Північна Корея хакнула його. Він у відповідь відключив їй інтернет

Пропонуємо вашій увазі переклад статті журналу Wired – North Korea Hacked Him. So He Took Down Its Internet.

Розчарований бездіяльністю США до атак Північної Кореї на американських спеціалістів з безпеки, хакер взявся за діло сам.

Останніми тижнями спостерігачі за дивним і дуже обмеженим північнокорейським кутком інтернету помітили, що у країни серйозні проблеми зі зв’язком. Кілька разів у різні дні практично всі її вебсайти (у цієї надізольованої країни їх всього кілька десятків) масово падали, починаючи від сайту бронювань їхньої авіакомпанії Air Koryo до офіційного порталу уряду диктатора Кім Чен Ина під назвою Naenara. Мінімум один з центральних хабів, через які йде трафік на мережі країни, певний час не працював, що суттєво вплинуло на зв’язок Північної Кореї із рештою світу.

Деякі спостерігачі пов’язували це з нещодавньою серією ракетних випробувань у Північній Кореї. На їх думку, це хакери інших урядів влаштували кібератаку на цю неспокійну країну, аби вона припинила вимахувати зброєю.

Але відповідальність за постійні падіння інтернету у Північній Кореї лежить не на Кіберкомандуванні США чи на будь-якій іншій подібній державній установі. Це все справа рук одного американця у футболці, піжамних штанах і шльопанцях, що дивився ночами у своїй вітальні фільми про Чужих під гострі чипси та іноді заглядав до свого кабінету перевірити, як там працюють програми, що він запустив в атаку на інтернет цілої країни.

Буквально рік тому незалежного хакера під ніком P4x самого атакували північнокорейські шпигуни. P4x став однією з жертв хакерської кампанії, спрямованої на західних спеціалістів з безпеки, аби викрасти їхні програми і дані про вразливості програмного забезпечення. Він каже, що зміг захиститися і нічого хакерам не злив. Але все одно його дуже зачепило, що державні хакери атакували саме його, і що уряд США нічого не зробив у відповідь на цю атаку.

Рік він ходив з цим відчуттям, і врешті вирішив діяти сам. “Це здавалося правильним: якщо вони побачать, що ми не огризаємося, то продовжуватимуть так і надалі”, – каже хакер. (P4x говорив з редакцією WIRED і показував записи своїх екранів, аби підтвердити, що саме він стоїть за атаками, але не назвав свого справжнього імені з міркувань безпеки та відповідальності перед законом). “Я хотів дати їм зрозуміти, що якщо нападаєш на нас, то і твоя інфраструктура страждатиме”.

P4x каже, що знайшов у північнокорейських системах численні відомі вразливості, не закриті патчами. Це дозволило йому самостійно розгорнути DDOS-атаки на сервери та маршрутизатори, від яких залежить робота інтернету країни. Більшість своїх знахідок він не розкрив, аби уряд Північної Кореї не закрив їх. Але як приклад він показав відому проблему у вебсервері NGINX, котрий неправильно обробляє деякі HTTP-заголовки, через що сервери не встигають опрацьовувати вхідні запити та врешті падають під навантаженням. Він також згадував, що зустрічав там дуже давні версії вебсервера Apache і почав вивчати північнокорейську розробку державної операційної системи під назвою “Червона зірка”, яка, схоже, є старою і напевне вразливою версією Linux.

P4x додає, що загалом автоматизував свої атаки на системи Північної Кореї, періодично запускаючи скрипти, аби дізнатися, які системи зараз онлайн, і запускаючи експлойти, аби вивести ці системи з ладу. “Для мене це робота рівня малого чи середнього тестування системи на проникнення”, – стверджує P4x. Він раніше займався таким білим хакерством на замовлення, аби виявити вразливості у мережах замовників. “Що цікаво, добитися перших результатів виявилося дуже просто”.

Такі порівняно прості хакерські методи відразу мали ефект. Дані сервісу Pingdom, який веде статистику доступності сайтів, показують кілька випадків майже повного офлайну північнокорейських вебсайтів під час атак P4x. Деякі лишилися у робочому стані, як-от портал новин Uriminzokkiri.com, але вони розміщені за межами країни. Джунейд Алі, спеціаліст з кібербезпеки, який моніторить північнокорейський інтернет, каже, що помітив ці загадкові масовані атаки на інтернет країни два тижні тому, і після того слідкував за ними уважніше, але не мав уявлення, хто за ними стоїть.

Алі бачив, як ключові маршрутизатори країни іноді переставали працювати, що призводило до недоступності не лише вебсайтів, а й електронної пошти та інших інтернет-сервісів. “Коли їх маршрутизатори виходять з ладу, то у Північну Корею просто не може пройти жоден запит”, – говорить Алі, описуючи результат як по суті повне відключення інтернету в країні. P4x зауважує, що хоча його атаки іноді зачіпали всі вебсайти країни та доступ до них з-за кордону, але вони не впливали на доступ корейців до решти інтернету.

Хоч такі масштабні атаки самостійних хакерів і рідкісні, їх наслідки для уряду Північної Кореї, однак залишаються незрозумілими. Мартін Вільямс, спеціаліст з досліджень Північної Кореї центру Stimson Center, що входить до проєкту 38 North, нагадує, що дуже мала частка населення має там вихід в інтернет. Більшість має доступ лише до внутрішньої ізольованої мережі країни. Вільямс говорить, що десятки сайтів, які ламав P4x, використовуються для пропаганди та інших задач на зовнішню аудиторію.

Вільямс погоджується, що злами сайтів стали там головним болем для якихось чиновників, але вважає, що хакери, котрі атакували P4x минулого року, та і взагалі більшість урядових хакерів перебувають в інших країнах, зокрема у Китаї. “Як на мене, якщо він прагне провчити тих людей, то не там шукає, – говорить Вільямс. – Але якщо він просто хотів побісити Північну Корею, то це йому, певно, вдалося”.

P4x вважає, що якщо вдалося подратувати місцевий режим – це успіх. Він не мав наміру атакувати місцеве населення, яке і так не має доступу до інтернету. “Я точно хотів якомога менше зашкодити людям і якомога більше – уряду”, – додає P4x.

Він розуміє, що такі атаки, за його ж словами, – десь на рівні із зірваними прапорами чи графіті на будівлях. Але додає, що поки що його спроби злому спрямовувалися на пошук вразливостей. Тепер же він хоче спробувати зламати власне самі системи Північної Кореї, аби добути інформацію і передати її спеціалістам. Водночас він хоче залучити більше активістів-хакерів до цієї справи, для чого створив у даркнеті сайт під назвою FUNK Project (“FU North Korea”), аби діяти колективно.

“Це проєкт проти нахабства Північної Кореї, – йдеться на сайті. – Ти можеш допомогти й самостійно. Задача – робити атаки у відповідь і збирати інформацію, аби Північна Корея не думала, що може безкарно проводити хакерські злами на Заході”.

P4x каже, що його зусилля хакера-активіста мають подати сигнал не лише північнокорейському уряду, а й уряду його країни. Він пояснює, що своїми кібератаками на мережі Північної Кореї у тому числі намагався привернути увагу до відсутньої офіційної відповіді уряду на дії корейців щодо американських громадян. “Якщо мені ніхто не збирається допомагати, я сам собі допоможу”, – говорить він.

P4x точно знає, коли його атакували північнокорейські шпигуни. Наприкінці січня 2021 року він відкрив файл від іншого хакера, який сказав, що це програма для запуску експлойтів. Добу потому йому трапився пост Групи аналізу ризиків в Google, де попереджали про хакерів з Північної Кореї, що цілеспрямовано працюють по спеціалістах з безпеки. Звісно ж, коли P4x дослідив хакерську програму від незнайомця, то виявив там закладку для віддаленого доступу до його комп’ютера. P4x відкривав файл на віртуальній машині, обмеживши йому доступ до решти системи. Але проте його неприємно вразило, що його особисто вважає своєю ціллю Північна Корея.

P4x говорить, що на нього пізніше виходило ФБР, але йому не запропонували ніякої допомоги в оцінці шкоди від дій Північної Кореї чи у захисті від подібних ситуацій у майбутньому. Також йому нічого не відомо про наслідки для хакерів, що його атакували, про початок розслідування, чи хоча б про офіційну заяву від американської державної установи, що за це відповідальна Північна Корея. Він каже, що було відчуття, що на нашому боці просто нікого нема.

На запит редакції WIRED до ФБР щодо їх реакції на дії Північної Кореї, установа відповіла так: “Як провідне агентство по реагуванню на загрози, ми покладаємося на повідомлення від громадського та приватного сектора про підозрілу діяльність чи втручання, і співпрацюємо з ними, аби переконатися, що ми розуміємо, що сталося, запобігти повторним випадкам і притягнути винних до відповідальності. Обов’язок ФБР – переслідувати злочинців і країни, що стоять за кібератаками, і не дозволяти крадіжок інтелектуальної власності чи погроз.”

Після того випадку у ролі жертви державного кібершпигунства P4x був більшість року зайнятий іншими справами. Але коли минув рік без жодних публічних чи приватних заяв від федерального уряду щодо цього, і без пропозицій підтримки від американських державних установ, P4x вирішив, що настав час зробити власну заяву і для північнокорейського, і для американського урядів.

Не всі інші хакери, яких зламувала Північна Корея, вважають, що серія атак від P4x – правильний спосіб донести цю заяву. Дейв Айтель, колишній хакер NSA і засновник фірми з питань безпеки Immunity, теж був ціллю у тій шпигунській кампанії. Але він сумнівається, що P4x обрав ефективний шлях поквитатися, тому що він насправді може заважати тоншим розвідувальним діям, спрямованим на ті самі північнокорейські комп’ютери.

“Я б не хотів перешкоджати справжнім операціям західних розвідок, якщо на тих серверах дійсно можна знайти щось цінне”, – говорить Айтель.

Однак Айтель погоджується, що відповіді уряду на кампанію Північної Кореї не було. Він каже, що з ним ніхто з державних органів не виходив на зв’язок, і звинувачує у цьому Агентство з кібербезпеки та захисту інфраструктури. Айтель говорить, що це один з найбільших провалів Агентства. Він додає: “У Сполучених Штатів добре виходить захищати уряд, непогано – корпорації, але люди ніяк не захищені”. Айтель пояснює, що більшість зі спеціалістів з безпеки, що були цілями північнокорейської операції, мали широкий доступ до даних про вразливості програмного забезпечення, до корпоративних мереж і коду популярних хакерських програм. Тепер, за його словами, може статися ще одна атака на зразок SolarWinds.

Агентство з кібербезпеки та захисту інфраструктури відповіло на запит редакції WIRED: “Обов’язок Агентства – підтримка спільноти з питань кібербезпеки у виявленні та захисті від кіберзлочинців. У рамках цього ми закликаємо кожного спеціаліста, що став жертвою кібератак, звернутися до уряду США, аби отримати від нас усю можливу допомогу.”

Якщо винести критику уряду США за дужки, P4x однозначно говорить, що його хакерство у першу чергу спрямоване подати сигнал режиму Кіма, який він характеризує “божевільними порушеннями прав людини та повним контролем над населенням”. І хоча він визнає, що його атаки, певно, суперечать американському законодавству, він, однак вважає, що з етичної точки зору не зробив нічого поганого. “Моя совість чиста”, – додає він.

І яка ж кінцева мета його кібератак на мережеву інфраструктуру тоталітарного уряду? Коли він їх припинить?

“Повалення режиму. Жартую, – сміється P4x. – Я просто хочу довести свою правоту. Довести її однозначно, перш ніж припиню.”