Ataki na giełdy kryptowalut, firmy technologiczne i instytucje publiczne przynoszą władzom w Pjongjangu gigantyczne zyski. Szacuje się, że tylko w tym roku północnokoreańskie grupy hakerskie mogły przejąć cyfrowe aktywa warte co najmniej 1,5 mld dol. Jednocześnie specjalizujące się w kradzieżach kryptowalut zespoły, takie jak Lazarus, coraz częściej infiltrują prywatne i publiczne instytucje, podszywając się pod zdalnych pracowników IT. Dzięki temu tworzą wiarygodne, fałszywe tożsamości, latami uchodząc za solidnych specjalistów, a w rzeczywistości budując dyskretne kanały dostępu do systemów i danych.
Spis treści
- Domniemana oś Pjongjang–Moskwa w sieci
- Gdy jedni szpiegują, a drudzy kradną
- Sojusz z rozsądku, ale bez zaufania
- Jak reżim odkrył cyberprzestępczość
- Niewidzialni pracownicy zdalni
- Co to oznacza dla Zachodu?
- Jak chronić swoją kryptowalutę?
Coraz więcej analiz wskazuje, że działalność północnokoreańskich hakerów przestaje być jedynie problemem pojedynczych firm czy instytucji. Staje się jednym z kluczowych narzędzi prowadzenia polityki przez Pjongjang – i zarazem elementem szerszej układanki, w której coraz wyraźniej widać zacieśnianie współpracy między Koreą Północną a Rosją.
Domniemana oś Pjongjang–Moskwa w sieci
Od pewnego czasu pojawiają się informacje, że północnokoreańska grupa Lazarus oraz powiązana z Rosją grupa Gamaredon mogą wykorzystywać częściowo wspólną infrastrukturę techniczną. Eksperci Gen Digital, firmy zajmującej się cyberbezpieczeństwem, opisali przypadek serwera, który najpierw był identyfikowany jako element infrastruktury dowodzenia i kontroli Gamaredonu, a w krótkim czasie zaczął hostować złośliwe oprogramowanie przypisywane Lazarusowi. Chodziło m.in. o wariant jednego z narzędzi używanych w kampanii wymierzonej w osoby szukające pracy w sektorze technologicznym.
Tego typu zbieżności – wspólne adresy IP, podobna struktura serwerów, powtarzające się ślady w kodzie – nie są dowodem na formalny sojusz, ale sugerują możliwość operacyjnej współpracy lub co najmniej wygodnego współużytkowania infrastruktury. W praktyce może to oznaczać, że dwa wysoce zaawansowane podmioty, działające na rzecz różnych państw, testują nowy model działania: wykorzystują te same zasoby techniczne, by skuteczniej atakować cele w państwach zachodnich.
Eksperci zwracają uwagę, że współdziałanie takich grup APT (Advanced Persistent Threat) jest rzadkością. Zazwyczaj są one silnie podporządkowane interesom swoich rządów i wolą funkcjonować w izolacji, aby nie dzielić się narzędziami, danymi i know-how. Dlatego każde wiarygodne wskazanie, że dochodzi do współdzielenia infrastruktury między podmiotami z różnych krajów, jest traktowane jako sygnał możliwej nowej fazy w cyberkonflikcie.
Gdy jedni szpiegują, a drudzy kradną
Rosyjskie grupy hakerskie, takie jak Gamaredon, koncentrują się głównie na cyberszpiegostwie i operacjach wymierzonych w instytucje państwowe, infrastrukturę krytyczną oraz podmioty zaangażowane w bezpieczeństwo międzynarodowe. Celem są przede wszystkim państwa NATO, administracje rządowe i sektor obronny, a także instytucje wspierające Ukrainę.
Z kolei Korea Północna wypracowała własną niszę: działania czysto przestępcze, przede wszystkim masowe kradzieże kryptowalut i inne operacje służące pozyskiwaniu twardej waluty. Zyski z tych ataków stanowią dla reżimu ważne źródło finansowania – zarówno dla programu rakietowego i jądrowego, jak i dla utrzymania aparatu władzy. Wiele śladów wskazuje, że znacząca część operacji prowadzona jest spoza terytorium samej Korei Północnej, przez operatorów rozsianych po różnych krajach, ale ściśle powiązanych z północnokoreańskimi służbami.
Jeśli zatem rosyjskie podmioty odpowiedzialne za cyberszpiegostwo mogą korzystać z północnokoreańskiego doświadczenia w pozyskiwaniu środków finansowych, a jednocześnie dzielić się informacjami i infrastrukturą, powstaje układ, który z perspektywy Zachodu wygląda wyjątkowo groźnie. Uderzenia w instytucje zachodnie – od USA, przez państwa europejskie, po Koreę Południową i Japonię – mogą stać się bardziej skoordynowane, a granica między atakami o charakterze szpiegowskim a czysto przestępczymi będzie się zacierać.
Sojusz z rozsądku, ale bez zaufania
Ewentualna współpraca w cyberprzestrzeni nie oznacza jednak, że relacje między Pjongjangiem a Moskwą są w pełni harmonijne. W przeszłości odnotowano przypadki, gdy północnokoreańskie grupy atakowały także rosyjskie podmioty, w tym firmy zbrojeniowe pracujące nad technologiami rakietowymi. Korea Północna, starając się nadgonić opóźnienia technologiczne, była zainteresowana pozyskiwaniem danych również od nominalnych partnerów.
Z tego powodu Rosja doskonale zdaje sobie sprawę, że dzielenie się informacjami czy zasobami z Pjongjangiem wiąże się z ryzykiem. Jest to raczej sojusz z rozsądku, oparty na wspólnych, doraźnych interesach – przede wszystkim sprzeciwie wobec Zachodu – niż trwałe partnerstwo oparte na zaufaniu. Korea Północna wielokrotnie pokazywała, że potrafi współpracować w wybranych obszarach, równocześnie działając wbrew interesom własnych sojuszników tam, gdzie uzna to za korzystne.
Jak reżim odkrył cyberprzestępczość
Rozwój północnokoreańskich zdolności w cyberprzestrzeni nabrał tempa po 2006 r., gdy po pierwszej próbie jądrowej na kraj nałożono serię dotkliwych sankcji. Ograniczenie dostępu do legalnych źródeł finansowania zmusiło Pjongjang do poszukiwania alternatywnych dróg zdobywania środków. Jedną z nich stały się cyberataki – relatywnie tanie, trudne do jednoznacznego przypisania i niosące ogromny potencjał zysku.
Z czasem wyodrębniła się grupa Lazarus, która stała się najbardziej rozpoznawalnym narzędziem reżimu w sieci. Zaczynała od ataków o charakterze sabotażowym i szpiegowskim, ale szybko przesunęła środek ciężkości na operacje finansowe. Odpowiada za głośny atak na Sony Pictures w 2014 r., próbę kradzieży setek milionów dolarów z Banku Bangladeszu oraz rozprzestrzenienie w 2017 r. złośliwego oprogramowania WannaCry, które sparaliżowało setki tysięcy komputerów na całym świecie. W kolejnych latach coraz częściej celem stawały się giełdy i portfele kryptowalutowe, co przyniosło reżimowi ogromne zyski.
Paradoksem jest to, że państwo, którego obywatele w zdecydowanej większości nie mają swobodnego dostępu do internetu, zbudowało jedną z najbardziej wyspecjalizowanych machin cyberprzestępczych na świecie. Wytłumaczeniem jest skrajna selekcja i centralizacja: osoby o szczególnych zdolnościach matematycznych wyławiane są już na etapie szkoły, kierowane do specjalnych ośrodków kształcenia, a następnie do struktur ściśle powiązanych ze służbami bezpieczeństwa. Rodziny takich osób otrzymują możliwość przeprowadzki do Pjongjangu i korzystania z przywilejów niedostępnych dla zwykłych obywateli, co wzmacnia lojalność wobec reżimu.
Niewidzialni pracownicy zdalni
Ostatnie lata przyniosły nowy, szczególnie niepokojący trend: północnokoreańscy operatorzy coraz częściej podszywają się pod zdalnych specjalistów IT. Wykorzystują globalny rynek pracy zdalnej, w którym firmom często trudno jest zweryfikować, gdzie faktycznie znajduje się wykonawca usługi. Dzięki temu tworzone są fikcyjne tożsamości – zbudowane na fałszywych dokumentach, sztucznie wygenerowanych profilach czy przechwyconych kontach – pod którymi hakerzy przez długi czas działają jako pozornie uczciwi wykonawcy.
Daje im to dwa rodzaje przewagi. Po pierwsze, uzyskują dostęp do kodu źródłowego, repozytoriów i wewnętrznych systemów firmy, nierzadko na poziomie uprawnień przysługujących zaufanym pracownikom. Po drugie, zyskują wiarygodne „legendy” – historię zatrudnienia, referencje, ślady w serwisach zawodowych – które ułatwiają im wchodzenie do kolejnych organizacji. Część ekspertów w USA obrazowo stwierdza, że firmy IT można podzielić na te, które już odkryły, że zatrudniały północnokoreańskich specjalistów ukrywających swoją tożsamość, oraz te, które dopiero się o tym dowiedzą.
Dla reżimu to idealny model: obywatele wykonują swoją pracę zdalnie z różnych krajów, pozostając jednocześnie pod ścisłą kontrolą służb. Nie chodzi tylko o motywację finansową – osoby te są powiązane z Pjongjangiem całym swoim życiem, a los ich rodzin w kraju jest dodatkową formą nacisku.
Co to oznacza dla Zachodu?
Zachód, rozumiany szeroko jako państwa demokratyczne i ich sojusznicy w Azji, jest głównym celem zarówno rosyjskich, jak i północnokoreańskich operacji w cyberprzestrzeni. W Europie od dawna obserwuje się rosyjskie działania hybrydowe, w tym kampanie dezinformacyjne i ataki na infrastrukturę krytyczną. Coraz częściej trzeba brać pod uwagę, że za częścią incydentów finansowych, wycieków danych czy nagłych awarii systemów mogą stać również północnokoreańskie struktury – działające samodzielnie lub w jakiejś formie powiązania z rosyjskimi grupami.
Jeżeli kraje te uznają, że uderzanie w zachodnie instytucje – administrację, sektor finansowy, koncerny technologiczne, organizacje zbrojeniowe – leży w ich wspólnym interesie, współdziałanie w cyberprzestrzeni staje się dla nich naturalnym przedłużeniem już istniejącej współpracy politycznej i wojskowej. W efekcie rośnie presja na państwa i firmy, by lepiej chroniły swoje systemy, szybciej wymieniały się informacjami o zagrożeniach i nie traktowały już ataków wyłącznie jako dzieła pojedynczych grup, ale jako element większej, międzynarodowej układanki.
Jak chronić swoją kryptowalutę?
Cyberprzestepcy wykorzystują wiele sprytnych technik i trudno jest być na nie odpornym „zawsze i wszędzie”. Czynnik ludzki to najsłabsze ogniwo. Istotna jest regularna edukacja, obserwacja i nieustanna podejrzliwość w sieci. Prócz wypracowania sobie odpowiedniej intuicji, niezbędne jest również stosowanie odpowiedniego oprogramowania antywirusowego, dzięki któremu od razu wyjedziesz na prowadzenie w walce z cyberzagorżeniami.
Źródło zdjęć: depositphotos.com, Korean Central News Agency/Korea News Service via AP
Materiał przygotowany przez CORE - Norton, Avast i AVG w Polsce