Игры Северной Кореи с Bitcoin

Фото: bloomberg
Фото: bloomberg

Недавно в сети можно было встретить весьма интригующее объявление об открытой вакансии: требуется сотрудник на должность финансового директора в быстро развивающуюся компанию, специализирующуюся на оказании услуг в Bitcoin-сфере. Казалось бы, на фоне небывалого роста курса Bitcoin, вакансия вполне могла оказаться “рабочей”. Но, как сообщает Secureworks Inc., несмотря на то, что лондонская фирма вполне реальная, само предложение было инициировано хакерами из Северной Кореи.

Работа ценою в Bitcoin

Как оказалось, фальшивый документ с предложением работы, выявленный службой кибербезопасности в ноябре этого года, распространялся по электронной почте среди членов Bitcoin-сообщества. Если кто-то открывал письмо, то всплывающее окно сообщало, что документ создан в более поздней версией Microsoft Word и пользователю нужно "разрешить редактирование" и "включить контент", чтоб прочитать уведомление. Таким образом на компьютер пользователя попадал вредоносный код. Он открывал злоумышленникам доступ к любой информации, хранящейся на жестком диске, но, как показала практика, хакеров больше всего интересовали личные и корпоративные базы данных о Bitcoin и других криптовалютах.

Для Северной Кореи Bitcoin открывает новые пути обхода все ужесточающихся санкций, направленных против действующего режима. И дело тут не только в том, что криптовалюта с конца 2016 года взлетела в цене с $1000 до более чем $16 000, но что более важно – она дает возможность быстрого и анонимного перемещения крупного капитала через границы.

"Это идеальный денежный механизм для Северной Кореи", – считает Джошуа Чунг, старший научный сотрудник службы безопасности Secureworks.

По данным Secureworks, за документом-ловушкой тянется след еще с середины 2016 года, но тогда рассылка затронула в основном компании энергетической отрасли. По некоторым частям вредоносного кода сотрудникам службы кибербезопасности удалось связать документ о Bitcoin-работе с северокорейской группой хакеров Lazarus Group. На ее счету уже числятся взлом компьютерной системы Sony Pictures Entertainment Inc. и кража $81 млн долларов со счетов центрального банка Бангладеша в конце 2014 года. А в 2016 году именно Lazarus Group приписывают распространение по сети вируса-вымогателя WannaCry, который блокировал компьютеры пользователей и требовала оплату в Bitcoin за восстановление работоспособности системы.

"Северокорейский след"

На самом деле, интерес к Bitcoin с “северокорейской стороны” проявился еще в 2013 году, когда Secureworks впервые зафиксировала повышенную активность нескольких интернет-адресов из КНДР на форумах по исследованию Bitcoin. По мнению Дж.Чунга, уже тогда хакеры из Северной Кореи пытались выяснить, как работает Bitcoin, и как можно обменять криптовалюту на фиатные деньги.

Рейф Пиллинг, старший научный сотрудник службы безопасности Secureworks, считает, что:

Кража средств из Центрального банка Бангладеш показала, что хакеры из Северной Кореи вполне могли бы украсть Bitcoin, если бы получили доступ к системе компании. Они неоднократно демонстрировали, что обладают достаточными умениями, чтобы минимальная уязвимость системы стала ключом ко всей структуре внутренней сети. Они очень точно выявляют бизнес-процессы, которые им необходимо использовать для достижения своей цели.

Точно сказать, сколько Bitcoin принадлежит пользователям из Северной Корее пока невозможно. Известно лишь, что у кого-то они все-таки есть, ведь в начале декабря на платформе NiceHash (одна из криптовалютных платформ Словении), хакеры опустошили bitcoin-кошельки (правда тогда о Северной Корее ничего не говорилось). Кроме того, по данным, полученным Агентством национальной безопасности США, кэш сети КНДР содержал “следы” пользователей-членов политической и военной элиты Пхеньяна, совершавших интернет-покупки при помощи Bitcoin.

Несомненно, что вознаграждение за кражу виртуальных монет растет вместе с ценой на Bitcoin. Так Южная Корея, которая чаще других становится испытательным полигоном для хакеров “Севера”, уже ощутила на себе их работу: несколько Bitcoin-бирж подверглись атакам, принесшим миллионные убытки. Теоретически, украденные виртуальные активы можно отследить в сети, но также существует и множество способов, позволяющих “отмывать” криптовалюты: быстро обменять на другие цифровые монеты или использовать "Bitcoin-тумблер", способный выполнить миллионы транзакций с рандомными суммами, чтобы скрыть источники поступления средств.

Майнинг

Северокорейцы – одни из самых предприимчивых хакеров. Они не ограничиваются лишь задачами “украсть Bitcoin”, они еще и добывают его!

Когда компания Cybersecurity Recorded Future Inc. получила кэш данных сети Северной Кореи за первую половину этого года, в них не было замечено особой активности вплоть до 17 мая, после которого она буквально “взорвалась”. И как предполагает Присцилла Мариуччи (директор компании по разработке стратегических угроз при Агентстве национальной безопасности США), причиной тому послужил майнинг.

Присцилла Мариуччи (фото: risksectoronto)
Присцилла Мариуччи (фото: risksectoronto)

Особого внимания заслуживает и дата начала добычи Bitcoin, поскольку она совпадает (по странному стечению обстоятельств) с массовым поражением мировой сети вирусом WannaCry (основная масса атак прошла с 12 по 17 мая). К концу дня 17 мая на три Bitcoin-кошелька, закрепленных за WannaCry, поступило 277 платежей на сумму 45 Bitcoin, что на то время было эквивалентно $82 000.

Меня поражает широта, с какой Северная Корея охватила криптовалютный мир. Похоже, что режим Кима не гнушается никакими способами получения криптовалют, будь то майнинг, кража или вымогательство! – говорит в своем докладе Присцилла.

Майнинг требует колоссальных энергозатрат. По словам Дейва Вэнибеда вице-президента по кибербезопасности компании Masergy, это лишь играет на руку КНДР:

Энергетические ресурсы – одна из сильных сторон Северной Кореи. Им нужно лишь эффективно перераспределять экспортируемую энергию.
Дейв Вэнибед (фото: Wikipedia)
Дейв Вэнибед (фото: Wikipedia)

Конечно, большая часть этой теории построена лишь на обрывках информации и предположениях (но так, зачастую, и работает кибер-исследование). В свою очередь Федерико Тенга (соучредитель компании по управлению Bitcoin-активами для корпоративных клиентов) после недельного пребывания в Пхеньяне с лекциями, весьма скептически отзывается о “северокорейском следе в деле о Bitcoin”:

В своих лекциях я попытался объяснить основы работы технологии Bitcoin. Но что касается практики, то в этом направлении Северную Корею ждет еще очень долгий путь!
Федерико Тенга (фото: LinkdIn)
Федерико Тенга (фото: LinkdIn)

Источник: bloomberg