Самыми активными хакерами в мире в прошлом году оказались не российские, а северокорейские. Изучив отчеты по кибербезопасности, The Wall Street Journal подсчитала, что северокорейская группировка Lazarus совершила на 20% больше атак, чем ее ближайший конкурент – российская Sofacy, также известная как Fancy Bear и под другими названиями.

Как устроена армия хакеров КНДР

Всего в кибервойсках КНДР – около 7 тысяч человек. Вся армия разделена на три «взвода». Первый – это тот самый лазарус Lazarus, он занимается крупным и международными атаками. Lazarus приписывают авторство вирусов WannaCry (заразил 300 тыс. компьютеров в 150 странах мира). Вторая группа специализируется только на Южной Корее, а третьей поручают небольшие простые задачки вроде взламывания электронной почты.

• В «кибервойска» отбирают перспективных 11-летних школьников: их переводят в спецшколы, где учат взламывать сайты и создавать компьютерные вирусы.
• Такие ученики получают престижный статус: по северокорейским меркам это значит, что их семья, в частности, не должна волноваться насчет еды, им выдают просторные квартиры в Пхеньяне и освобождают от военной службы.
• В Северной Корее проходят свои хакатоны, к которым хакеры готовятся по полгода. Они ездят и на международные соревнования – например, в Китай или в Индию.
• Северная Корея также засылает своих хакеров за границу – в Китай, Индию, Новую Зеландию и даже Мозамбик, – туда, где им проще подключаться к мировым финансовым сервисам.

Недавно агентству Bloomberg удалось поговорить с северокорейцем, который работал в КНДР хакером. Он рассказал о жестких KPI по заработкам (из которых себе можно оставлять не больше 10%), о нищете и целых фабриках хакеров в Индии, Китае и Камбодже.

За чем охотятся северокорейские хакеры

У них самая обширная сфера интересов: от криптовалют до банков, программного обеспечения и военных программ других государств. Правительство США не раз обвиняло Северную Корею в кибератаках, в частности, именно ей приписывали авторство вируса WannaCry. Южная Корея подвергается 1,5 млн атак со стороны Северной ежедневно – это примерно 17 атак в секунду.

• Военные секреты. Южная Корея уверяет, что Северная украла у нее 235 гигабайт данных о военных операциях, включая совместный с США план противостоять Пхеньяну в случае войны.
• Криптовалюты. В прошлом году северокорейские хакеры начали регистрировать в Facebook страницы от имени женщин, которые якобы работают в биткоин-индустрии, и пытались от их имени  познакомиться с мужчинами из банков и криптобирж. Войдя в доверие, фейки предлагали им открыть зараженный файл – и проникали в компьютер. Именно Северная Корея подозревается в атаке на южнокорейскую криптобиржу Youbit и краже $350 млн с японской криптобиржи Coincheck.
• Банки. Хакеры КНДР воруют данные кредитных карт, атакуют банки – меньше месяца назад их обвинили в попытке взлома турецкой банковской системы, в 2016 году им приписывали кражу $81 млн из центрального банка Бангладеша. WSJ предполагает, что деньги идут на финансирование ядерной программы Северной Кореи.  
• Частные компании. Одна из самых известных атак, которые приписывают Северной Корее – кража переписки Sony Pictures в 2014 году. Также хакеры из КНДР первыми обнаружили уязвимость в проигрывателе Adobe Flash, о чем сама компания месяцами не догадывалась, и превратили ее в инструмент для атаки – например, на финансовые институты.

Что будет дальше

Эксперты, которых опросила WSJ, сходятся во мнении: северокорейские хакеры становятся все более искусными. Они мгновенно находят уязвимости в новом программном обеспечении и пользуются им так, что антивирусы не могут зафиксировать атаку. Хакеры также пишут на прекрасном английском, поэтому вычислить их становится еще сложнее.

На главный вопрос – зачем они это делают – однозначного ответа нет. Самые распространенные версии – просто чтобы потренироваться, заработать денег для страны, а также продемонстрировать США, что у Северной Кореи есть мощные аргументы.

Что мне с этого?

Слава российских хакеров гремит с момента взлома Национального комитета Демократической партии США (вчера выяснилось, что Демпартия подала по этому поводу иск к России). О том, как создавались и как устроены российские кибервойска можно почитать здесь.

Анастасия Стогней