Nord-Korea har vendt tilbake til overskriftene med cybersikkerhet på grunn av sine bånd til Lazarus Group ettersom de gjennomfører nok et vellykket cyberran. Denne gangen stjal den beryktede Lazarus Group – en sterkt mistenkt nordkoreansk statsstøttet hackergruppe grunnlagt rundt 2007 til 2009 – 100 millioner dollar i Harmony-kryptovaluta.
Tro det eller ei, dette er ikke denne mystiske gruppens mest kjente ran, siden den allerede har vært involvert i angrep på Sony og virus som WannaCry. Så hvorfor er Lazarus-gruppen så vellykket? La oss finne ut nedenfor.
Lazarus-gruppen: Hvor farlig er det?
Datasikkerhet er i ferd med å bli et av de mest kontroversielle feltene de siste årene. Vi har i økende grad koblet til enheter, men har brydd oss lite om å beskytte dem. Og det skjer ikke bare med brukere, men også med selskaper. Det er derfor angrepene blir hyppigere og hyppigere og kraftigere og kraftigere.
Blant organisasjoner som angriper selskaper, har navnet Lazarus (noen ganger referert til som DarkSeoul, Guardians of Peace og Hidden Cobra) fått en spesiell fremtreden blant hackere.
Denne mystiske gruppen av hackere står bak noen av de mest vellykkede og destruktive dataangrepene de siste årene. Storbritannias nasjonale cybersikkerhetssenter (NCSC), NSA og FBI plasserer denne gruppen høyt på listen over farlige enheter for nasjonal sikkerhet. Og det lite som er kjent om dem er at medlemmene sannsynligvis er basert i Nord-Korea, den mest isolerte nasjonen i verden.
Hva er noen av Lazarus-gruppens mest beryktede angrep?
Det første angrepet ble kjent som "Operation Flame." Den ble utført i 2007 og brukte førstegenerasjons malware mot den sørkoreanske regjeringen. Deretter fulgte «Operasjon Troy», som skjedde mellom 2009 og 2012. Disse to angrepene var grunnleggende i kompleksitet; gruppen tok ned sørkoreanske myndigheters nettsteder ved å oversvømme serverne deres med forespørsler.
I mars 2011 lanserte gruppen "Ten Days of Rain", som viste seg å være en mer sofistikert DDoS-angrep som målrettet media, finansiell og kritisk infrastruktur i Sør-Korea. Kritisk infrastruktur har alltid vært et favorittmål for hackere på grunn av dens betydning for daglige aktiviteter.
Sony Pictures-angrepet
Det beryktede angrepet på Sony Pictures kom i 2014, som brakte gruppen til verdensscenen. En tid ble dette angrepet ansett som et av de største i nettkriminalitetens historie.
Under angrepet stjal Lazarus Group konfidensiell informasjon fra selskapet, avslørt konfidensiell korrespondanse mellom nivåer av regi, produksjon og skuespill, og til og med lekket uutgitte filmer. Angrepene ble iverksatt som gjengjeldelse for utgivelsen av filmen «The Interview», som fremstiller Kim Jong-un på en dum måte.
Angrep på banker og kryptovalutaer
I 2015 begynte Lazarus Group også å angripe banker over hele verden, inkludert Ecuador og Vietnam. Disse var Banco del Austro og Tien Phong Bank. I tillegg har den også forsøkt å angripe banker i Polen, Chile og Mexico. I 2016 ble gruppens bankangrep mer sofistikerte og klarte til og med å stjele 81 millioner dollar fra Bank of Bangladesh. I 2017 forsøkte den også å stjele 60 millioner dollar fra en taiwansk bank.
Nå fokuserer Lazarus Group på kryptovaluta-angrep. Det mest fremtredende angrepet rammet sørkoreanske eiere av Bitcoin og Monero; dette er grunnen til at gruppen nå valgte å stjele Harmony kryptovaluta.
Består Lazarus-gruppen av nordkoreanske hackere?
Selv om det aldri har blitt bevist, som med de fleste cyberangrep, er eksperter veldig sikre på at gruppen opererer under økonomisk støtte og forespørsel fra den nordkoreanske regjeringen. Dette vil forklare Sony Pictures-angrepene og dets konstante fiksering på å angripe sørkoreansk infrastruktur og institusjoner.
Sannheten er at vi vet veldig lite om gruppen. Det er ukjent om disse er nordkoreanske cybersoldater eller rett og slett internasjonale hackere som Nord-Korea hyret inn; i alle fall er identiteten til medlemmene i gruppen anonym, selv om en ting er sikkert, de jobber som et veldig effektivt team.
Det er til og med en teori om at gruppen ikke har noe med Nord-Korea å gjøre, og at det rett og slett er en måte å drive oppmerksomheten bort fra sin naturlige opprinnelse. Uansett er det usannsynlig at USA og Storbritannia har gitt Nord-Korea skylden for gruppens handlinger tidligere.
Hvordan angriper Lazarus-gruppen?
Lazarus Groups angrep har gått fra grovt til sofistikert, fra å angripe og gjøre skade til å få mest mulig utbytte av hver handling. Selv om gruppen startet på en veldig amatør måte mot Sør-Korea, har den blitt en veldig profesjonell og farlig organisasjon med mer spesifikke pengemål.
NSA, FBI og til og med det russiske cybersikkerhetsfirmaet Kaspersky Labs har undersøkt gruppens økonomiske angrep og modus operandi. Hackerne kompromitterer vanligvis et enkelt system i en bank hvorfra de fortsetter for å infiltrere hele organisasjonen.
Etter den første infeksjonen brukte gruppen flere uker på å undersøke målsystemene, en standard taktikk i cyberkrigføring (USCYBERCOM fungerer på samme måte). Når gruppen perfekt kartla målorganisasjonen og samlet nok data, begynte den å stjele penger.
Mens gruppens bankangrep er de mest beryktede, angriper hackerne også kasinoer, kryptovalutabedrifter og investeringsselskaper. Noen av favorittlandene er Sør-Korea, Mexico, Costa Rica, Brasil, Uruguay, Chile, Polen, India og Thailand.
På grunn av hungersnød, sanksjoner og feilslått økonomisk politikk har Nord-Koreas valuta konsekvent falt i løpet av de siste tiårene. Mens Kim Jong-il (faren til den nåværende lederen, Kim Jong-un) fokuserte på å holde verden for løsepenger gjennom angrep og trusler mot skaffe internasjonal hjelp og lette sanksjonene, foretrakk sønnen å omdirigere det nordkoreanske militæret og befolkningen til å generere inntekter fra i utlandet.
Dette hjelper Nord-Korea med å få utenlandsk valuta for å støtte sitt militære og masseødeleggelsesvåpen forskning og utvikling og, på en måte, styrke sin valuta og økonomi. Det er mange måter Kim Jong-un genererer inntekter fra utlandet på; for eksempel leier han nordkoreanere som billig arbeidskraft, sender leger og militærrådgivere til utlandet for en pris, selger våpen og bruker hackere til å stjele penger.
Opprinnelig utførte Nord-Koreas hackerhær (som gruppen noen ganger refereres til) hovedsakelig forstyrrende operasjoner mot fiender av staten. Men da Kim Jong-il døde i 2011, endret Kim Jong-un retningslinjer, og nå satset hackere mest på å rane banker og lage løsepengevirus. Det er grunnen til at Lazarus-gruppen frem til 2011 fortsatt angrep sørkoreanske myndigheters nettsteder og infrastruktur.
Kan dette bare være begynnelsen?
Lazarus Group har forvandlet seg fra en amatørgruppe til en godt finansiert og dyktig statsstøttet hackergruppe. Siden stiftelsen har gruppens angrep bare blitt stadig mer ødeleggende og komplekse, og så langt har ingen vært i stand til å forfølge dem. Uten ettervirkninger og nordkoreansk statsbeskyttelse, ser det ut til at denne gruppen bare har potensial til å vokse og bli enda farligere, men bare tiden vil vise.
