Протягом останніх двох тижнів спостерігачі за інтернетом в Північній Кореї почали помічати, що країна, схоже, має серйозні проблеми підключення. У кілька різних днів практично всі веб-сайти цієї держави періодично масово відключалися. Принаймні, один з центральних маршрутизаторів цієї країни виявився паралізованим. Як стало відомо згодом – так один хакер помстився хакерам Північної Кореї за свій злом.
Розчарований відсутністю реакції США на атаки Північної Кореї проти американських дослідників безпеки, один з таких дослідників взяв справу в свої руки.
Підписуйтесь на наш Telegram.
Те, що Північна Корея дала в інтернеті збій з кодом помилки 404 (не знайдено), було роботою одного американця в футболці, піжамних штанях і тапочках, який сидів у своїй вітальні ніч за ніч, дивився фільми про інопланетян і їв гострі кукурудзяні закуски. Він також періодично ходив в свій домашній офіс, щоб перевірити виконання програм, які він запускав, щоб порушити інтернет цілої країни.
Його зламали рік назад
Трохи більше року тому незалежного хакера, відомого під псевдонімом P4x, зламали північнокорейські хакери. P4x був однією з багатьох жертвою хакерської кампанії, спрямованої на західних дослідників безпеки. Метою тієї кампанії було викрадення хакерських інструменти та детальної інформації про вразливості програмного забезпечення.
P4x каже, що йому вдалося перешкодити північнокорейським хакерам вкрасти у нього що-небудь цінне. Але, тим не менш, його така атака глибоко стурбувала. Йому не сподобалося, що його зламали хакери, спонсоровані державою, і відсутністю будь-якої видимої реакції з боку уряду США.
Отже, після року очікування офіційної реакції влади, P4x взяв справу в свої руки. “Мені здалося, що тут було правильно вчинити. Якщо вони не побачать, що у нас є зуби, це просто буде продовжуватися, – сказав хакер виданню WIRED. – Я хочу, щоб вони зрозуміли, що якщо ви нападете на нас, це означає, що частина вашої інфраструктури на деякий час вийде з ладу”.
P4x каже, що він виявив безліч відомих, але не виправлених вразливостей в північнокорейських системах, які дозволили йому поодинці запускати атаки типу DoS на сервери і маршрутизатори, від яких залежать кілька підключених до інтернету мереж країни.
Здебільшого він відмовився публічно розкривати ці уразливості, які, на його думку, допомогли б уряду Північної Кореї захиститися від його атак. Але як приклад він назвав відому помилку в програмному забезпеченні веб-сервера NginX, яка неправильно обробляє певні заголовки HTTP, дозволяючи серверам, на яких працює програмне забезпечення, перевантажуватися і відключатися.
Він також згадав про пошук стародавніх версій програмного забезпечення веб-сервера Apache і каже, що почав вивчати власну національну операційну систему Північної Кореї, відому як Red Star OS. ЇЇ він описав як стару і, ймовірно, вразливу версію Linux.
Запусти кібератаку та йди пити каву
P4x каже, що він значною мірою автоматизував свої атаки на північнокорейські системи, періодично запускаючи сценарії, які відстежували системи в мережі, а потім запускали експлойти для їх усунення.
“Для мене це схоже на розмір пентеста від малого до середнього, – говорить P4x. Пентест – це термін тесту на проникнення в комп’ютерну систему. – Досить цікаво, як легко було насправді домогтися там якогось ефекту”.
Ці відносно прості методи злому мали негайний ефект. Сервіс вимірювання часу безвідмовної роботи Pingdom показує, що в кілька моментів під час злому P4x майже кожен північнокорейський веб-сайт був відключений.
Джунаде Алі, дослідник кібербезпеки, який стежить за північнокорейським інтернетом, каже, що він почав спостерігати за цими, на той моменттаємничими масовими атаками в інтернеті країни, кілька тижнів назад. Він уважно відстежував атаки, не маючи ні найменшого уявлення про те, хто їх здійснював.
Алі каже, що він бачив, як ключові маршрутизатори країни час від часу виходили з ладу. Вони забирали з собою не тільки доступ до веб-сайтів країни, але і до її електронної пошти та будь-яких інших інтернет-сервісів.
“Оскільки їх маршрутизатори виходять з ладу, передача даних в Північну Корею в буквальному сенсі буде неможлива”, – говорить Алі, описуючи результат як фактично повне відключення інтернету.
P4x зазначає, що, хоча його атаки іноді порушували роботу всіх веб-сайтів, розміщених в країні і доступ з-за кордону до будь-яких інших інтернет-сервісів, розміщених там, вони не відключали вихідний доступ північнокорейців до решти інтернету.
Утім, далеко не ясно, які реальні наслідки ці масштабні атаки мали на Північну Корею. Лише невелика частина північнокорейців має доступ до онлайну, говорить Мартін Вільямс, дослідник аналітичного центру Стімсона, орієнтованого на Північну Корею проекту 38 North. Переважна більшість жителів обмежені відключеною внутрішньою мережею країни. Вільямс каже, що десятки сайтів, які p4x неодноразово видаляв, в основному використовуються для пропаганди та інших функцій, орієнтованих на міжнародну аудиторію.
Вільямс зазначає, що хакери, які націлилися на p4x в минулому році, як і майже всі хакери країни, майже напевно базуються в інших країнах, таких як Китай. “Я б сказав, що якщо він переслідує цих людей, то, ймовірно, направляє свою увагу не туди, – говорить Вільямс. – Але якщо він просто хоче позлити Північну Корею, то він, ймовірно, дратує”.
Зі свого боку, P4x каже, що він вважав би роздратування режиму успіхом і що переважна більшість населення країни, у якого немає доступу в інтернет, ніколи не було його метою. “Я безумовно хотів якомога менше впливати на людей і якомога більше на уряд”, – говорить P4x.
Він визнає, що його атаки зводяться не більше ніж до “зриву урядових банерів або псування будівель”, як він висловився. Але він також каже, що його злом досі був зосереджений на тестуванні та пошуку вразливостей.
За його словами, тепер він має намір спробувати зламати північнокорейські системи, щоб вкрасти інформацію і поділитися нею з експертами.
У той же час він сподівається залучити більше хактивістів до своєї справи за допомогою сайту “Проект ФАНК”, тобто “Фу Північна Корея”.
“Це проект, спрямований на те, щоб Північна Корея залишалася чесною, – йдеться на сайті проекту FUNK. – Ви можете змінити ситуацію як одна людина. Мета полягає в тому, щоб проводити пропорційні атаки і збір інформації, щоб перешкодити Північній Кореї повністю безконтрольно зламувати західний світ”.
P4x каже, що його хактивістські зусилля спрямовані на те, щоб послати повідомлення не тільки уряду Північної Кореї, але і США. “Якщо ніхто мені не допоможе, я допоможу собі сам”, – говорить він.
P4x знає точний момент минулого року, коли на нього напали шпигуни Північної Кореї. Наприкінці січня 2021 року він відкрив файл, відправлений йому колегою-хакером, який описав його як інструмент експлуатації.
Лише через 24 години він помітив публікацію блогу групи аналізу загроз Google, яка попереджає, що північнокорейські хакери орієнтувалися на дослідників безпеки. І дійсно, коли P4x уважно вивчив хакерський інструмент, який він отримав від незнайомця, він побачив, що в ньому міститься бекдор, призначений для віддаленого доступу до його комп’ютера.
P4x відкрив файл на віртуальній машині, помістивши його в цифровий карантин від решти своєї системи. Але, тим не менш, він був вражений і вражений усвідомленням того, що Північна Корея зробила його мішенню.
P4x каже, що пізніше з ним зв’язалося ФБР, але йому так і не запропонували ніякої реальної допомоги, щоб оцінити збиток від злому Північної Кореї або захистити себе в майбутньому.
Інші хакери, орієнтовані на Північну Корею, не всі погоджуються, що хакерська активність P4x є правильним способом зробити це твердження. Дейв Айтел, колишній хакер АНБ і засновник охоронної фірми Immunity, також став мішенню в рамках тієї ж шпигунської кампанії. Але він сумнівається в тому, що P4x застосував продуктивний підхід до зведення рахунків, враховуючи, що насправді він може перешкодити більш прихованим розвідувальним зусиллям, націленим на ті ж північнокорейські комп’ютери.
Однак Айтел згоден з тим, що реакція уряду на кампанію Північної Кореї була недостатньою. Він каже, що ніколи не отримував жодних контактів від урядової установи
За матеріалами: Wired