Wired публікує історію американського хакера P4x, який став ціллю північнокорейської атаки, а через рік зумів вимкнути більшість сайтів у Північній Кореї. AIN.UA підготував стислий переклад цієї історії.
За останні пару тижнів було помітно, що у Північної Кореї якісь серйозні проблеми зі зв’язком. У різні дні майже всі сайти країни, від сайту авіакомпанії Air Koryo і до Naenara — офіційного порталу уряду Кім Чен Ина, були недоступні. Щонайменше один із центральних роутерів, що дають доступ до північнокорейської мережі, у якийсь момент виглядав несправним, паралізуючи цифровий зв’язок країни із зовнішнім світом.
Відповідальність за тривалий північнокорейський офлайн лежить не на американських чи чиїхось інших офіційних кібервійськах. Насправді це була робота американського хакера у футболці та шльопках, що сидів собі вдома, насолоджуючись фільмами про “Чужих” під кукурудзяні снеки. Час від часу перевіряючи роботу програм, що відключили інтернет цілій країні.
Рік тому незалежного хакера, відомого під ніком P4x, самого спробували зламати північнокорейські шпигуни. Він став однією з жертв атаки, спрямованої на західних дослідників кібербезпеки. Метою було викрасти їхні хакерські інструменти, а також дані про вразливості софта. P4x говорить, що внаслідок атаки нічого цінного не постраждало. Але його глибоко занепокоїв сам факт, що державні кібервійська звернули увагу особисто на нього. А також, що американський уряд ніяк не зреагував на це.
Тож він рік переживав свою образу, а потім вирішив помститися.
«Я відчував, що так вчинити буде правильно. Якщо вони не побачать, що у нас є зуби, такі атаки траплятимуться знову і знову. Я хотів, щоб вони зрозуміли: якщо прийти до нас, їхня інфраструктура постраждає», — розповів хакер виданню. Він спілкувався із Wired та ділився записами екрану, аби підтвердити свою причетність до атаки. Але відмовився виступати під реальним ім’ям.
За словами P4x, він знайшов багато відомих, але не виправлених вразливостей у північнокорейських системах. І це дозволило йому самотужки запустити denial-of-service-атаки на ті нечисленні сервери та роутери країни, які підтримують у ній мережу.
Здебільшого він відмовився публічно показувати ці вразливості, адже, на його думку, це допомогло би уряду країни захиститися від його атак. Але він навів приклад, відомий баг у софті для вебсерверів NginX, що неправильно обробляє певні HTTP-хедери, що призводить до перевантаження серверів та офлайну. Він також пригадав, що знайшов у мережі країни прадавні версії Apache, а також, що почав вивчати північнокорейську ОС власного виробництва Red Star OS. Її він описує як застарілу та ймовірно вразливу версію Linux.
Атаки P4x на північнокорейські системи здебільшого були автоматичні, хакер періодично запускав скрипти, що визначали, які системи ще лишились онлайн, а по тому запускали проти них атаки.
«Для мене це було аналогом не дуже масштабного пентесту. Цікаво, що якось вплинути на мережу виявилось настільки легко»,— говорить хакер.
Ці, відносно нескладні хакерські прийоми мали наслідки. Записи від сервісу Pingdom, що вимірює аптайм сайтів, виявили, що в якісь моменти під час атаки майже кожен північнокорейський сайт був недоступний. А ті, що лишилися в онлайні, як Uriminzokkiri.com, були розташовані поза межами країни. Джунейд Алі, дослідник кібербезпеки, що моніторить північнокорейський інтернет, розповідає, що спостерігалися загадкові масові атаки на інтернет країни, що почалися ще два тижні тому.
Він бачив, як час від часу ключові роутери країни йдуть в офлайн, забираючи із собою не лише доступ до сайтів, але й до пошти та інших сервісів, залежних від інтернет-доступу. Ці атаки не впливали на доступ північнокорейських користувачів до зовнішнього інтернету.
Це — рідкість, щоб один анонімний хакер міг викликати відключення інтернета такого масштабу, але не зовсім зрозуміло, які справжні наслідки мали його атаки, говорить Мартін Вільямс, учасник 38 North Project — проекту з досліджень Північної Кореї у Stimson Center. Адже величезна кількість жителів країни відключені від інтернету, натомість вони користуються внутрішньою мережею з обмеженим доступом. А десятки сайтів, які P4x пустив офлайн, використовуються в основному для пропаганди та інших функцій, спрямованих на зовнішню аудиторію.
І хоча атака могла справді створити проблеми для деяких офіційних осіб країни, хакери, що атакували самого P4x минулого року, як і більшість північнокорейських хакерів, швидше всього базуються у іншій країні, приміром, у Китаї.
«Якщо він хоче переслідувати саме цих хакерів, то ймовірно, спрямував атаку не на тих людей. Якщо ж він просто хотів вибісити Північну Корею, то мабуть йому це вдалося», — говорить Вільямс.
Зі свого боку P4x каже, що населення Північної Кореї, у якого здебільшого немає доступу до інтернету, і не було його ціллю. І що роздратування уряду країни через атаки він би вважав за успіх. «Я би хотів по мінімуму чіпати людей, і по максимуму — уряд», — говорить він.
Також, за словами хакера, ці атаки мали ще й дослідницьку мету: протестувати й знайти вразливості, які можна буде використати у подальших більш серйозних атаках. Під час них можна буде викрасти інформацію із північнокорейських систем та передати її експертами. Він також сподівається набрати хактивістів для свого нового проекту FUNK Project (FU North Korea), який займатиметься саме цими завданнями.
P4x згадує точний час, коли його дістали північнокорейські хакери. У січні 2021 року він відкрив файл, пересланий йому незнайомим хакером, представлений як дослідницький інструмент. За добу P4x побачив пост від команди Google з аналізу загроз про те, що триває атака північнокорейських хакерів проти дослідників кібербезпеки. І коли P4x детальніше вивчив пересланий незнайомцем файл, він помітив, що той містить бекдор, що мав дати віддалений доступ до його комп’ютера. Хакер відкривав файл на віртуальній машині, тож він не зміг завдати шкоди системі. Але водночас P4x шокувало, що Північна Корея вирішила атакувати особисто його.
Пізніше із хакером зв’язалися із ФБР, але не запропонували жодної реальної допомоги в оцінці шкоди або захист від майбутніх атак. Жодної формальної реакції від американського уряду також не було. «Відчувалося, ніби на нашому боці немає нікого», — згадує він.
Не всі хакери, на яких було спрямовано північнокорейську атаку, погоджуються із тим, що рішення P4x було правильне. Приміром, Дейв Ейтел, засновник Immunity, також став однією з цілей атаки, але водночас сумнівається у тому, що помста P4x — продуктивна. Адже вона могла стати на заваді більш таємним та складним зусиллям, спрямованим на ті самі північнокорейські комп’ютери. Але Дейв також погоджується, що відсутність урядової реакції на атаки була помітною.
P4x підкреслює, що його хакерські зусилля здебільшого мали вислати месидж режиму Кім Чен Ина. І хоча він визнає, що його атака швидше всього порушила законодавство США, водночас вважає, що нічого поганого не зробив: «Маю чисте сумління».