Северная Корея была полностью отключена от интернета как минимум два раза за последний месяц. Это в сети заметили многие. Все веб-сайты с доменными именами, заканчивающимися на «.kp», стали недоступными. Было неясно только, что это: огромная ошибка северных корейцев или целенаправленная атака извне.
Первые падения заметили 14 января, и они длились по несколько часов в течение больше недели. Потом похожие периодические отключения с 25 января. Было похоже на то, что ИТ-инфраструктура Северной Кореи подверглась распределенной атаке типа «отказ в обслуживании» (DDOS).
В отчете, опубликованном на днях, хакер-одиночка, желающий мести, рассказал Wired, что он несет ответственность за нанесение вреда интернету страны.
Американский хакер, известный под псевдонимом P4x, говорит, что в прошлом году стал одной из жертв кибератаки на десятки западных исследователей в области кибербезопасности, организованной северокорейскими агентами.
P4x точно помнит момент, когда на него вышли северокорейские шпионы. В конце января 2021 года он получил от коллеги-исследователя файл. Тот сказал, что это инструмент для создания эксплоитов. Всего через 24 часа он обнаружил сообщение в блоге Google Threat Analysis Group, предупреждающее о том, что северокорейские хакеры нацелились на исследователей безопасности.
Когда P4x открыл полученный файл на виртуальной машине и тщательно его изучил, то увидел, что он содержит бэкдор. И был потрясен осознанием того, что он лично стал мишенью Северной Кореи.
Он сказал, что хакеры пытались украсть различные инструменты и информацию об уязвимостях ПО, но он смог остановить их до того, как они смогли получить что-то стоящее. Через несколько дней с ним связалось ФБР, чтобы выяснить детали, но ему так и не предложили никакой реальной помощи. Он никогда не услышал о каких-либо последствиях для хакеров из Северной Кореи, которые нацелились на него. Против них не начали открытого расследования. Не появилось даже официального признания американским агентством ответственности Северной Кореи. У P4x возникло ощущение, как он выразился, что «на моей стороне в действительности никого нет».
Он был разочарован тем, что стал мишенью, и что США, похоже, ничем не ответили. Так что решил взять дело в свои руки.
Это показалось правильным поступком. Если они не увидят, что у нас есть зубы, это будет продолжаться постоянно.
Я хочу, чтобы они поняли: если вы нападете на нас, это значит, неизбежно, что часть вашей инфраструктуры на какое-то время выйдет из строя.
Таинственные сбои в работе интернета Северной Кореи появились примерно в то же время, когда страна начала проводить рекордные испытания оружия, запуская новые гиперзвуковые ракеты. Такое совпадение этих событий заставило некоторых экспертов заподозрить, что за атаками может стоять иностранное государство, такое как Южная Корея или США. Но P4x заявил, что это не так.
Wired говорит, что P4x предоставил им записи экрана, демонстрирующие его ответственность за атаки на серверы Северной Кореи.
Хотя хакер открыто взял на себя ответственность за атаки, P4x отказался раскрыть конкретные уязвимости в северокорейской системе, которые, по его словам, он нашел и использовал, чтобы неоднократно в одиночку отключать интернет всей страны.
P4x говорит, что он в значительной степени автоматизировал свои атаки на северокорейские системы, периодически запуская скрипты, которые находят, какие системы еще остались в сети, и запускают эксплоиты, чтобы вывести их из строя. «Для меня это похоже на небольшой или средний пентест», — говорит P4x. — «Я тестирую их системы на безопасность, и нахожу ошибки. Довольно интересно, как легко было добиться какого-то эффекта».
P4x также сообщил Wired, что он дал интервью, потому что пытается собрать больше «хактивистов» для присоединения к веб-сайту в дарк вебе, который он запустил неделю назад. Сайт называется FUNK project (что означает FU North Korea) и будет заниматься контратаками против северокорейских угроз.
На сайте FUNK говорится:
Вы действительно можете изменить ситуацию, даже как один человек.
Цель состоит в том, чтобы пропорционально осуществлять атаки и собирать информацию, чтобы не дать СК полностью беспрепятственно взламывать западный мир.
Хотите, чтобы до ваших данных не добрались никакие хакеры? Выбирайте дата-центр ITSOFT. Размещение и аренда серверов и стоек в двух Tier 3 дата-центрах в Москве. UPTIME 100%. Лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.
Комментарии (75)
Gedeonych
06.02.2022 08:50+6Перед глазами прямо таки возник образ "хакера". Эдакая смесь всем известного Дениски и Греты Тунберг.
tormozedison
06.02.2022 11:24+7Вот эта штука на КДПВ с трекболом, клавиатурой и тумблерами сделана из пианино?
numb13
07.02.2022 10:22+1Это же верх инженерной мысли для HMI ! 3 века уже прошло а форма пианино так и не поменялась)
tormozedison
07.02.2022 13:54А мне кажется, тот, кто изготовил эту штуковину, в детстве подвергался изощрённым родительским пыткам при помощи пианино. А когда вырос, решил отыграться.
Borz
06.02.2022 11:27+4Статья ради последнего абзаца. Причём там типа вся страна против одного справиться не может, а тут один хостер обещает справиться...
pae174
06.02.2022 16:52+6В 2016 из-за ошибки в настройке DNS утекла вся доменная зона kp. В результате внезапно оказалось, что в Северной Корее в 2016 году на всю страну есть всего 28 сайтов.
Я сейчас прошёлся по списку - там многие из этих сайтов хостятся на выставленном во внешний мир старом Apache 2.2 и древнем PHP 5.3. У некоторых какой-то древний Nginx и опять же древний PHP. Это всё не очень то секьюрно.
Сравнивать этот детский сад с возможностями современного хостинга просто не имеет смысла.
Vilgelm
06.02.2022 17:34+1Это довольно специфическая страна, так что есть шанс что хостер лучше справится.
anton19286
06.02.2022 12:43+11человек занимается экономическими диверсиями против случайной страны потому что знакомый прислал ему троян и у него подгорело?
Revertis
06.02.2022 13:37+4Я бы даже сказал, что гражданин США (раз работает с ФБР) в одиночку объявил войну другому государству. Странно, что власти США этому не мешают.
CampoT1P
06.02.2022 14:52Гражданин США, работающий с ФБР, в одиночку объявил войну КНДР, и власти США этому никак не мешают.
Новости о русских хакерах были, о китайских тоже были, теперь пошли про американских. Я думаю в 21 веке иметь карманных хакеров (которые конечно же не имеют никакого отношения к спецслужбам) - это норма этикета для любого крупного государства.
Revertis
06.02.2022 16:31+1Причём вроде как везде DDoS считается уголовным преступлением, и взлом десятков тысяч устройств и использование их в целях DDoS тоже уголовка. И из новости непонятно, то ли DDoS он делал, то ли уязвимости использовал. Всё вперемешку.
pae174
08.02.2022 16:29Гражданин США, работающий с ФБР, в одиночку объявил войну КНДР, и власти США этому никак не мешают.
Был достаточно прикольный фильм про то, как гражданин США объявил войну США. Васти его как-то там обидели и он в ответ послал в правительство ноту об объявлении войны. Нота эта была небрежно проигнорирована местными бюрократами (это они зря так). А потом он принялся нападать на инкасаторские машины, перевозящие деньги для военнослужащих и даже убил походя водителя одной из них. Его поймали хорошенько, но внезапно оказалось, что его нельзя судить за ограбления и убийство т.к. всё, что он там натворил, чисто юридически классифицируется как военные действия и подрывная деятельность против военных противника. А убитый водитель был военнослужащим и потому это не жертва ограбления а боевая потеря на войне. То есть чувак с точки зрения законодательства вообще военнопленный. А военнопленного надо по завершении войны вернуть его стране. Так что он в суде объвил о прекращении войны с США и потребовал немедленного его возвращения в США.
GeorgKDeft
06.02.2022 22:43+3Миссия: Неадекватна (2016) - больной человек в одиночку по поручению Всевышнего решает в одиночку поймать Усаму бен Ладена. Основанно на реальных событиях (он даже в Пакистан летал для этого, пока его оттуда не выперли спецслужбы США обратно).
И какой то хакер который никому не мешает жить подгаживает стране которая и в суд на него в штатах подать не сможет... зачем ФБР на это даже бумагу в офисе тратить?
globeit
06.02.2022 15:03+6@ITSoftWeb а почему новость, да еще переведенная, не получила ни плашки "перевод", ни плашки "новость"?
kompilainenn2
06.02.2022 15:19+3Картинки остро напомнили клип Литтл Биг "Лолли бомб", кто не видел обязательно посмотрите. https://youtu.be/FBnAZnfNB6U
deema35
У автора мысли путаются. По мойму журналисту дали задание написать статью про хакера одиночку, он набрал терминов связаных с хакерами и из них соорудил статью.
HardWrMan
А разве никого не смутило, что "сильный хакер" бездумно запускает кем-то переданный ему код без личного анализа? Неважно, насколько ты доверяешь человеку, который дал тебе код, в таком деле как кибербезопасность ты обязан проверять весь код лично.
0serg
Он же его на виртуалке запустил, в песочнице
edogs
Это еще смешнее. То-то эксплоитов выходящих из песочниц не было никогда и существовать не может.
Ладно бы на физическом устройстве отсоединенном от интернета.
a2v
песочница могла работать и на отведенным для таких целей отдельном пк без сети
Murtagy
как минимум таких эксплойтов меньше и они на порядок сложнее
Mnemonik
"эксплоитов выходящих из песочниц"? а не подскажете рабочий, а то мне надоели бесплатные тарифы на AWS, хотелось бы захватить весь сервер там выйдя из виртуалки, должно быть несложно вроде как вы описываете.
HardWrMan
Ну, тут же была не так давно статья, про расположение свопа виртуальной машины в свопе хоста ради ускорения...
edogs
Э, мы правильно поняли Вашу логику?:)
Если прямо сейчас, в публичном доступе, нет несложного, действующего в том числе на амазоне, позволяющего выйти из виртуалки эксплоита, то профессионал занимающий компьютерной безопасностью, получив какой-то левый файл от государственных хакеров нацелившихся на группу других хакеров может абсолютно безопасно запускать его в виртуалке и все точно будет окей?:)
Mnemonik
да вы вполне правильно поняли, что эксперт в области безопасности это наверное максимально тот самый человек который может себе позволить запускать всё что угодно, приняв меры предосторожности которые он в силу своей профессии знает очень хорошо. а то и, просто вдумайтесь, обладает несложным, не находящимся в публичном доступе способом отследить или даже ограничить выход за пределы песочницы любого, в том числе северокорейского эксплоита. а, как вам такой встречный аргумент?
edogs
qw1
Северокорейцам, имея такой редкий, сверх-ценный эксплойт, было бы глупо прямо отдать его в руки исследователя. Всё равно что написать вирус и залить его на VirusTotal, чтобы убедиться, что сейчас он никем вообще не детектируется. А всё ради чего? Личность этого человека они и так знают, а ценные данные с ПК — маловероятно, что удасться получить. Всё же хакер не совсем дурак.
HardWrMan
Приведу цитату из статьи:
Т.е., стилистически написано так, что хакер сначала открыл файл, полученный от коллеги, через сутки узнал о новости про слежку северокорейскими хакерами за другими и только после этого снова открыл файл уже в виртуальной машине. Я это понял так. Давайте докапываться до истины, как это было на самом деле.
LinearLeopard
> А разве никого не смутило, что "сильный хакер" бездумно запускает кем-то переданный ему код без личного анализа? Неважно, насколько ты доверяешь человеку, который дал тебе код, в таком деле как кибербезопасность ты обязан проверять весь код лично.
Я бы скорее удивился, если бы нашёлся человек, который каждый файл, полученный от коллег, проверяет на отключённом от интернета компе, ни разу не поленившись.
HardWrMan
В массе обычных пользователей вы правы. Но речь то не за совсем обычного пользователя же.
lealxe
Блджад, есть же такая вещь, как "целевая аудитория", здесь формально технический сайт.
Вот хто такое постит?
Wesha
Это же перевод статьи из журнала Wired. Там у них ещё и не такая клюква есть. Например, как злобные рюцкие хакеры отключили Украине лепестричество.
Lazzzz
Хорошая статья, спасибо.
Не понятно только зачем вы так название статьи коверкаете.
Вы что сомневаетесь, что группировка не побрезговавшая взорвать жилые дома для прихода к власти и умело подавившая людей внутри страны, ведёт сейчас войну против Украины?
Или вы сомневаетесь что применяя методы информационной войны, дипломатической войны, войны прокси-силами, угрозы открытой полномасштабной войны, подкупая западных чиновников и создавая в Украине антиукраинские партии эти люди вдруг откажутся от кибер атак?
Wesha
Хабр не для политики.
Но при слове "кибератака" ожидаешь что-то вроде приснопамятного STUXNET, углубляешься в статью — а там нечто гораздо более похожее на "кулхакер Вася из шестого "Б" нашёл открытый всему миру порт RDP без пароля".
VolodjaT
Это не политика, а военные преступления
Graphite
Почитал статью, не нашел там ничего похожего. Переписать MBR на доменных контроллерах это конечно не rocket science, но и от шестого класса очень далеко
Wesha
Статья была уже ХЗ сколько лет назад, поэтому деталей не помню, но в память врезался пассаж про "оператор с отвисшей челюсью наблюдал, как у него на экране курсор щёлкал по иконкам размыкателей, отключая части энергосистемы". Судя по этому описанию, это голимый RDP в управляющий терминал (раз оператор имел возможность наблюдать).
Graphite
Вообще я сомневаюсь, имеет ли смысл это объяснять, но попробуем. Видео там прилагается, на нем видно что происходит. Это может быть Remote Desktop, Team Viewer или даже VNC. Да хоть один из сотен Remote Control Kit. Удаленное управление - это фактически современный стандарт, тем более если речь о физически удаленных компьютерах. Вот только к этому моменту они уже давно захватили доменные контроллеры, так что даже если бы никакого удаленного контроля там раньше не было - его бы легко установили.
Так что это вы своим комментарием выдаете в себе кулхакера Васю из шестого Б.
Wesha
Естественно. Видите, сами ж догадались, мне даже не пришлось Вам это расписывать.
Ага, прямо удивительно, и как это STUXNET обошёлся без "вождения курсором мышки по экрану", а полез напрямую в контроллеры центрифуг, так что никто ничего даже и не заподозрил, пока они не сказали "кряк!".
Graphite
То есть я был прав и объяснять смысла нет.
Wesha
Да, если вершина хакинга в Вашем понимании — это "зайти на рабочую станцию оператора по RDP/VNC/итд" — то смысла в дальнешем разговоре и правда не вижу.
Graphite
Если бы вы занимались пентестами, red/blue team или на худой конец читали бы отчеты по APT группировкам, то были бы в курсе, что уже лет 15 как все поняли, что нужно по максимуму использовать стандартные инструменты администрирования и удаленного управления - power shell, RDP и т.п. Потому что если тащить какие-нибудь бинари с командного центра или, еще хуже, компилировать их прямо на машине, то EDR их быстро ловит. Поэтому вот вообще ничего удивительного, что они взломали и пользовались тем, чем пользовались сами админы.
Но вы же эксперт по безопасности, вам конечно виднее.
Wesha
Если Вы хотите сказать, что на управляющем компе электростанции стоял "стандартный инструмент администрирования и удаленного управления", торчащий открытым портом наружу в интернет, то я опять промолчу — только в этот раз уже относительно квалификаций эксплуатантов станции (и тех, кто им ИБ организовывал), а не Вашей. И я уже писал, что следовало делать оператору при первых признаках "захвата сессии через RDP" — а не щёлкать клювом, глядя, как "злодей мышкой размыкает выключатели".
Что опять же совершенно не исключает кулхакера Васю (особенно если пароль на RDP был "password123").
Graphite
Стоял конечно, чтобы ИТ отдел мог не ездить по всем электростанциям с флешками. Там вообще на видео Windows XP, в нем RDP, например, стоит по умолчанию.
У вас с головой все в порядке? Вы живете в каком-то собственном воображаемом мире в котором все что вы придумали немедленно становится правдой.
Wesha
Нет, это Вы в очень удобном мире живёте: сам себе придумал, что оппонент хотел сказать — сам себе тут же это опроверг — сам себя похвалил.
Graphite
Вы сами придумали "торчащий открытым портом наружу в интернет" и тут же написали комментарий, в котором это то ли истина, то ли я это сказал. Причем для этого не то что предпосылок нет - вся статья указывает на то, что это не так. Неспособность отличить свой вымысел от реальности - это серьезный симптом, вам бы с визитом к специалисту не затягивать.
Wesha
Скажите, пожалуйста, Вы всегда читаете слова "нечто гораздо более похожее на" как "так оно и было, зуб даю, мамой клянусь"? Неспособность читать то, что написано, а не то, что хочется — это гораздо более страшный симптом.
Graphite
Вот что вы написали. Вы придумали это сами несколькоми комментариями выше и затем решили, что кто-то другой хочет вам это сказать.
Wesha
Цитата:
Повторяю вопрос: где здесь написано, что так оно и правда на самом деле было? Ежу понятно, что было как-то по другому, но совершенно не удивлюсь, если было и так: в моей практике юзера — редкостные раздолбаи.
Graphite
Цитата:
Повторяю:
Wesha
Цитата:
Вы слово "если" видите? Если хотите — говорите, если НЕ хотите — так и скажите: "нет, я не это хотел сказать". Вы в условными операторами не знакомы, что ли?
Graphite
Так с чего же вы решили, что я хочу вам сказать что-то, что вы сами придумали?
Если вы хотите сказать, что уже выпили с утра одеколонки, то вы конечно правы.
Wesha
Потому что у Вас несомненный талант вместо того, чтобы чётко и ясно выразить свою мысль, предоставлять оппонентам пытаться понять, что именно Вы хотели сказать, а когда они угадывают неправильно — оскорблять их.
Graphite
Я пишу четко, ясно и ровно то, что хочу сказать. А вы зачем-то что-то придумываете и угадываете.
Мысль изначально очень простая: статья написана на очень хорошем техническом уровне с достаточным количеством деталей, чтобы и у экспертов не было вопросов, и простые обыватели смогли понять.
Ваш единственный аргумент против - "голимый RDP". Поэтому вторая очень простая мысль: настоящие хакеры используют RDP а считающий, что RDP используют только кулхакеры из шестого класса - сам от шестого класса недалеко ушел.
А вот зачем вы занимаетесь какими-то домыслами, да ещё приписываете мне желание их высказать - это для меня загадка.
Если одеколонки-то выпили - хоть намекните уже. А то я никак не могу угадать, это ли вы хотите сказать.
Wesha
Я окончательно разуверился в Вашей способности воспринимать то, что написано, а не то, что Вы сами для себя придумали. На сём продолжение дискуссии считаю бессмыссленным, а кто из нас двоих в итоге д'Артаньян — как всегда, решат для себя читатели. Честь имею.
Graphite
Вы бы для этих самых читателей указали, где же у вас хоть одна претензия к статье по существу, окромя "голимый RDP" да еще и "торчащий портом в интернет". Ссылкой там или цитатой. Хотя подождите, нечего же цитировать. Ну ладно, читателям виднее.
Wesha
Я своих читателей за идиотов не держу. И как минимум 18 человек прекрасно поняли, о чём я говорил.
Graphite
Судя по числу 18 - речь о комментарии, где никаких конкретных претензий-то и не высказано, только какие-то ваши абстрактные ожидания от слова "кибератака". Давайте я процитирую, что вы выдвинули в качестве претензии следом:
То есть по своей неграмотности вы приняли нечто за "клюкву" и это "врезалось вам в память". Еще хоть одна конкретная претензия у вас есть? Претензия вида "больше похоже на" от вас никаким весом уже не обладает, т.к. вы уже продемонстрировали глубину своих познаний по теме. Так что только конкретные - и заодно покажите где же вы их уже высказывали. Для тех кто не умеет читать ненаписанное.
Wesha
Наш с Вами диалог — практически один в один хрестоматийный, так что ещё раз: честь имею.
Graphite
С той лишь разницей, что в том диалоге показывают, а вы лишь загадочно постите анекдоты вместо цитат или ссылок на хоть одну конкретную претензию к статье.
Wesha
Как я уже сказал, как минимум 18 читателей прекрасно увидели, что им показывают, и только Вы один всё никак не понимаете, сколько Вам ни показывай.
Честь. Имею.
Graphite
Откуда вы знаете, если вы так ни разу и не показали?
Wesha
Господа присяжные, я всё сказал. ¯\_(ツ)_/¯
Graphite
Но так и не показал ¯\_(ツ)_/¯
Wesha
Кстати, нашёл ту самую статью (вернее, её перевод на Хабре)
JuryPol
Ещё про дворец забыли...
smutek_blaznu
Wesha
Можно, но очень недолго :)
Sim_Miner
Дядя Петя, вы дурак?