Когда северокорейские хакеры попытались в прошлом году украсть миллиард долларов из нью-йоркского отделения Федерального резерва, только грамматическая ошибка помешала им. Они опустошали счёт центрального банка Бангладеш, когда банкиры заподозрили неладное в платёжном поручении, где вместо «фонд» было написано «форд». Но миньоны Ким Чен Ына всё равно унесли 81 миллион долларов.

Затем только невероятная удача британского 22-хлетнего хакера помогла обезвредить крупнейшую на сегодня северокорейскую атаку с использованием программы-вымогателя, проведённую в мае, которая не принесла много денег, но вывела из строя тысячи компьютеров в десятках стран, быстро парализовав британскую национальную службу здравоохранения.

Данные о них неоднозначны, но армия из более чем 6 000 северокорейских хакеров безусловно существует, и, совершенно очевидно развивается, согласно данным представителей американских и британских служб безопасности, которые отслеживали эти и другие атаки Севера.

Помимо пристального внимания к прогрессу Пхеньяна в развитии ядерного оружия, способного нанести удар по континентальной части США, северные корейцы без особого шума развивают киберпрограмму, которая ворует миллионы долларов и показывает, что способна создать мировой хаос.

В отличие от ракетных испытаний, которые повлекли за собой международные санкции, киберудары Севера не встретили ни протеста, ни наказания, хотя режим уже использует свои хакерские способности для реальных атак на противников на Западе.

Так же, как западные аналитики однажды проморгали потенциал ядерной программы Севера, эксперты упустили из вида его киберпотенциал, признав только сейчас, что хакерство является почти идеальным оружием для Пхеньяна, который изолирован и которому мало что терять.

Примитивная инфраструктура страны намного меньше подвержена ответному киберудару, да и хакеры Северной Кореи всё равно действуют за пределами страны. Санкции мало помогут, потому что большой пакет санкций уже введён. А советники Кима делают ставки на то, что никто не будет отвечать на кибератаки военными атаками из-за опасений эскалации напряжения между Северной и Южной Кореей.

«Кибератаки для них это индивидуально подогнанный инструмент власти, – говорит Крис Инглис, бывший заместитель директора Национальной службы безопасности, который теперь руководит изучением кибератак в Морской академии США. – Затраты низкие, атаки сильно ассиметричны, существует определённый уровень анонимности и маскировки. Они могут угрожать большому числу объектов национальной и частной инфраструктуры. Это источник дохода».

Инглис, выступая в этом месяце на кибервстрече в Кембридже, добавил: «Можно считать, что у них одна из самых успешных киберпрограмм на планете, и не потому, что она технически сильная, а потому, что они достигли всех своих целей с очень низкими затратами».

Это вряд ли можно считать односторонним конфликтом: в некоторой степени активный конфликт между США и Северной Кореей тянется годами.

Как США, так и Северная Корея установили цифровые «имплантаты» в разведуправлении Генерального штаба армии, северокорейском аналоге ЦРУ, согласно документам, которые Эдвард Сноуден опубликовал несколько лет назад. Американское кибернетическое и электронное оружие применялось для обезвреживания северокорейских ракет, но атака в лучшем случае добилась только части планируемого результата.

Естественно, обе стороны видят кибероружие как средство достижения тактического превосходства в своих ядерном и ракетном противостояниях.

Южнокорейский законодатель на прошлой неделе поведал, что Север успешно взломал военные сети Юга с целью хищения военных планов, включая «обезглавливание» северокорейского руководства в первые часы новой Корейской войны.

Существуют доказательства того, что Пхеньян внедрил так называемые спящие ячейки в критические объекты инфраструктуры Юга и его министерство безопасности, которые могут быть активированы для парализации источников питания и военных командных сетей.

Но мотивы Севера лежат не только в сфере политики: его самая знаменитая атака была проведена в 2014 году на «Сони Пикчерз Энтертейнмент», в ходе которой успешно удалось блокировать выпуск сатирического фильма про Кима.

Что до сих пор умалчивается, так это атака Северной Кореи на британскую телесеть несколько недель назад, чтобы не дать ей показать драму об учёном-ядерщике, похищенном в Пхеньяне.

Однажды Северная Корея выпустила плохо подделанные стодолларовые купюры, пытаясь добыть твёрдую валюту. Сегодня представители разведки предполагают, что Северная Корея собирает сотни миллионов долларов с помощью программ-вымогателей, краж средств из банков, взлома онлайновых видеоигр и недавнего взлома южнокорейских биткойновых бирж.

Один бывший начальник британской разведки оценивает улов киберналётов Севера в миллиард долларов в год, или треть национального экспорта.

Северокорейская киберугроза «доползла до нас», говорит Роберт Ханниган, бывший директор британского Штаба правительственных служб связи, который занимается электронным наблюдением и кибербезопасностью.

«Так как они представляют собой смесь странного, абсурдного, средневекового и высокотехнологичного, люди не воспринимали их всерьёз, – говорит он. – Как может такая изолированная отсталая страна иметь такие возможности? А как может такая изолированная отсталая страна иметь ядерный потенциал?»

Ким Чен Ир, отец нынешнего диктатора и инициатор северокорейских киберопераций, был любителем кино, который стал энтузиастом интернета, роскоши, доступной только элите страны. Когда Ким умер в 2011 году, в стране по оценкам было 1 024 IP-адресов, меньше чем в любом квартале Нью-Йорка.

Ким, как и китайцы, изначально видел в интернете угрозу железному контролю режима над информацией. Но его отношение начало меняться в начале 90-х после того как группа северокорейских учёных-компьютерщиков вернулась из зарубежной поездки и предложила использовать сеть для шпионажа и атак на врагов типа США и Южной Кореи, как говорят перебежчики.

Северная Корея начала вычислять молодых подающих надежды студентов для спецподготовки, отправляя многих на учёбу на лучшие компьютерные программы в Китае. В конце 90-х подразделение контрразведки ФБР заметило, что северокорейцы, присланные для работы в ООН, также поступили в университеты Нью-Йорка на курсы программирования не афишируя этого.

«Меня вызвали в ФБР и сказали: «Что нам делать?» – вспоминает Джеймс А. Льюис, в то время занимавшийся кибербезопасностью в Управлении торговли. – Я сказал им: «Ничего не делайте. Следите за ними и смотрите что они задумали».

Подразделение Севера по ведению кибервойны попало в приоритет после вторжения США в Ирак. Увидев американскую операцию «Шок и трепет» по «Си Эн Эн», Ким Чен Ир предупредил своих военных: «Если до сегодня война велась пулями и нефтью, – сказал он главным военачальникам, согласно данным знаменитого перебежчика Ким Хон Квана, – война 21 века ведётся информацией».

Подразделение поначалу отметилось неудачами и провалами.

«Их возможности гигантски выросли после 2009 года или примерно в это время, когда их серьёзно не воспринимали, – сказал Бен Бьюкенен, автор книги «Дилемма кибербезопасности» и сотрудник проекта по кибербезопасности в Гарварде. – Они проводили простые атаки на малозначительные страницы сайтов Белого дома или американской разведки, а потом их сторонники заявляли, что они взломали американское правительство. Но с тех пор их хакеры стали намного лучше».

«Национальная разведывательная сводка» в 2009 не уделила внимания хакерским способностям Севера, как и недооценила его программу ракет большой дальности. Сводка заявляла, что потребуются годы, прежде чем Север сможет стать реальной угрозой. Но режим уже создавал эту угрозу.

Когда Ким Чен Ын сменил своего отца в 2011 году, он расширил кибермиссию, сделав её не только средством ведения войны, но и сфокусировав её усилия на кражах, оскорблениях и формирования политического мнения.

«Кибероружие вместе с ядерным оружием и ракетами это «универсальный меч», который гарантирует нашим военным возможность безответного удара», – неоднократно заявлял Ким Чен Ын, согласно сообщениям шефа южнокорейской разведки. А ряд санкции ООН против Пхеньяна только подстегнул стремления Кима.

«Мы уже вводим санкции на всё, что можем, – сказал Роберт П. Силверс, бывший помощник секретаря по киберполитике Управления национальной безопасности при администрации Обамы. – Они уже самая изолированная нация в мире».

К 2012 году официальные и частные исследователи говорили, что Северная Корея разослала свои хакерские группы за рубеж, которые в основном использовали китайскую сетевую инфраструктуру. Это позволило Северу использовать в преступных целях незащищённые соединения с интернетом и постоянно отказываться от ответственности.

Недавний анализ фирмы «Рикордед фьючер», занимающейся кибербезопасностью, обнаружил активность Северной Кореи в Индии, Малайзии, Новой Зеландии, Непале, Кении, Мозамбике и Индонезии. В некоторый случаях, например, в Новой Зеландии, северокорейские хакеры просто проводили свои атаки через компьютеры, находящиеся в стране, из-за рубежа. В других, считают исследователи, они физически находятся в странах типа Индии, откуда производится пятая часть пхеньянских кибератак.

Разведслужбы сегодня пытаются отследить северокорейских хакеров в этих странах тем же образом что и спящие террористические ячейки или поставщиков ядерных технологий: поиском их любимых гостиниц, копанием в онлайн-форумах, в которых они могут обитать, попытками скормить им плохой компьютерный код и контратакуя их собственные серверы.

Десятилетиями Иран и Северная Корея обменивались ракетными технологиями, а американская разведка долго собирала доказательства секретного сотрудничества на ядерной арене. В плане кибератак иранцы научили северокорейцев важному: когда борешься с врагом, у которого банки, торговые систему, нефтяные и водные трубопроводы, дамбы, больницы и целые города подключены к интернету, возможности посеять хаос безграничны.

К середине лета 2012 года иранские хакеры, всё ещё оправляющиеся от американо-израильской кибератаки на иранскую программу обогащения ядерного топлива, нашли лёгкую цель в виде «Сауди арамко», саудовской государственной нефтяной компании, которая является самой дорогой в мире.

Тем августом иранцы запустили смертельную атаку ровно в 11:08, заразив простым вирусом-стиратателем 30 000 компьютеров и 10 000 серверов компании, который уничтожил данные, заменив их частичным изображением сгоревшего американского флага. Ущерб был огромным.

Семь месяцев спустя, во время совместных учений американских и южнокорейских сил, северокорейский хакеры, действуя с компьютеров, находившихся в Китае, применили похожее кибероружие против компьютерных сетей трёх крупных южнокорейских банков двух крупнейших телеканалов. Как и иранская атака на «Арамко», северокорейская атака на цели в Южной Корее использовала стирающую программу для удаления данных и парализации деловой активности.

Это могла быть просто копия операции, но Ханниган, бывшее британское официальное лицо, недавно сказал: «Нам стоит считать, что они получили помощь от иранцев».

А в Агентстве национальной безопасности, буквально несколько лет после списания Пхеньяна как малозначимой угрозы, внезапно появились новые оценки что страна развивает кибероружие так же, как и ядерное: тест за тестом.

«Северная Корея показала, что для достижения своих политических целей она выведет из строя любую компанию – точка», – сказал Силверс.

Главной политической целью киберпрограммы является сохранение образа 33-хлетнего лидера, Ким Чен Ына. В августе 2014 года северокорейский хакеры напали на британскую телекомпанию, «Ченнел фор», которая объявила о планах показа телесериала о британском учёном, похищенном в Пхеньяне.

Сначала северокорейцы высказали протест британскому правительству. «Скандальный фарс», – так Северная Корея назвала сериал. Когда протест был проигнорирован, британские власти обнаружили, что Север взломал компьютерную систему телесети.  Атака была остановлена прежде чем был нанесён какой-либо ущерб, а Дэвид Абрахам, исполнительный директор «Ченнел фор», изначально призвал продолжить производство сериала.

Эта атака, тем не менее, была просто прелюдией. Когда «Сони Пикчерз Энтертейнмент» выпустила трейлер «Интервью», комедии о двух журналистах, направленных в Пхеньян для покушения на молодого нового диктатора Северной Кореи, Пхеньян направил письмо генеральному секретарю ООН с требованием остановить съёмки. Потом последовали угрозы «Сони».

Майкл Линтон, в то время исполнительный директор «Сони», сказал, что, когда представители компании позвонили в Госдепартамент, им сказали, что это ещё один «блеф».

«На тот момент времени Ким Чен Ын был относительно недавно на посту, и я не думаю, что тогда было понятно насколько он отличался от своего отца, – сказал Линтон в интервью. – Никто никогда не говорил ничего о их кибервозможностях».

В сентябре 2014 года, всё ещё пытаясь взломать «Ченнел фор», северокорейские хакеры глубоко проникли в сети «Сони», терпеливо прячась в течение трёх месяцев, в то время как «Сони» и американская разведка абсолютно не замечала их присутствие.

Директор национальной разведки, Джеймс Клеппер, даже был в Пхеньяне в том момент, пытаясь добиться освобождения задержанного американца и обедал с тогдашним шефом разведуправления Генерального штаба армии.

24 ноября началась атака на «Сони»: сотрудники, прибывшие на работу в тот день, обнаружили на экранах своих компьютеров картинку с красным скелетом и сообщением, подписанным «GoP», что означало «Защитники мира».

«Мы получили все ваши внутренние данные, включая секретные и совершенно секретные, – гласилось в сообщении – Если вы не подчинитесь нам, мы предоставим эти данные всему миру».

Это по факту было диверсией: код уничтожил 70 процентов ноутбуков и компьютеров «Сони Пикчерз». Сотрудникам «Сони» пришлось обмениваться информацией с помощью ручки, бумаги и телефона.

Линтон сказал, что в ФБР ему сообщили, что ничего нельзя было сделать, чтобы остановить атаку, так она проводилась суверенным государством. «Мы узнали, что у нас нет возможности защититься каким-либо действенным способом», – сказал он такой государственной атаке.

«Сони» с трудом пыталась распространить фильм, так как кинотеатры были напуганы. (В конце концов он стал доступен для скачивания, результат превзошёл ожидания). В Лондоне инвесторы северокорейского проекта на «Ченнел фор» внезапно испарились и проект сам собой завершился.

Белый дом, руководимый Обамой, ответил на взлом «Сони» санкциями, которые Север едва заметил, и ничем другим. «Кибербитва была бы более рискованной для США и их союзников чем для Северной Кореи», – сказал Силверс.

Помимо уважения и возмездия, Северу была нужна твёрдая валюта для своей киберпрограммы. Поэтому вскоре начались цифровая атаки на банки – атака на Филиппины в октябре 2015 года, затем на «Тиен Фонг банк» во Вьетнаме в конце того же года, а за ним на центральный банк Бангладеш. Исследователи компании «Саймантек» сказали, что это был первый случай, когда государство использовало кибератаку не для шпионажа или войны, но для финансирования деятельности страны.

Теперь атаки стали всё более изощрёнными. Эксперты в области безопасности заметили в феврале, что сайт польского финансового регулятора был непреднамеренно заражён посетителями вредоносным программным обеспечением.

Обнаружилось, что посетители сайта польского регулятора – сотрудники польских банков, а также центральных банков Бразилии, Чили, Эстонии, Мексики, Венесуэлы и даже известных банков типа «Банк оф Америка» – были подвержены атаке типа «водопой», при которой северокорейские хакеры ждали, пока их жертвы посетят сайт, а затем устанавливали зловредные программы на их машины. Расследование показало, что хакеры собрали список из сетевых адресов 103 организаций, большинство из которых были банками, и создали вредоносную программу, которая инфицировала именно посетителей из тех банков, что, по словам исследователей, было похоже на усилия по переводу украденной валюты.

Совсем недавно северокорейцы по-видимому изменили направление. Следы северокорейских хакеров были обнаружены при серии попыток атаковать так называемые биржи криптовалют в Южной Корее, и по крайне мере одна из попыток оказалась успешной.

Атаки на биржи, торгующие биткойном и совершающие операции с ним на миллионы долларов каждый день, дают Пхеньяну потенциальный высокодоходный источник новых ресурсов. Исследователи говорят, что есть доказательства того, что Пхеньян обменял на деньги добычу атаки на «Монеро», глубоко анонимную версию криптовалюты, которую мировым властям гораздо сложнее отследить.

Самой крупным взломом был «WannaCry», глобальная атака вируса-вымогателя, который парализовал компьютер и требовал выкуп в обмен на разблокировку компьютера или данных. При атаке, которой северокорейцы, естественно, гордились, их хакеры использовали секретное средство под названием «Итёрнал блю», украденное у Агентства национальной безопасности.

В начале вечера 12 мая панические телефонные звонки хлынули со всей Британии и остального мира. Компьютерные системы нескольких крупных британских больниц были остановлены, что повлекло за собой отмену приёма амбулаторных больных и откладыванию некритичных хирургических операций. Банки и транспортные системы нескольких десятков стран также попали под удар.

Британский национальный центр кибербезопасности не получал никаких предупреждений об атаке, сказал Пол Чичестер, директор центра по операциям. Следователи сегодня думают, что атака «WannaCry» могла быть преждевременным запуском оружия, которое всё ещё разрабатывается, или тестом тактики и уязвимостей.

«Это было частью постоянно совершенствуемого метода поиска путей вывода из строя ключевых отраслей промышленности, – сказал Брайан Лорд, бывший заместитель директора по разведке и кибероперациям Штаба правительственной связи в Британии. – Всё, что мне надо было сделать это создать умеренную атаку, отключающую ключевые объекты социальной инфраструктуры, а затем смотреть, как СМИ делают из этого сенсацию и наблюдать панику публики».

Всё закончилось благодаря Маркусу Хатчинсу, хакеру-самоучке, бросившему колледж и живущему с родителями на юго-западе Англии. Он обнаружил адрес сайта в коде вируса и шутки ради потратил 10,69 доллара на регистрацию адреса. Активация доменного имени стала рубильником, который остановил распространение вируса.

Британские официальные лица в частном порядке признали, что Северная Корея провела атаку, но правительство не приняло никаких ответных действий, так как не знало, что можно было сделать.

В то время как Америка и Южная Корея часто высказывают недовольство киберактивностью Северной Кореи, они редко говорят о своей активности, и о том, способствует ли она гонке кибервооружений.

Сейчас Сеул и Вашингтон нацелились на разведуправление Генерального штаба Севера, его ядерную и ракетную программы. Сотни, если не тысячи, американских кибервоинов проводят день за днём за составлением схем немногочисленных сетей Севера, поиском уязвимостей, которые можно использовать во время кризиса.

На недавней встрече американских стратегов по оценке возможностей Северной Кореи, некоторые участники выражали опасения, что эскалация кибервойны может на самом деле заставить Север использовать своё оружие – как ядерное, так и кибероружие – очень быстро при любом конфликте из-за опасений, что у США есть секретные возможности остановить деятельность по всей стране.

Директор ЦРУ Майк Помпео сказал на прошлой неделе, что США пытаются собрать более детальную картину верховного окружения Ким Чен Ына для отчёта перед Трампом. Личности руководителей киберопераций и специальных операций являются главной загадкой. Японская пресса недавно предположила, что это может быть официальное лицо по имени Янг Кил Су. Других интересует генерал Но Кванг Чол, который был принят в члены Центрального комитета правящей партии в мае 2016 года и является одним из группы членов комитета, чьи данные не раскрываются.

Большой вопрос в том, фокусирует ли Ким, опасающийся, что его ядерная программа растёт, становясь очевидной целью, своё внимание на том, как остановить деятельность США, не запуская ни одной ракеты. «Все сконцентрированы на облаках в форме гриба, – сказал Силверс, – но существует гораздо больший потенциал для другого вида катастрофической эскалации».