Отчасти страны вроде КНДР делают ставку на кибероперации в силу их дешевизны: они дешевле танков, истребителей и ракет – и уж точно дешевле ядерной программы, а потому идеальны для стран, имеющих ограниченные ресурсы, но желающих противостоять более могущественным противникам.

По некоторым данным, в КНДР около шести тысяч «кибервоинов»[67]. В новостях об этом часто звучат нотки паники, однако не стоит забывать, что киберармии существуют во множестве стран, включая Великобританию, которая по крайней мере с 2013 года развивает «полноценный военный киберпотенциал, в том числе ударный»[68]. Но если хакеры многих других государств занимаются в основном сбором разведданных и обеспечением стратегического преимущества, то киберсолдаты КНДР, по свидетельству ученых, принципиально от них отличаются: они занимаются хакингом ради денег.

Репутация Lazarus Group росла, и специалисты по технологической безопасности начали замечать, что самые громкие атаки группы мотивированы необходимостью пополнять правительственную казну. Есть веские причины полагать, что предположение экспертов верно: несмотря на некоторую разрядку в отношениях с США и Республикой Кореей, текущий северокорейский режим был обложен строгими санкциями, особенно после активизации испытаний реактивного вооружения при Ким Чен Ыне, сыне и преемнике Ким Ир Сена на посту верховного руководителя КНДР.

Среди прочих санкций в марте 2013 года Совет безопасности ООН принял Резолюцию 2094, запрещающую КНДР совершать переводы в наличных и серьезно ограничивающую связи республики с международной банковской системой[69]. Голодающая страна теперь лишилась и доступа к финансовым услугам.

Ранее мы увидели, как российские киберпреступные банды выкачивали сотни миллионов долларов из систем онлайн-банкинга. Взяв с них пример, северокорейские хакеры, согласно показаниям, данным следователям ООН, занялись повышением доходов страны в условиях санкций[70]. При этом они не стали размениваться по пустякам, воруя средства с кредитных карт и личных счетов пользователей. Вместо этого, по данным ФБР, они вышли на новый пугающий уровень и принялись взламывать сами банки.

Чтобы пойти на такую дерзость, КНДР необходимо было решить важнейшую проблему: эта страна практически отрезала себя от мира – как в цифровом, так и в дипломатическом отношении. Это помогает ограничивать внешнее влияние на граждан, но вместе с тем делает хакеров уязвимыми для слежки. Доступ в интернет в КНДР предоставляет местная компания Star, которая несколько лет функционирует как совместное предприятие с тайской фирмой Loxley Pacific (хотя последняя, как сообщается, разорвала сотрудничество в начале января 2018 года)[71]. Star, в свою очередь, получает доступ у китайской компании. В совокупности эти провайдеры предлагают чрезвычайно ограниченный набор соединений, который лишь приоткрывает для страны ворота в интернет. Если такое государство, как Великобритания, может иметь миллионы IP-адресов, связывающих ее компьютеры со внешним миром, то в КНДР их количество едва превышает тысячу. При столь малом числе соединений страна оказывается крайне уязвимой для слежки. Зарубежные спецслужбы способны быстро распознавать любые попытки проводить хакерские операции с территории КНДР.

В итоге, по данным ФБР, страна решила вновь воспользоваться поддержкой своего давнего союзника – Китая. Американцы утверждают, что КНДР управляет в Китае как минимум одной подставной компанией, которая называется Chosun Expo и находится в расположенном прямо возле границы с КНДР городе Далянь[72]. Изначально она была совместным предприятием Северной и Южной Кореи и, похоже, в разное время занималась целым рядом вещей. В архивах на сайте компании можно изучить ее поразительную корпоративную историю – от продажи грибов и ваз до предоставления специализированных услуг в сфере компьютерного программирования. Мои попытки связаться с текущими владельцами сайта не принесли результатов.

В прошлом работа этого предприятия считалась важным упражнением в наведении мостов между враждующими странами, но в какой-то момент Республика Корея вышла из бизнеса. Теперь, по данным ФБР, Chosun Expo используется в качестве прикрытия для северокорейской кибердеятельности, которую в ФБР связывают с хакерским подразделением Разведывательного управления Генерального штаба КНА. В качестве аргумента ФБР приводит показания свидетеля, «непосредственно взаимодействовавшего с Chosun Expo» и сообщившего, что часть сотрудников, «которых отправляли в командировку в Китай, оставляла себе лишь совсем малую часть жалованья, а остальное возвращала правительству КНДР»[73]. Кроме того, американские правоохранительные органы утверждают, что сайт Chosun Expo зарегистрирован на адрес электронной почты, на который впоследствии заходили с северокорейского IP-адреса.