Несеверокорейские хакеры, или Очередной скандал в разведке РК

Некоторое время тому назад автор этих строк и ряд его коллег, в том числе – зарубежных, стали получать странные письма, приложения к которым были не очень умелыми попытками взлома почтового ящика или доступа к содержимому компьютера. Часть из этих коллег, отнюдь не отличающихся симпатиями к Северной Корее, предполагала пхеньянский след, но разворачивающийся сегодня большой скандал в Сеуле указывает на то, что эти попытки взлома были, скорее всего, с совсем другой стороны 38 параллели. Разведслужба РК снова оказалась в центре скандала, и снова речь идет о ее деятельности в интернете. Только теперь ее сотрудники не принимали участие в политических баталиях под чужими именами, а пытались получить доступ к личным данным тысяч граждан, используя шпионское программное обеспечение.

Все началось с того, что еще 4 марта 2014 года в сети появилась переписка с клиентами, которую вела итальянская компания «Hacking Team», специализирующаяся на разработке и продаже программного обеспечения, которое позволяет получать доступ к содержанию посланий в Интернете, sms-сообщениям и прочему обмену данными между электронными устройствами.

Среди покупателей шпионских программ для получения личной информации пользователей компьютеров и смартфонов оказалось некое «подразделение 5163 сухопутных войск Южной Кореи», которое купило у «Hacking Team» программ на общую сумму примерно 800 тыс. долларов. В том числе – программное обеспечение Remote Control System, которое, согласно описанию разработчиков, «позволяет контролировать содержание сообщений и информационных потоков на всей территории Кореи». Так неожиданно стало понятно, что в Южной Корее, которая, вроде бы, известна своей интернет-индустрией, не нашлось собственных специалистов, и вирусы надо заказывать на стороне.

Подозрения появились сразу, и 14 июля 2015 г. на заседании парламентского комитета директор Национальной службы разведки Ли Бён Хо признал факт этой покупки, но отверг обвинения в использовании программ против гражданских лиц. По словам его и иных представителей разведки, они использовались лишь для сбора данных о КНДР, для взлома 87 IP-адресов, принадлежавших иностранцам, которые, по мнению разведки, были связаны с северокорейскими агентами, работающими в Китае и других точках мира. А что до Remote Control System, то оно было закуплено для выявления уязвимостей, существующих в стране смартфонов и программ для обмена сообщениями. Например, возможностей доступа к содержимому сообщений, передаваемых самым популярным в стране мессенджером Kakao Talk. При этом представители РК заявляли: как, разве вы не знаете, что северокорейские шпионы тоже активно пользуются этим мессенджером, а иногда взламывают смартфоны граждан Южной Кореи, после чего те пишут в социальных сетях что-нибудь не то?

Любопытно, что как раз в это время в Корее прошел слух, что как раз Kakao Talk взломан спецслужбами, после чего корейцы стали использовать другие сервисы, в том числе Telegram, разработанный российским программистом Павлом Дуровым.

Позднее, однако, выяснилось, что разведка разослала «более 200» электронных писем с приложением хакерских программ, которые устанавливаются автоматически в момент открытия письма. Большинство попыток оказалось неудачными, поскольку получатели не открывали письмо, и программа не действовала. Стало известно и то, что в лог-файлах Hacking Team обнаружено множество южнокорейских IP-адресов, 138 из которых принадлежат южнокорейским телекоммуникационным компаниям и госучреждениям, а переписка разведчиков с «Hacking Team» показала интерес к программам по взлому самых последних моделей смартфонов, планшетов и компьютеров.

Одновременно оказалось, что подобное оборудование закупала и военная разведка; в октябре 2012 г. «подразделение 1363 Вооружённых сил Республики Корея» закупило у тех же итальянцев 6 комплексов для прослушивания и 15 систем по обработке информации. Официально закупка была произведена в ходе планового обновления оборудования, которое существует и используется на законных основаниях, однако оппозиция обратила внимание, что шпионское оборудование военные закупили за два месяца до президентских выборов, в которые они пытались вмешиваться вместе с гражданскими спецслужбами.

На этом фоне 18 июля в горах в городе Ёнине провинции Кёнгидо найдено тело сотрудника Национальной службы разведки по фамилии Им, покончившего с собой в машине, надышавшись угарным газом. Им 20 лет проработал в службе разведки, занимаясь вопросами кибербезопасности, и лично участвовал в приобретении и применении хакерских программ. Перед смертью он написал записку, в которой полностью отрицал как слежку за обычными гражданами, так и неправомерную деятельность во время президентских выборов (что, вообще-то, доказано; см. ранние материалы о «деле троллей в погонах»).

Покончил Им с собой сам, чувствуя ответственность за скандал вокруг (в РК это случается), или ему помогли – это не важно. В любом случае самоубийство сотрудника разведки, который непосредственно отвечал за поставки программного обеспечения, – это очень важная косвенная улика. С одной стороны, он теперь никому ничего не расскажет, тем более на парламентских слушаниях, с другой – такое самоубийство часто воспринимается именно как признание вины, подтверждающее то, что Национальная служба разведки действительно занималась широкомасштабным шпионажем. С третьей стороны, и это вызвало особый ажиотаж, в предсмертном письме Им указал, что «считая наиболее важным авторитет службы разведки, он уничтожил ту часть информации об оперативной деятельности в отношении Северной Кореи, которая могла быть неправильно понята».

Оппозиционная Демократическая коалиция за новую политику настаивает на необходимости продолжать расследование, сомневаясь в объективности спецслужбы, и создала комиссию по выяснению обстоятельств, председателем которой назначен депутат Ан Чхоль Су – известный специалист по компьютерным технологиям, «Корейский Касперский», которого просто так не провести. Лидер оппозиции Мун Чжэ Ин назвал взлом личных данных пользователей интернета антигосударственным преступлением и обвинил разведку в том, что она в РК проводила скрытую слежку за гражданами страны.

Правящая партия Сэнури выражает обеспокоенность, поскольку полное раскрытие информации угрожает обеспечению национальной безопасности, и потребовала прекратить раздувание скандала, указав, что нападки оппозиции имеют политический характер.

На этом фоне произошло еще три события, косвенно связанных с темой этой статьи. Первое – отмена приговора в отношении бывшего директора Национальной службы разведки РК Вон Сэ Хуна. В качестве причин названы неправильная интерпретация Уголовного кодекса и недоказанность вины.

В 2014 году суд Центрального округа Сеула признал Вона виновным, приговорил к лишению свободы сроком на 2,5 года и запретил занимать должности госслужащего в течение трёх лет с отсрочкой исполнения приговора на 4 года. 9 февраля 2015 г. Высший суд Сеула увеличил срок заключения его под стражу до трёх лет и отменил отсрочку, признав вину подсудимого по всем пунктам обвинения. Однако Верховный суд РК отменил приговор. Это при том, что земля под Воном горела и по поводу коррупции, и в связи с предыдущим большим скандалом в разведке, когда, игнорируя закон о нейтралитете спецслужб, их сотрудники пытались оказывать влияние на ход прошлых президентских выборов.

Конечно, никаких заявлений о виновности или невиновности подсудимого не прозвучало, и формально дело было возвращено в суд первой инстанции Сеула на доследование. Однако интересно то, что Верховный суд потребовал вновь установить критерии деятельности спецслужб в области кибербезопасности.

Второе – рассекреченные данные о том, что (в отличие от так и не доказанных северокорейских хакерских атак на Америку) пять лет назад США пытались провести компьютерную атаку на программы ядерных вооружений КНДР при помощи шпионского вируса Stuxnet, примененного, напомним, против ядерных объектов Ирана. По сообщению «Reuters» со ссылкой на источники, знакомые с ходом операции, разработчики Stuxnet создали версию, которая должна была активироваться при попадании в компьютеры с настройками на корейском языке, однако ограниченный доступ и распространение локальной сети оказались преградой на пути компьютерной диверсии. Спецслужбам США так и не удалось добраться до ключевых машин КНДР, при помощи которых власти республики контролируют свое ядерное вооружение.

Третье – это то, что на фоне вышеуказанного скандала «разведчики были так заняты теоретическими угрозами, что не смогли защитить от реальной опасности». Пока южнокорейские контрразведчики тратили сотни тысяч долларов «на выявление возможных уязвимостей», представители «Группы противников ядерных реакторов», о которых мы уже как-то писали, взломали базы министерства обороны и администрации президента. В качестве доказательства они выложили в Twitter кое-какую не секретную, но закрытую, информацию наподобие схемы рассаживания высокопоставленных чиновников в ходе различных заседаний.

Что мы имеем в итоге? Еще один скандал, задевающий интересы рядовых граждан, подрыв доверия к одному из самых популярных национальных мессенджеров и косвенное подтверждение того, что в интернет-безопасности южнокорейские спецслужбы разбираются так себе. Особенно когда нет возможности списать проблему на пхеньянских хакеров, которые, почему-то, действуют из Китая и могут проникать даже в системы, не подключенные к интернету.

Константин Асмолов, кандидат исторических наук, ведущий научный сотрудник Центра корейских исследований Института Дальнего Востока РАН, специально для Интернет-журнала «Новое Восточное Обозрение».