По данным южнокорейского Financial Security Institute, основной целью северокорейских хакеров является уже не кража военных и промышленных секретов или дезорганизация работы зарубежных компаний и государственных органов. На фоне ужесточения международных санкций хакеры из КНДР нацелены на кражу денег, в связи с чем сосредоточились на финансовых компаниях.
Южнокорейский государственный институт по изучению вопросов финансовой безопасности (FSI) проанализировал деятельность хакеров, которых он считает северокорейскими, за последние два года. Специалисты пришли к выводу, что в 2015–2017 годах северокорейские хакеры сменили основное направление своих атак. Если раньше они пытались украсть военные и промышленные секреты у зарубежных государств либо затруднить работу зарубежных организаций, то теперь они больше заинтересованы в краже средств из-за рубежа.
Как отмечает FSI, это связано с ужесточением международных санкций против КНДР, в последнее время активизировавшей свою военную программу. Международные санкции еще больше усложнили экономическое положение Северной Кореи, что заставило местных хакеров сосредоточиться на добыче денег для государства. FSI полагает, что за хакерскими группировками под условными названиями Lazarus и Bluenoroff стоят северокорейские власти, и эти группировки в последнее время осуществили несколько атак на финансовые учреждения ряда стран.
Например, многие эксперты в области компьютерной безопасности считают, что за прошлогодней кражей $81 млн из ЦБ Бангладеш стоит именно Lazarus. В апреле стало известно, что хакеры Bluenoroff осуществили атаку на ряд финансовых организаций, онлайн-казино и криптовалютных бирж в таких странах, как Мексика, Австралия, Уругвай, Россия, Норвегия, Индия, Перу и Польша. «Bluenoroff и подразделение Lazarus под названием Andariel имеют общие корни. При этом Andariel больше работает по южнокорейским частным компаниям и государственным учреждениям»,— отмечается в докладе FSI.
Также сообщается, что часть украденных у финансовых компаний данных затем передается доверенным лицам северокорейских властей в ряде других азиатских стран, например в Китае, на Тайване или в Таиланде. Затем они пытаются использовать краденые данные для снятия денег в местных банкоматах.
Впрочем, по данным WSJ, им удалось получить лишь несколько тысяч долларов, после чего южнокорейские правоохранительные органы обнаружили эти попытки. Сами власти КНДР всячески отрицают свою причастность к хакерской деятельности.
По данным Symantec, северокорейские хакеры также стоят за февральской атакой на польские банки. «У нас есть основания быть уверенными в том, что за этим стоят хакеры из Lazarus»,— сообщил еще в марте в интервью Reuters представитель Symantec Эрик Чен.
Напомним, в феврале вредоносные программы были обнаружены на серверах около 20 польских банков и даже в компьютерной системе финансового регулятора страны. Сообщалось, что при загрузке вируса на служебный компьютер, связанный с сервером, злоумышленники могли получать возможность удаленного управления конфиденциальными данными с сервера. Пока неизвестно, каков объем потерь, понесенных банками в ходе этих атак.