Nordkorea er vendt tilbage til overskrifterne med cybersikkerhed på grund af dets bånd til Lazarus-gruppen, da det udfører endnu et vellykket cybertyveri. Denne gang stjal den berygtede Lazarus Group – en stærkt mistænkt nordkoreansk statssponsoreret hackergruppe grundlagt omkring 2007 til 2009 – Harmony-kryptovaluta for 100 millioner dollars.
Tro det eller ej, dette er ikke denne mystiske gruppes mest berømte røveri, da den allerede har været involveret i angreb på Sony og vira som WannaCry. Så hvorfor er Lazarus-gruppen så succesfuld? Lad os finde ud af det nedenfor.
Lazarus-gruppen: Hvor farligt er det?
Computersikkerhed er ved at blive et af de mest kontroversielle områder i de senere år. Vi har i stigende grad tilsluttet enheder, men har ikke bekymret os meget om at beskytte dem. Og det sker ikke kun hos brugere, men også hos virksomheder. Det er derfor, angreb bliver mere og mere hyppige og mere og mere kraftfulde.
Blandt organisationer, der angriber virksomheder, har navnet Lazarus (nogle gange omtalt som DarkSeoul, Guardians of Peace og Hidden Cobra) fået en særlig fremtræden blandt hackere.
Denne mystiske gruppe af hackere står bag nogle af de mest succesrige og destruktive computerangreb i de seneste år. Storbritanniens National Cyber Security Center (NCSC), NSA og FBI placerer denne gruppe højt på listen over farlige enheder for den nationale sikkerhed. Og hvad man ved lidt om dem er, at medlemmerne sandsynligvis er baseret i Nordkorea, den mest isolerede nation i verden.
Hvad er nogle af Lazarus-gruppens mest berygtede angreb?
Dets første angreb var kendt som "Operation Flame." Det blev udført i 2007 og brugte førstegenerations malware mod den sydkoreanske regering. Så fulgte "Operation Troy", som skete mellem 2009 og 2012. Disse to angreb var grundlæggende i kompleksitet; gruppen fjernede sydkoreanske regerings hjemmesider ved at oversvømme deres servere med anmodninger.
I marts 2011 lancerede gruppen "Ten Days of Rain", som viste sig at være en mere sofistikeret DDoS angreb der målrettede medier, finansiel og kritisk infrastruktur i Sydkorea. Kritisk infrastruktur har altid været et yndet mål for hackere på grund af dens betydning for hverdagens aktiviteter.
Sony Pictures Attack
Det berygtede angreb på Sony Pictures kom i 2014, som bragte gruppen til verdensscenen. I en periode blev dette angreb betragtet som et af de største i historien om cyberkriminalitet.
Under angrebet stjal Lazarus Group fortrolige oplysninger fra virksomheden, blottet fortrolig korrespondance mellem niveauer af regi, produktion og skuespil, og endda lækket uudgivne film. Angrebene blev iværksat som gengældelse for udgivelsen af filmen "The Interview", som portrætterer Kim Jong-un på en fjollet måde.
Angreb på banker og kryptovalutaer
I 2015 begyndte Lazarus Group også at angribe banker verden over, herunder Ecuador og Vietnam. Disse var Banco del Austro og Tien Phong Bank. Derudover har den også forsøgt at angribe banker i Polen, Chile og Mexico. I 2016 blev gruppens bankangreb mere sofistikerede og formåede endda at stjæle 81 millioner dollars fra Bank of Bangladesh. I 2017 forsøgte den også at stjæle 60 millioner dollars fra en taiwansk bank.
Nu fokuserer Lazarus Group på cryptocurrency-angreb. Det mest fremtrædende angreb påvirkede sydkoreanske ejere af Bitcoin og Monero; det er grunden til, at gruppen nu valgte at stjæle Harmony kryptovaluta.
Består Lazarus-gruppen af nordkoreanske hackere?
Selvom det aldrig er blevet bevist, som med de fleste cyberangreb, er eksperter meget sikre på, at gruppen opererer under finansiel støtte og anmodning fra den nordkoreanske regering. Dette ville forklare Sony Pictures-angrebene og dets konstante fokus på at angribe sydkoreansk infrastruktur og institutioner.
Sandheden er, at vi ved meget lidt om gruppen. Det er uvist, om disse er nordkoreanske cybersoldater eller blot internationale hackere, som Nordkorea hyrede; under alle omstændigheder er identiteten på medlemmer af gruppen anonym, selvom én ting er sikker, de arbejder som et meget effektivt team.
Der er endda en teori om, at gruppen ikke har noget med Nordkorea at gøre, og at det simpelthen er en måde at drive opmærksomheden væk fra dens naturlige oprindelse. Under alle omstændigheder er det usandsynligt, at USA og Storbritannien tidligere har givet Nordkorea skylden for gruppens handlinger.
Hvordan angriber Lazarus-gruppen?
Lazarus Groups angreb er gået fra rå til sofistikerede, fra at angribe og gøre skade til at få mest muligt ud af hver handling. Selvom gruppen startede på en meget amatør måde mod Sydkorea, er den blevet en meget professionel og farlig organisation med mere specifikke monetære mål.
NSA, FBI og endda det russiske cybersikkerhedsfirma Kaspersky Labs har undersøgt gruppens økonomiske angreb og modus operandi. Hackerne kompromitterer normalt et enkelt system i en bank, hvorfra de fortsætter for at infiltrere hele organisationen.
Efter den første infektion brugte gruppen derefter flere uger på at undersøge målsystemerne, en standard taktik i cyberkrigsførelse (USCYBERCOM fungerer på samme måde). Da gruppen kortlagde målorganisationen perfekt og indsamlede nok data, begyndte den at stjæle penge.
Mens gruppens bankangreb er de mest berygtede, angriber dens hackere også kasinoer, cryptocurrency-virksomheder og investeringsselskaber. Nogle af dets foretrukne mållande er Sydkorea, Mexico, Costa Rica, Brasilien, Uruguay, Chile, Polen, Indien og Thailand.
På grund af hungersnød, sanktioner og fejlslagne økonomiske politikker er Nordkoreas valuta konsekvent faldet i løbet af de sidste årtier. Mens Kim Jong-il (far til den nuværende leder, Kim Jong-un) fokuserede på at holde verden for løsepenge gennem angreb og trusler mod erhverve international hjælp og lette sanktionerne, foretrak hans søn at omdirigere det nordkoreanske militær og befolkningen til at generere indtægter fra i udlandet.
Dette hjælper Nordkorea med at få udenlandsk valuta for at støtte sit militær og masseødelæggelsesvåben forskning og udvikling og på en måde styrke sin valuta og økonomi. Der er mange måder, hvorpå Kim Jong-un genererer indkomst fra udlandet; for eksempel leaser han nordkoreanere som billig arbejdskraft, sender læger og militærrådgivere til udlandet for en pris, sælger våben og bruger hackere til at stjæle penge.
I starten foretog Nordkoreas hackerhær (som gruppen nogle gange omtales) hovedsageligt forstyrrende operationer mod statens fjender. Men da Kim Jong-il døde i 2011, ændrede Kim Jong-un politikker, og nu lagde hackere størstedelen af deres indsats på at røve banker og skabe ransomware-virus. Det er grunden til, at Lazarus-gruppen indtil 2011 stadig angreb sydkoreanske regeringssteder og infrastruktur.
Kunne dette bare være begyndelsen?
Lazarus Group har forvandlet sig fra en amatørgruppe til en velfinansieret og dygtig statssponsoreret hackergruppe. Siden grundlæggelsen er gruppens angreb kun blevet mere og mere ødelæggende og komplekse, og indtil videre har ingen været i stand til at forfølge dem. Uden konsekvenser og nordkoreansk statsbeskyttelse ser det ud til, at denne gruppe kun har potentialet til at vokse og blive endnu farligere, men kun tiden vil vise.
