Эксперты рассказали об эволюции киберопераций Северной Кореи

Северной Корее потребовалось всего несколько лет, чтобы развить свой киберпотенциал от исключительно разрушительных кампаний до сложных технических операций. Об этом рассказали ресурсу Dark Reading специалисты Джош Берджесс (Josh Burgess) и Джейсон Ривера (Jason Rivera) из компании CrowdStrike.

Финансовая мотивация отличает Северную Корею от других группировок иностранных государств. Большинство правительственных хакеров мотивированы целями национальной безопасности или национальной экономики, и их деятельность в первую очередь сосредоточена на общем благосостоянии страны.

Но финансовая выгода — не единственный отличительный фактор. Хотя кибератаки стали более изощренными, Северная Корея часто прибегала к разрушительным действиям, начиная с 2007 года. Подобная стратегия не часто наблюдается в других государствах. Северная Корея начала отказываться от разрушительных кибератак после атаки на Sony в 2014 году и перешла к «двойному подходу», который ставит во главу угла как сохранение контроля для текущего режима, так и атаки для стимулирования экономики.

«Во многом это связано с санкциями и большим экономическим давлением, которое США начали оказывать на Северную Корею [...] и чем больше санкций вы наложите на них, тем сложнее им участвовать в законных торговых операциях, которые, конечно, призваны действительно заставить их вести себя лучше на международной арене», — пояснили эксперты.

Северная Корея удвоила свои киберпреступные операции — в 2015 и 2016 годах она атаковала финансовые учреждения, такие как Центробанк Бангладеш , и программное обеспечение системы для передачи финансовой информации SWIFT для получения финансовой выгоды.

Данные атаки подчеркивают еще одну отличительную черту Северной Кореи — каждая атака предназначена для достижения определенной цели. Например, атаки на финансовые учреждения менее привязаны к географическому положению, однако для достижения целей национальной безопасности могут быть атакованы компании в США, Южной Кореи или на территории других региональных противников.

Как отметили исследователи, хакерам из Северной Кореи удалось сократить время, требуемое для перемещения внутри сети. Киберпреступникам из Северной Кореи в среднем требуется 2 часа 20 минут на взлом. Для сравнения, России требуется в среднем 19 минут на взлом, Китаю — четыре часа, а Ирану — пять, чтобы достичь той же цели.