Разочарованный отсутствием реакции США на атаки Королевства Отшельников на американских исследователей в области безопасности, один хакер взял дело в свои руки.
В течение последних двух недель в разные дни практически все несколько десятков сайтов Северной Кореи периодически массово отключались от сети, вплоть до официального портала Ким Чен Ына. По меньшей мере один центральный маршрутизатор, обеспечивающий доступ к сетям страны, парализовало. И сделало это не хакерская структура, спонсируемая тем или иным государством и не крупное хакерское объединение, а один американец в футболке, пижамных штанах и тапочках, который ночь за ночью сидел в своей гостиной, смотрел фильмы об инопланетянах и ел острые кукурузные закуски – и периодически ходил в свой домашний офис, чтобы проверить ход программ, которые он запускал, чтобы нарушить интернет всей страны.
Чуть больше года назад независимый хакер, работающий под псевдонимом P4x, сам был взломан северокорейскими шпионами. P4x стал лишь одной из жертв хакерской кампании, нацеленной на западных исследователей в области безопасности с явной целью украсть их хакерские инструменты и сведения об уязвимостях программного обеспечения. Он говорит, что ему удалось помешать хакерам украсть у него что-нибудь ценное. Но, тем не менее, он чувствовал себя глубоко обеспокоенным тем, что спонсируемые государством хакеры нацелились на него лично, а также отсутствием какой-либо видимой реакции со стороны правительства США.
За год его обида дошла до точки кипения, и P4x взял дело в свои руки. «Мне казалось правильным поступить так. Если они не увидят, что у нас есть зубы, они будут продолжать», – пояснил хакер. Он поделился с WIRED скринами экрана, чтобы подтвердить свою ответственность за атаки, но отказался использовать свое настоящее имя, опасаясь судебного преследования или возмездия.
P4x обнаружил многочисленные известные, но неисправленные уязвимости в северокорейских системах, которые позволили ему в одиночку запускать атаки типа «отказ в обслуживании» на серверы и маршрутизаторы, от которых зависят несколько подключенных к интернету сетей страны. По большей части он отказывался публично раскрывать эти уязвимости, чтобы не дать правительству Северной Кореи подсказку, как защититься от его атак. Но в качестве примера он назвал известную ошибку в программном обеспечении веб-сервера NginX, которая неправильно обрабатывает определенные заголовки HTTP, позволяя серверам, на которых запущено программное обеспечение, быть перегруженными и отключенными. Он также упомянул об обнаружении «древних» версий программного обеспечения веб-сервера Apache и сказал, что начал изучать собственную национальную доморощенную операционную систему Северной Кореи, известную как Red Star OS, которую он назвал старой и, вероятно, уязвимой версией Linux.
P4x в значительной степени автоматизировал свои атаки на северокорейские системы, периодически запуская сценарии, которые перечисляют, какие системы остаются в сети, а затем запускает эксплойты, чтобы вывести их из строя. «Для меня это похоже на небольшой или средний тест на проникновение. Довольно интересно, как легко было добиться какого-то эффекта».
Эти относительно простые методы взлома дали немедленный эффект. Записи службы измерения времени безотказной работы Pingdom показывают, что в несколько моментов взлома P4x почти каждый северокорейский сайт был недоступен. Несколько продолжавших работать, например, новостной сайт Uriminzokkiri, базируются за пределами страны.
Джунад Али, исследователь кибербезопасности, отслеживающий северокорейский интернет, начал наблюдать за тем, что казалось загадочным и массовым. Время от времени он видел, как ключевые маршрутизаторы страны выходили из строя, унося с собой не только доступ к сайтам страны, но и к ее электронной почте и любым другим интернет-сервисам. «Поскольку их маршрутизаторы выходят из строя, передача данных в Северную Корею становится буквально невозможной», – говорит Али, описывая результат как «фактически полное отключение интернета, затрагивающее всю страну». (P4x отмечает, что, хотя его атаки время от времени нарушали работу всех сайтов, размещенных в стране, и доступ из-за границы к любым другим интернет-сервисам, размещенным там, они не отключали исходящий доступ северокорейцев к остальной части интернета.)
Какой бы редкой ни была ситуация, когда один хакер под псевдонимом вызывает отключение интернета такого масштаба, далеко не ясно, какое реальное влияние эти атаки оказали на правительство Северной Кореи. Только крошечная часть жителей Северной Кореи имеет доступ к системам, подключенным к интернету, говорит Мартин Уильямс, исследователь из аналитического центра Stimson Center, ориентированного на Северную Корею, 38 North Project. Подавляющее большинство жителей ограничены автономной внутренней сетью страны. Уильямс говорит, что десятки сайтов, которые P4x неоднократно блокировал, в основном используются для пропаганды и других целей, нацеленных на международную аудиторию. Хотя вывод из строя этих сайтов, без сомнения, доставляет неудобства некоторым должностным лицам режима, Уильямс отмечает, что хакеры, атаковавшие P4x в прошлом году, – как и почти все хакеры страны – почти наверняка базируются в других странах, например в Китае. «Я бы сказал, что если он преследует этих людей, то, вероятно, обращает свое внимание не на то место», – говорит Уильямс. «Но если он просто хочет досадить Северной Корее, то он, вероятно, раздражает».
Со своей стороны, P4x говорит, что он считает раздражение режима успехом, и что подавляющее большинство населения страны, у которого нет доступа в интернет, никогда не было его целью. «Я определенно хотел как можно меньше влиять на людей и как можно больше на правительство», – говорит P4x.
Он признает, что его атаки сводятся к «срыванию правительственных знамен или осквернению зданий», как он выразился. Но он также говорит, что до сих пор его взлом был сосредоточен на тестировании и поиске уязвимостей. По его словам, теперь он намерен попытаться взломать системы Северной Кореи, чтобы украсть информацию и поделиться ей с экспертами. В то же время он надеется привлечь больше хактивистов к своему делу с помощью дарквеб-сайта, который он запустил в понедельник, под названием FUNK Project, «FU Северная Корея», в надежде на создание большей коллективной огневой мощи.
«Это проект, призванный сохранить честность Северной Кореи», – говорится на сайте FUNK Project. «Вы можете изменить ситуацию как одиночка. Цель состоит в том, чтобы выполнять пропорциональные атаки и сбор информации, чтобы не дать NK полностью беспрепятственно взломать западный мир».
P4x говорит, что его хактивистские усилия направлены не только на правительство Северной Кореи, но и на его собственное. Его кибератаки на северокорейские сети, по его словам, отчасти являются попыткой привлечь внимание к тому, что он считает отсутствием реакции правительства на нападения Северной Кореи на американских граждан. «Если мне никто не поможет, я сам себе помогу», – говорит он.
P4x точно знает момент прошлого года, когда на него напали северокорейские шпионы. В конце января 2021 года он открыл файл, присланный ему другим хакером, который описал его как инструмент эксплуатации. Всего через 24 часа он заметил сообщение в блоге Google Threat Analysis Group, предупреждающее о том, что северокорейские хакеры нацелились на исследователей безопасности. Конечно же, когда P4x внимательно изучил хакерский инструмент, который он получил от незнакомца, он увидел, что он содержит лазейку, предназначенную для удаленного доступа к его компьютеру. P4x открыл файл на виртуальной машине, поместив его в цифровой карантин от остальной части своей системы. Но тем не менее он был потрясен, что он лично стал мишенью Северной Кореи.
P4x говорит, что позже с ним связалось ФБР, но ему так и не предложили никакой реальной помощи, чтобы оценить ущерб от хакерских атак Северной Кореи или защитить себя в будущем. Он также никогда не слышал о каких-либо последствиях для хакеров, нацелившихся на него, открытом расследовании их действий или даже официальном признании американским агентством ответственности Северной Кореи. Возникло ощущение, как он выразился, что «на нашей стороне действительно никого нет».
Когда WIRED спросил ФБР о его реакции на то, что Северная Корея нацелилась на американских исследователей в области безопасности, оно выпустило заявление, где говорится: «Как ведущее агентство, ответственное за реагирование на угрозы, мы полагаемся на государственный и частный сектор, чтобы сообщать о подозрительной деятельности и вторжениях, и работать вместе, чтобы убедиться, что мы понимаем, что происходит, не допустить, чтобы это случилось с другими, и привлечь виновных к ответственности. ФБР стремится преследовать злоумышленников и страны, стоящие за кибератаками, и не потерпит кражи или запугивания интеллектуальной собственности».
После своего опыта в качестве объекта спонсируемого государством кибершпионажа P4x потратил большую часть следующего года на другие проекты. Но по прошествии года без публичных или частных заявлений из правительства о преследовании исследователей в области безопасности и без предложения поддержки со стороны какого-либо агентства США, P4x говорит, что решил, что пришло время сделать собственное заявление северокорейскому и американскому правительствам. Другие хакеры, на которые нацелилась Северная Корея, не все согласны с тем, что хакерский оттяг P4x – правильный способ сделать такое заявление. Дейв Айтел, бывший хакер АНБ и основатель охранной фирмы Immunity, также стал мишенью той же шпионской кампании. Но он сомневается, что P4x применил продуктивный подход к расплате, учитывая, что на самом деле он может мешать более скрытным усилиям разведки США, нацеленным на те же северокорейские компьютеры. «Я бы не хотел подрывать реальные усилия западной разведки, которые уже ведутся на этих машинах, если там есть что-то ценное», – говорит Айтел.
Айтел, тем не менее, согласен, что реакции правительства на кампанию Северной Кореи не было. Он говорит, что никогда не получал никаких контактов от правительственного агентства, и возлагает вину за это молчание на Агентство кибербезопасности и безопасности инфраструктуры. «Соединенные Штаты хорошо защищают правительство, корпорации, но не защищают отдельных лиц». Он указывает, что многие из целевых исследователей безопасности, вероятно, имели значительный доступ к уязвимостям программного обеспечения, корпоративным сетям и коду широко используемых инструментов. Это может привести, по его словам, к «следующим SolarWinds».
Когда WIRED связался с CISA, представитель ответил в заявлении, что агентство «привержено поддержке сообщества кибербезопасности в обнаружении и защите от злоумышленников в киберпространстве», добавив, что «в рамках этой работы мы поощряем любого исследователя, который нацелены на киберугрозы, чтобы связаться с правительством США, чтобы мы могли оказать всю возможную помощь».
Помимо критики правительства США, P4x ясно заявляет, что его хакерские действия направлены в первую очередь на то, чтобы отправить сообщение режиму Кима, который, по его словам, осуществляет «безумные нарушения прав человека и полный контроль над своим населением». Хотя он признает, что его атаки, вероятно, нарушают законы США о компьютерном мошенничестве и взломе, он утверждает, что не сделал ничего противозаконного с этической точки зрения. «Моя совесть чиста», – говорит он.
И какова конечная цель его кибератак на интернет-инфраструктуру этого тоталитарного правительства? Когда он закончит с ними?
«Смена режима. Нет, я просто шучу», – смеется P4x. «Я просто хочу доказать свою точку зрения. Я хочу, чтобы это было очень прямо доказано, прежде чем я остановлюсь».