Первым вопросом, которым задалась и пресса, и специалисты, занимавшиеся восстановлением, был вопрос: как? Уже в течение суток на компьютерах поражённых учреждений выявили несколько (кто говорит о четырёх, кто — о девяти) подозрительных программ, вероятно, использованных в ходе цифрового теракта. Одна из этих закладок, дождавшись определённого часа, уничтожала MBR-сектора на всех доступных накопителях и перезагружала компьютеры, превращая их в бесполезную груду железа. Именно она вызвала самые масштабные поражения. Другая закладка пыталась атаковать UNIX-совместимые машины и уничтожать системные файлы на них. Проблема в том, что ни одна из обнаруженных программ не была достаточно функциональна, чтобы вызвать ещё и отключение атакованных компаний от интернета. Таким образом, по всей видимости, злоумышленниками была проведена одновременная атака на ключевые узлы локальных корпоративных сетей или южнокорейских интернет-провайдеров. Чересчур трудоёмкая работа для ковбоя-одиночки или даже группы взломщиков, действующих ради славы или из любопытства.
По поводу того, как долго готовилась акция и сколько времени потребуется на устранение последствий, мнения сильно разошлись. За день до атаки специалисты Trend Micro отловили в почте одного из своих южнокорейских клиентов (тоже крупного банка) письмо с трояном, пытавшимся скачать как раз те программы, что позже будут обнаружены на поражённых компьютерах. Однако есть и версия, что подготовка к цифровому удару велась неспешно: размер зоны поражения заставляет предположить, что «логические бомбы» закладывались на протяжении нескольких месяцев. Оперативно же восстановить работу повреждённых ИТ-систем в полном объёме удалось только на части объектов. Внутренние сети некоторых жертв (в частности, государственной телерадиовещательной компании KBS) и сейчас ещё «лежат», на ремонт может потребоваться до недели.
Второй большой вопрос: кто? Гадать тут? на первый взгляд? нужды не было: Южная Корея переживает сейчас очередной кризис в отношениях со своей северной сестрой. За несколько предыдущих недель Северная Корея успела разорвать договор о ненападении, обвинить юг в нагнетании напряжённости совместными учениями с США, пригрозить Соединённым Штатам атомной бомбой и т.д. Помимо прочего в вину Южной Корее вменялась атака на единственного северокорейского интернет-провайдера, ставшая причиной полуторасуточного отключения правительственных веб-сайтов. Пхеньян пообещал ответный удар — и, очевидно, его нанёс.
Тут следует заметить, что Запад и Южная Корея свято верят в существование северокорейских «кибервооружённых сил». Якобы Пхеньян содержит многотысячный штат ИТ-специалистов (в их числе несколько сотен «боевых хакеров»), обучая их как защите, так и интернет-шпионажу, и приёмам киберагрессии. И всё чаще играет своими цифровыми мускулами, метя главным образом в гражданские и военные южнокорейские объекты. Правда, прямых доказательств наличия у Ким Чен Ына «кибернетического спецназа» нет (есть только умозаключения на основе анализа интернет-трафика да свидетельств редких перебежчиков), но это никого не смущает: пресса с лёгкостью приписывает Пхеньяну «тысячи интернет-атак», совершённых за последние годы.
Что ж, случившееся на этой неделе тоже ясности не добавляет. Могла ли Северная Корея устроить цифровой теракт такого масштаба? Пожалуй, могла, говорят специалисты по ИТ-безопасности. От неё даже следует ожидать подобного, поскольку войну она всё равно вести не в состоянии (ну нет у неё денег!), а нагонять страх, ломая чужие компьютеры, намного дешевле, нежели бряцать настоящим оружием, организуя атомные испытания и полёты ракет. Однако всё это опять же рассуждения, тогда как прямых улик и на сей раз не найдено (по крайней мере на текущий час). IP-след, как выяснилось, ведёт в Китай (через серверы в КНР якобы Пхеньян и проводит свои атаки), но этот факт тоже мало что значит: IP-адрес — это вам не ДНК. Подробный анализ обнаруженных программ предположительно прольёт свет на авторство, но занять может несколько месяцев. До тех пор вопрос «кто?» лучше считать открытым.