quarta-feira, 8 de agosto de 2018

Hackers norte-coreanos: a verdade destemida

Hackers norte-coreanos: a verdade destemida

Traduzido por Eduardo Lima


Uma análise volumosa da mitologia sobre "hackers terríveis norte-coreanos" sobre exemplos específicos e demonstração dos mecanismos de formação dessa mitologia com base em fontes duvidosas e questionáveis,
O artigo em si é muito grande (mas rico em material factual), por isso destaquei o interessante.

Hackers norte-coreanos: a verdade destemida

Não perseguindo as sensações, o autor quer imediatamente notar que sua pesquisa pode sofrer incompletude por dois grupos de motivos. A primeira é certas dificuldades relacionadas com a recolha de informações relativas à RPDC (República Popular Democrática da Coreia). Aqui o efeito, por um lado, a proximidade do país, resultando na ausência de outras informações, os investigadores são obrigados a usar os dados do "narrador não-confiável", sem a possibilidade de alta qualidade de verificar suas histórias. O que leva, podemos recordar o exemplo da situação com Shin Dong Hokom, quando se descobriu que um relatório testemunha-chave sobre os direitos humanos na RPDC e autor do best-seller "Fuga do Campo 14" simplesmente inventou a maioria dos detalhes comoventes de sua história. No entanto, nos materiais sobre o tema em discussão, as fontes de notícias são chamadas "Desertores de carreira", em turnê no RK (Cazaquistão) ou nos Estados Unidos com um repertório que consiste em "horrores sobre o Norte".


Por outro lado, a propaganda anti-norte-coreana não vai a lugar algum, o que significa que algumas outras fontes de informação, por exemplo, o serviço de inteligência nacional do Cazaquistão, não podem ser consideradas pelo autor como completamente objetivas. A demonização do regime realizadas tanto enchendo informações falsas, e devido a situações em que, independentemente da qualidade da Coreia do Norte evidência declarada cúmplice "Heil provável" (muito provável - Ed ...). Como resultado, em vez de descrever o regime real, embora odioso e autoritário, um "estado maligno" condicional é moldado da RPDC, que deveria ser um espelho negro da noção de um estado ideal. Consequentemente, se certas práticas na "nossa" sociedade são banidas ou ameaçadas por outros (como o hacking), "o estado do mal" as pratica com prazer. Neste contexto, o autor lembra os mitos anteriores sobre como a RPDC emitiu dólares falsos de qualidade única, que, no entanto, no número de mercadoria, nunca foram encontrados em qualquer lugar. Eles também falaram sobre a heroína em uma quantidade comparável à do Afeganistão. Traços de tais suprimentos não foram encontrados fora do país.

Por outro lado, a demonização da Coréia do Norte é uma forma de encobrir sua própria incompetência. Isso é visto claramente a partir da situação no RK: ​​toda vez que um grande banco ou uma empresa importante se torna um objeto de ataque cibernético, fica imediatamente claro que esses eram hackers norte-coreanos. Muitas vezes, depois de algum tempo, os ecos de um escândalo corporativo, relacionado à irresponsabilidade gritante dentro da empresa, vêm à tona. Afinal, uma coisa é demonstrar ao público em geral seu próprio desleixo, e o outro é se tornar uma vítima dos serviços secretos de computador de um regime totalitário. Neste contexto, esquece-se que a Coreia do Sul lidera o número de desprotegidos ou mal protegidos ponto de acesso Wi-Fi (47,9%), e de acordo com um relatório publicado pelo provedor de serviços de Internet Akamai Coréia, no primeiro trimestre de 2017 no Cazaquistão fez 4500 ataques de DDoS, e o poder de 19 deles ultrapassou 100 Gbps. No entanto, a segunda complexidade do estudo é ainda mais importante que a primeira. Diz respeito aos problemas de provar a atividade de hacking não apenas em relação à RPDC, mas em geral. Isto é importante porque o leitor em geral, não está suficientemente familiarizado com as peculiaridades de segurança cibernética (mesmo se ele é um bom especialista em estudos orientais ou ciência política), a compreensão das possibilidades de hackers e princípios de segurança da informação em geral pode ser bastante Hollywood, e eles podem "ser levado" nos argumentos ou alegações , cujo valor, segundo o autor, é duvidoso. Uma série dessas teses discutiremos abaixo, e os hackers "norte-coreanos" aqui podem ser russos, americanos e até albaneses.

Declaração número 1. "Um software similar foi usado durante ataques anteriores por hackers norte-coreanos / neste ataque, exploits ou elementos de código usados ​​por hackers da RPDC são usados."
Mesmo se considerarmos se os ataques anteriores foram norte-coreanos, pode-se notar que existem poucos softwares de hackers exclusivos (SW) e a maioria dos crackers usa um conjunto limitado de ferramentas. Empregar elementos de código é uma prática comum que é usada para economizar tempo, e também para acusar falsamente a parte infeliz. Se até mesmo o software único no primeiro ataque estiver no domínio público, seus elementos poderão ser copiados ou modificados. Além disso, o mercado de hackers tem sido industrializado há muito tempo, e os autores de softwares maliciosos, seus distribuidores e beneficiários geralmente são pessoas muito diferentes.
O estilo de programação ou a tática escolhida é uma boa evidência indireta, mas apenas em grandes volumes, o que torna possível determinar que isso não é uma coincidência acidental. E dado o fato de que o envolvimento e anteriores ataques da RPDC pode estar em causa, a prova "repetição" é substituída pela habilidade de extrapolação e cria um círculo vicioso em que a investigação de "alta qualidade" empilhada em outra, mas nas conclusões o "possível" desaparece, e o envolvimento da RPDC é dito peremptório. Teoricamente, existe um software ou técnica única que apenas certas forças aplicam. Mas, para dizer com confiança o suficiente para que "esta técnica utiliza apenas a NSA (National Security Agency), os Estados Unidos, porque é muito caro ou difícil para o executável" não é fácil. Quase o único exemplo relativamente confiável é o ataque a centrífugas no Irã com o uso do vírus Stuxnet.

Declaração No. 2. "Foi um IP da RPDC".
Programas de substituição de IP são ainda mais comuns do que hacking. De fato, qualquer navegador com a função VPN permite que você represente um usuário de outro país. Sim, os anonimizadores domésticos podem facilmente contornar e rastrear IPs reais, mas existem maneiras mais complicadas.
Qualquer hacker são que adquiriu a capacidade de enviar mensagens para um endereço de rede até mesmo a quantidade mínima (a chamada botnet) não brilha e não vai brilhar os endereços de IP que não estão executando o botnet.
Assim, nenhum endereço IP intermediário (e o endereço é considerado como um intermediário, até prova em contrário) não são provas, mas se todas as cadeias controladas ir para a Coréia do Norte, é uma forte evidência, o que indica que o atacante na região, mas não permite que ele seja identificado.
Entre tais declarações, você pode ouvir o seguinte: "O ataque foi conduzido a partir de Shenyang, então isso é exatamente norte-coreano". Ao mesmo tempo, serviços especiais chineses e hackers afiliados a eles são conhecidos por ataques cibernéticos contra seus oponentes, incluindo o RK.

Declaração nº 3. "Hackers atacaram um sistema que não estava conectado à Internet."
Aqui, um especialista imediatamente tem a pergunta COMO?. O vírus precisa ser trazido de alguma forma, requer um acesso básico ao objeto "da Internet". E se não houver essa possibilidade física, é mais fácil procurar um programa mal-intencionado do nada, mas uma pessoa que de alguma forma realizou o trabalho em vez de um hacker (por exemplo, inseriu uma unidade flash USB com um programa de execução automática em um computador que não está conectado à Internet). Tal pode ser um insider cooperando com "hackers", e uma pessoa que não suspeita de nada sobre isso. Portanto, do ponto de vista de alguns dos conhecidos do autor, toda a conversa sobre ataques bem-sucedidos na rede interna é mais provável de indicar que, na verdade, essa rede não estava completamente isolada do mundo externo.

Declaração nº4. "Temos provas secretas, mas não as mostraremos a você, porque elas são secretas".
Às vezes, isso pode significar que, em vez de provas, os procedimentos relevantes do processo, há evidências de que tanto parecem analistas confiável, mas não suficiente para o tribunal, ou a fonte de provas ou métodos de fazê-los por algum motivo não foi divulgado (ver. As revelações do Wikileaks e o Snowden sobre o PRISM e vários outros programas). Mas esta frase pode significar evidência retirada do teto, que é importante perceber em conjunto com a seguinte tese.

Declaração nº 5. "Vamos colocar este caso em um contexto político. A República Democrática Popular da Coreia já esteve envolvida em vários atos sujos. O que a impede de fazer isso também?
Embora essa tese seja usada ativamente até mesmo por empresas relativamente objetivas como o Recorded Future, de fato não se trata tanto de explicar "crimes anteriores e má reputação" quanto à formação de pressupostos: se o terrível regime de Pyongyang pode se envolver em cibercrime, por que não deveria praticar isso? Afinal, ele é terrível, sangrento e Pyongyang. A possibilidade teórica de tal modo é equivalente à prova de que é muito semelhante aos argumentos de alguns "ativistas do movimento de mulheres" que todo homem é um estuprador escondido na presença do termo. Talvez - isso significa que sim!
No entanto, graças à tese do "sanguinário regime em Pyongyang," qualquer ataque cibernético na República do Cazaquistão decidiram atribuir a Coreia do Norte, se ele pode ser atribuído a ameaças à segurança nacional, e os traços de uma origem diferente não é muito óbvia. Na verdade, todas as notícias da classe "X podem estar envolvidas no U" são especulativas, a menos que sejam acompanhadas por pelo menos algumas razões. O mesmo vale para as frases da classe "agrupamentos associados a Pyongyang". Esta afirmação não é um axioma. O fato da comunicação vale a pena provar algo mais do que "eles trabalham contra seus inimigos".

Mais provável, mas ainda evidência indireta é:
- os resultados de um exame linguístico, quando a língua nativa de um hacker é determinada por erros cometidos;
- análise de código, na qual você pode descobrir o modo de operação do hacker, seu fuso horário ou a escolha do idioma padrão. Por exemplo, a identificação da origem russa do grupo de hackers APT29 foi indicada não apenas pelas características dos vírus, mas também pelas palavras russas em código e horas de trabalho que coincidiam com o horário de Moscou;
- uma situação em que o grupo é reconhecido como perfeito ou assume a responsabilidade.

No entanto, nesses casos, ainda é possível que o hacker habilidoso tenha misturado traços, a língua russa no código pertença a um emigrante que mora nos Estados Unidos há 10 anos e pessoas ambiciosas se atribuíram aos sucessos dos outros ou alguém fez um acordo com a justiça. No sistema de intrigas políticas, até mesmo a lógica de "quem se beneficia" deve ser usada com cautela devido à possibilidade de provocações.
Como resultado, só surgem provas sérias quando o mundo digital entra em contato com o mundo real. Por exemplo, um hacker foi pego diretamente no momento do ataque ou em seu computador que estava nas mãos da investigação, encontraram a fonte do vírus ou outra evidência de que o ataque foi de lá. Ou o fato de que o hacker ter recebido o dinheiro roubado foi comprovado (rastreou a transferência para uma conta afiliada na cadeia de pagamento, retirou o momento de sacar dinheiro do caixa eletrônico, revelou o uso de números de cartões de crédito roubados, etc.). Ou eles encontraram testemunhas prontas para testemunhar contra o hacker.

<..>

Em geral, o software norte-coreano conhecido programa anti-vírus SiliVaccine e OS "Pulgyn Pel" / Red Star, que é uma das localizações do Linux. Para 2009, em Pyongyang ostentava um sistema de proteção abrangente de redes de computadores "Chholbok" firewall pessoal "Chholonson" ou USB-dispositivo para autenticação de impressão digital.
Em 2010, ficou conhecido o primeiro Computador-de-mão norte-coreano, em 2015 a primeira loja online, em 2016 o serviço de streaming nas principais cidades, e em 2017 um tablet otimizado para trabalhar na intranet. Ao mesmo tempo, há relatos de que cerca de 25 milhões de pessoas na Coréia do Norte possuem 4 milhões de telefones celulares.
Como evidenciado pelo Global Cybersecurity Index publicado em 5 de julho de 2017 pela International Telecommunication Union, a DPRK ocupa a 52ª posição mundial em termos de segurança cibernética (RK - 13ª) em termos de preparação legal, técnica e organizacional, prontidão para cooperação, desenvolvimento de capacidade de pesquisa. Dados semelhantes dizem que o país tem recursos humanos e técnicos suficientes para criar uma guerra cibernética, cuja composição e estrutura serão discutidas na próxima parte.

<...>


Os autores de "Server Korea" modificaram um pouco a classificação de D. Alperovich. Em sua interpretação, a guerra cibernética da RPDC pode ser dividida em quatro grupos: Stardust Chollima (ataques comerciais), Silent Chollima (ações contra a mídia e agências governamentais), Labyrinth Chollima (ações contra serviços especiais), Ricochet Chollima (roubo de dados de usuários). Ambos os autores até citaram os nomes coreanos desses grupos (para mostrar que estes não são nomes condicionais dados a hackers desconhecidos por autores ocidentais), e tudo ficaria bem se não fosse por um detalhe bem conhecido dos coreanos.



O cavalo alado Chollima, correndo um dia mil li (1 li = 412 m), por muito tempo foi um símbolo do ritmo de avanço Juche, e o movimento Chollima foi chamado de análogo do movimento stakhanovista na URSS.
No entanto, no século 21, o Pokémon foi renovado, e por vários anos o termo Mullima foi usado em vez disso - o novo cavalo corre dez mil li por dia. Os meios de comunicação norte-coreanos estão agora escrevendo sobre a "nova era de Mullima" e o uso do termo antigo parece mais ou menos o mesmo anacronismo (se não falso) como um documento soviético dos anos 1970, no qual o PCUS aparece no lugar do PCUS (b).
Outra empresa especializada em segurança de computadores, a FireEye, também menciona o agrupamento APT37 como uma equipe de hackers que realiza atividades de inteligência em favor das autoridades da RPDC. De acordo com a FireEye, a APT37, também chamada Reaper, por vários anos, realizou ataques cibernéticos contra a República da Coréia e, desde 2017, contra o Japão, o Vietnã e vários países do Oriente Médio. Seus objetivos eram empresas relacionadas à produção de eletrônicos, bem como indústrias de saúde, química e aviação. A conexão entre APT37 e Pyongyang foi rastreada usando análise de endereço IP. É verdade que é preciso entender que os nomes do tipo de ART (abreviação de Ameaça Persistente Avançada) são os termos dos especialistas americanos, e não os nomes próprios.
A principal base de hackers norte-coreanos no exterior é a China, especialmente sua região nordeste. O Shenyang Hotel Chhilbosan, de propriedade da RPDC, tradicionalmente se posicionou como um reduto de hackers.
Em geral, os hackers norte-coreanos costumam usar provedores chineses e serviços de Internet, pelo menos porque hackers-resíduos operam dentro ou sob o disfarce de empresas chinesas. Assim, mesmo um ataque rastreado pelo menos vem com IP chinês, mas desde que os hackers chineses não são menos e entre eles os coreanos étnicos são encontrados, é incorreto usar este argumento como uma prova completa da trilha de Pyongyang.

<...>

Se somarmos, podemos admitir o seguinte.
- um grande número de jovens programadores, que na RPDC, é claro, não é o mesmo que um número similar de hackers;
- No entanto, alguns migrantes estrangeiros podem se envolver em hacking - sozinhos, no âmbito do trabalho para o mestre não-coreano ou nas instruções do centro;
- Os serviços especiais da Coréia do Norte têm, teoricamente, departamentos responsáveis ​​pela segurança da informação, mas a divulgação adicional dessas estruturas é baseada nos dados de contadores de histórias indignos de confiança. Esta informação não pode ser ignorada, mas você não deve confiar nela completamente;
- Também não deve ser completamente excluído e a opção, em que por uma razão ou outra, um grupo de hackers se passando por norte-coreanos (ou pelo menos insinuando isso).

<...>

Ao mesmo tempo, descobriu-se que pouco antes do ataque à empresa Sony Pictures Entertainment, houve relatos de que tinham sinais de chantagem, mas contém requisitos que não estão relacionados com o lançamento da estréia do filme de "Interview".
Uma nova rodada de atenção à história ocorreu em abril de 2015, quando os documentos hackeados da Sony Pictures foram publicados no WikiLeaks. No local havia mais de 20,2 mil. Os documentos da SPE, mais de 173 milhões de e-mails, e mais de 2,2 mil endereços de e-mail, incluindo e-mails funcionários com o governo dos EUA. Como se viu, a empresa "tem laços com a Casa Branca e com o complexo militar-industrial americano" (no arquivo de mais de 100 endereços de e-mail do governo dos EUA). As cartas publicadas também indicavam os laços estreitos da Sony com o Partido Democrata dos Estados Unidos.
Em combinação com uma indicação do fato de que "o trabalho da empresa foi paralisado já que ela teve que desativar a Intranet", parece o autor indica que o ataque é a rede interna da empresa, o que significa trabalho interno, ao invés de hackers externos. Sim, e WikiLeaks como um local de vazamento, não particularmente amigável para a Coréia do Norte, também sugere que as autoridades norte-coreanas provavelmente não estavam envolvidas na invasão.

<...>

Segundo o deputado da Assembleia Nacional do Partido Democrático Toburo e membro da Comissão Parlamentar de Defesa Lee Chul-hee, hackers da Coreia do Norte poderiam roubar a partir da rede interna dos documentos secretos do exército sul-coreano que descrevem o plano operacional 5015 (plano de atividades subversivas que visam a eliminação de instalações-chave mísseis e infra-estrutura nuclear da RPDC e/ou sua alta administração em caso de guerra na península) e o plano operacional para 5027 (descreve as ações conjuntas do Cazaquistão e os Estados-Membros em caso de escala completa x hostilidade). Além disso, os atacantes poderiam ter documentos relativos ao plano operacional 3100, que descreve como responder a pequenas provocações por parte da RPDC, bem como relatórios ao comando dos países aliados, dados sobre as principais instalações militares e centrais elétricas na Coréia do Sul. No total, 235 gigabytes de informações foram roubados, incluindo 226 documentos classificados como "secretos", 42 documentos com o selo "confidencial" e 27 documentos "para uso oficial".

<...>

O que posso dizer sobre esse ataque? Os documentos foram roubados da rede interna do Ministério da Defesa, que formalmente não deveria estar conectado à Internet. Conseqüentemente, ou na verdade, é um insider, não hackers com capacidades indocumentadas, ou há uma flagrante não-observância de precauções de segurança, após o que uma pergunta desagradável deve ser feita: por que existe um sistema operacional nos computadores do departamento militar que permite espalhar o vírus?

Portanto, o autor não acredita tanto nas ações talentosas dos hackers, como na desordem flagrante ou no trabalho de um insider que poderia transmitir informações tanto para a Coréia do Norte quanto para outra pessoa. Felizmente, do ponto de vista de vários especialistas em segurança cibernética, a "fortaleza digital" sul-coreana tem paredes de papelão, apesar de uma reputação formidável.

No final - uma réplica "aparte". Se ainda admitimos que as informações roubadas foram para a RPDC, então as ações do Norte em 2016-2017 recebem justificação. No entanto, quero pensar em outra coisa. Imagine que, em 2016, os norte-coreanos receberam um grande pacote de documentos que descrevem adequadamente a estratégia de Seul e Washington com o objetivo de eliminar o regime norte-coreano. Nesta situação, Kim Jong-un poderia chegar à conclusão de que, se os militares dos EUA e da liderança política e da República do Cazaquistão são guiados por esta estratégia, a questão da eliminação da RPDC como um Estado não é um problema na agenda, como uma questão de tempo (grosso modo, não "se" , mas "quando"). E isso explica totalmente por que durante 2016-2017 a liderança norte-coreana está começando a colocar os trunfos na mesa em um ritmo chocante. Tendo confiança em uma guerra iminente e inevitável, a República Democrática Popular da Coréia tenta impedi-la, aumentando as apostas para um nível em que "não haverá caminhada fácil".

<....>

Analisando a matriz de dados acima, você pode resumir o seguinte:

- Na maioria dos ataques, técnicas primitivas como phishing foram usadas quando a vítima recebe uma mensagem com um arquivo anexado, uma tentativa de abri-lo ou fazer o download de malware, ou requer informações de login e senha. O autor encontrou isso muitas vezes e, literalmente, no momento em que este relatório foi escrito, vários de seus colegas receberam cartas dele (havia um ponto extra no endereço) com um aplicativo semelhante. Sucumbir a isso - não cumpre as regras de segurança da Internet.
- Tentativas de correlacionar entre testes nucleares e ataques cibernéticos, que os autores do artigo tentaram rastrear na Reuters, não estão confirmados. Grave intensificação de ataques nessas datas não é observada, e é mais fácil falar sobre coincidências. Essa visão é compartilhada por vários especialistas americanos.
- Além disso, a conclusão do Instituto para o Estudo das Questões de Segurança Financeira (FSI) da República do Cazaquistão, segundo a qual em 2015-2017, Os hackers norte-coreanos mudaram a direção principal dos ataques. Se antes eles tentaram roubar segredos militares e industriais de países estrangeiros ou dificultar o trabalho de organizações estrangeiras, agora eles estão mais interessados em roubar fundos do exterior. É mais provável que esses processos sejam executados em paralelo.
- Neste contexto, a conclusão dos autores de "Server Korea" (que recontou as duas fontes acima sem tentar verificar novamente) é também duvidosa: "As táticas da guerra cibernética da Coréia do Norte passaram por três estágios principais em seu desenvolvimento: de ataques" ideológicos" (no britânico Channel4 e Sony Pictures em 2014) para ganhos de hackers (roubo de fundos de bancos e usuários, fraude de criptografia) e negócios legais no desenvolvimento e venda de software."
É justo falar sobre a via norte-coreana em casos específicos de alto perfil - a questão é amplamente aberta. Depende de quanto estamos acostumados a acreditar em certos mitos sobre hackers norte-coreanos e estamos prontos para aceitar o que nos é apresentado como evidência. O resultado é quase sempre um certo "zona cinzenta", através do qual aqueles que pertencem à RPDC em simpatia, ou apenas não acredita propaganda anti-Pyongyang pode reivindicar encargos não reclamados e inimigos da Coreia do Norte - que elas são verdadeiras. Com este último muitas vezes utilizam técnicas semelhantes às usadas no comando da liderança russa no envenenamento em Salisbury. Enquanto isso, "dados insuficientes" é precisamente a falta de dados que não nos permitem fazer um veredicto.
Além disso, mesmo se você anotar tudo o que é atribuído à conta norte-coreana, os "assassinatos" de hackers norte-coreanos em comparação com o trabalho de seus colegas russos, chineses ou ocidentais parecem desanimadores. A inflação desta ameaça é devida a considerações políticas.
Segundo o autor, jogando ativamente nos últimos anos, o tema dos hackers norte-coreanos e especialmente as bases financeiras de suas ações podem ser tomadas por analogia com as tentativas anteriores para cortar a Coreia do Norte a partir das fontes de renda, se o raciocínio do complexo de Kaesong como o programa nuclear da Coréia do Norte de uma bolsa secreta ou a posição de trabalhadores escravos norte-coreanos no exterior, que devem ser deportados para a sua terra natal o mais cedo possível. É possível que antes de nós - Trabalhos de solo para a propagação de sanções contra a Coréia do Norte no ciberespaço, incluindo a proibição da exportação de software norte-coreano ou "necessidade" de isolamento infra-estrutura de Internet de Pyongyang.

K.Asmolov, Centro de Estudos coreanos, Instituto de Estudos do Extremo Oriente

http://russiancouncil.ru/analytics-and-comments/analytics/severokoreyskie-khakery-nestrashnaya-pravda/ - leia o artigo completo


Postado por às
Marcadores: , , , , , , , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)