северной Кореи.





«Нет никаких убедительных доказательств того, что Лазарь финансируется государством».





Джон Кондра из Flashpoint, с осторожностью отметил теорию о том, что, по крайней мере, некоторые хакеры группы Lazarus, вероятно, работают из Китая и могут включать в себя северокорейцев. Flashpoint проанализировал записи о выкупе WannaCry, опубликованные на 28 языках, и определил, что все, кроме трех, созданы с помощью программного обеспечения для перевода — предполагая, что в список его авторов входят люди, для которых китайский родной, но которые не совершенны в английском.





«Широко распространено мнение, что, по крайней мере, некоторые северокорейские хакерские подразделения работают в северо-восточном Китае — городе Шэньяне, в частности, — но убедительные доказательства маловероятны».





Даже это, добавил он, является спекулятивным: «У нас действительно нет чёткой картины состава группы Lazarus».





По словам Касперского, у Lazarus теперь есть своя подгруппа киберпреступности, получившая название BlueNoroff, чтобы финансировать её операции посредством атак на банки, казино, финансовые учреждения и трейдеров.





«Масштаб операций Лазаря шокирует», — говорится в докладе. «Это то, что требует строгой организации и контроля на всех этапах операции. Такой процесс требует больших денег для ведения бизнеса».





Разрушительный и асимметричный характер кибервойны явно делает его оружием, с которым Северная Корея может задуматься об использовании его против своих гораздо более сильных противников в военном конфликте. Это также представляется менее рискованным средством получения незаконного дохода, чем другие виды деятельности, в отношении которых в прошлом обвинялся северокорейский режим, например, незаконный оборот наркотиков.





Вашингтон, Сеул и перебежчики из Северной Кореи все заявляют, что Север упорно трудится, чтобы обучить армию кибер-воинов. Южная Корея заявила, что кибер-армия Северной Кореи в 2015 году насчитывала 6800 хакеров. Но независимые эксперты склонны не воспринимать такие заявления слишком буквально. Скотт и Кондра предупреждают, что многое из того, что сообщается о кибер-армии Северной Кореи, исходит от перебежчиков или соперничающих правительств.





Правительство США не обвиняет в появлении WannaCry КНДР. Привязывание киберпреступности к киберпреступнику — сизифов труд. Известная группа может взять на себя ответственность. Определение роли национального правительства может быть еще сложнее.





Замдиректора Cyber Statecraft Initiative в Атлантическом совете указывает на размытость границ между государственными и негосударственными субъектами.





«Многие страны допускают или, по крайней мере, терпят, негосударственные субъекты, которые ведут идеологически согласованные действия».





«Большой урок, который мы получили от WannaCry, независимо от того, кто это сделал, — это то, насколько уязвимы, подвержены и раскрыты некоторые наши критические объекты инфраструктуры».

16+