Korea Północna: Hakerzy do wynajęcia

Korea Północna i jej hakerzy zdobywają od wielu lat środki finansowe dla reżimu Kim Dzong Una. W ubiegłym tygodniu amerykański Departament Stanu, Federalne Biuro Śledcze (FBI), Departament Skarbu oraz Departament Bezpieczeństwa Krajowego wydały wspólny raport na temat cyberataków ze strony Korei Północnej. Modus operandi północnokoreańskich cyberprzestępców pozostaje bez zmian z jednym wyjątkiem – coraz częściej oferują oni swoje usługi ,,do wynajęcia”.

Hacking – główne źródło finansowania programów zbrojeniowych

Amerykańskie służby wskazują, że cyberprzestępstwa popełnianie przez północnokoreańskich hakerów służą głównie do zbierania funduszy na realizację programu nuklearnego oraz rakietowego. Departament Stanu ogłosił nagrodę w wysokości 5 milionów USD za wskazanie ,,wiarygodnych informacji” potwierdzających nielegalną aktywność Korei Północnej w tym zakresie. Dotyczy to głównie grupy hakerów ,,Hidden Cobra” (,,Ukryta Kobra”). W ostatnim okresie nastąpił 300% wzrost użycia globalnego internetu przez północnokoreańskich hakerów. Jest to spowodowane m.in. wykorzystywaniem łączy rosyjskich (dotychczasowo głównie chińskich) do przestępczej działalności. Często jednak hakerzy są ,,oddelegowywani” przez władze do innych państw (m.in. Malezji, Indii, Nepalu), gdzie używają połączeń internetowych do działań przestępczych.

Hakerzy do wynajęcia

Północnokoreańscy cyberprzestępcy coraz częściej oferują swoje ,,usługi do wynajęcia” wielu grupom kryminalnym. Znaczna część zysków generowana w tych działaniach przekazywana jest reżimowi w Pjongjangu. Tak było m.in. z kampanią nazywaną FASTCash, gdzie przejęto jednocześnie kontrolę nad bankomatami w ponad 30 państwach Afryki i Azji. Zdołano również uzyskać ponad 81 milionów USD z Banku Centralnego Bangladeszu. Hakerzy chcieli przejąć środki w wysokości 1 miliarda. Tylko dzięki sprawnemu działaniu departamentu bezpieczeństwa operacji finansowych Banku Rezerwy Federalnej w Nowym Jorku (kontrolującego aktywa Bangladeszu) udało się zminimalizować straty. Służby amerykańskie szacują, że obecnie ponad 6000 północnokoreańskich hakerów zdobywa nielegalne środki dla władz w Pjongjangu.

Cyberataki – idealna broń asymetryczna

Kiedy kilka miesięcy temu na konferencji dotyczącej kryptowalut usłyszałem od japońskiego analityka, że Korea Północna ma jeden z najbardziej skutecznych programów ,,kapitalizacji internetu” wydałem się zaskoczony. Podczas lunchu poprosiłem o uzasadnienie, które okazało się dość trywialne: nieskomplikowane rozwiązania hakerskie przy niskich kosztach. Szkoda tylko, że nielegalnych…Jednak Korea Północna wykorzystuje działania asymetryczne w prosty sposób wobec ,,celów miękkich” (najczęściej cywilnych) w odróżnieniu do wysoce skomplikowanego mechanizmu sparaliżowania północnokoreańskiego programu rakietowego jakiego użyli w przeszłości Amerykanie. Ulokowano wtedy ,,numeryczne implanty” w systemach wywiadu Korea Północnej (Biuro Zwiadu Ogólnego) oraz obiektów rakietowych.

Kryptowaluta ,,nie brudzi”…

Celem cyberataków ze strony hakerów Korei Północnej może stać się każdy, kto posiada znaczne środki finansowe. W przeszłości Pjongjang finansował działalność reżimu głównie z wykorzystaniem ,,Biura 39” – jednostki należącej do służb bezpieczeństwa zbierającej fundusze zagranicą. Nawiązywała ona kontakty z grupami przestępczymi, gdzie sprzedawano podrobione produkty na rynkach światowych (wykorzystując m.in. chińskich pośredników wytwarzających fałszywe ,,artykuły luksusowe”). Istotnym źródłem dochodu stały się również fałszywe studolarówki. Secret Service, zajmujący się w Departamencie Skarbu ściganiem procederu podrabiania amerykańskiej waluty, nazywał je ,,superbanknotami” (supernotes) z uwagi na wysoką jakość fałszerstwa. Wytwarzane były na takim samym papierze, identycznym tuszem i analogicznymi maszynami, co oryginały. Urzędnicy północnokoreańscy przebywający zagranicą masowo wpłacali i wymieniali ,,supertnotes” na inne waluty. Nawiązali kontakty z grupami przestępczymi i organizacjami terrorystycznymi (m.in. IRA), gdzie ,,studolarówki” były wymieniane za 70-80 USD. Z czasem jednak ,,dolary z Korei Północnej” zaczęły ,,brudzić”. Amerykanie postrzegali – zgodnie z prawem międzynarodowym – takie działania przeciwko swojej walucie jako casus belli ataku na integralność i suwerenność Stanów Zjednoczonych. Liczne sankcje finansowe zastosowane przez USA na banki ,,piorące” ,,supernotes” (m.in. w Macao) okazały się skuteczne.

Dlatego też obecnie hakerzy z Korei Północnej zdobywają większość funduszy w kryptowalutach (głównie bitcoiny i monero). Środki zostają przelewane z wykorzystaniem chińskich i rosyjskich kanałów. Zgodnie z raportem komitetu sankcyjnego nr 1718 Rady Bezpieczeństwa ONZ do końca 2019 roku hakerzy działający na polecenie władz Korei Północnej próbowali przejąć fundusze w wysokości 2 miliardów USD. Jednym ze źródeł tych operacji jest kradzież aktywów obracanych na giełdach wymiany kryptowalut (m.in. w Korea Południowej).

Metody wyłudzania pieniędzy przez hakerów

Oprócz włamywania się na konta giełd wymiany kryptowalut czy też klientów tradycyjnych banków, północnokoreańscy cyberprzestępcy posługują się szantażem. Hakując konta słabo zabezpieczonych instytucji grożą ujawnieniem danych wewnętrznych w przypadku odmowy zapłaty. Przykładem były ataki typu ransomware WannaCry 2.0, gdzie zainfekowano setki tysięcy komputerów między innymi w szpitalach i szkołach w ponad 150 krajach. Przestępcy zażądali następnie wpłacenia ,,okupu” w bitcoinach. Takie działania często podejmowane są na zlecenie innej strony, która ,,wynajęła” hakerów.

Coraz bardziej popularną metodą jest tzw. cryptojacking. Hakerzy używają ataków typu ransomware w celu zainfekowania stron i komputerów, aby wykorzystywać je do kopania kryptowalut. Część z tych środków została przelana na serwery w Korei Północnej, w tym należące do Uniwersytetu Kim Ir Sena w Pjongjangu.

Reżim północnokoreański intensywnie poszerza ,,armię hakerów”. Dobrze wyselekcjonowani chłopcy w wieku 9-10 lat zostają przeszkoleni w specjalnych jednostkach nauczających programowania. Po odpowiedniej indoktrynacji wysyła się ich kilka lat później na uczelnie chińskie, gdzie kończą specjalistyczne kursy informatyczne. Już jako specjaliści znajdują zatrudnienie w firmach komputerowych, realizując równocześnie zadania hakerskie zlecane przez rząd Korei Północnej. Zatem zagrożenie ze strony północnokoreańskich hakerów będzie sukcesywnie rosło.