Észak-koreai hackerek sikerült szoftverfejlesztőként elhelyezkedniük nagy amerikai cégeknél, hogy információkat és pénzt lopjanak Kim Dzsongun rezsimjének.
Észak-Korea (KNDK) kihasználja az utóbbi évek egyik legnagyobb munkahelyi trendjét: a távmunkát. Kim Dzsongun rezsimje az amerikai igazságügyi minisztérium szerint több ezer honfitársát helyezte el munkavállalóként világszerte. „Az észak-koreaiak amerikai állampolgárok lopott vagy kölcsönzött személyazonosságát használják arra, hogy háztartási alkalmazottnak adják ki magukat, beszivárogjanak az amerikai cégek rendszereibe, és bevételt gyűjtsenek Észak-Korea számára” — írja az EL PAÍS az amerikai igazságügyi minisztériumra hivatkozva.
A CrowdStrike kiberbiztonsági cég – amely arról vált „világhírűvé”, hogy másfél hónappal ezelőtt globális rendszerösszeomlást okozott a Windowst is használó ügyfeleinek – friss vizsgálata során kiderült, hogy észak-koreai hackerek egyetlen csoportjának sikerült több mint száz amerikai vállalathoz betörnie, amelyek többsége a technológiai vagy fintech szektorban tevékenykedik, ráadásul sok közöttük a Fortune 500-as vállalat. Miután a hackerek távoli fejlesztőként alkalmazták őket, rosszindulatú szoftvereket telepítettek a cégek rendszereire, akár azért, hogy bizalmas információkhoz jussanak, akár anyagi haszonszerzés céljából.
A sors iróniája, hogy a behatolást az a Falcon antivírus észlelte, amelynek frissítése július közepén összeomlasztotta a Windowst. „Az egész idén áprilisban kezdődött, amikor egy ügyfél felvette a kapcsolatot a CrowdStrike-kal, miután a hatóságok figyelmeztették egy rosszindulatú behatolásról. A fenyegetéskutató csapatunk nemcsak azt állapította meg, hogy ki volt a felelős, hanem több tucat más érintett szervezetet is felfedezett” – mondta Adam Meyers, a CrowdStrike kiberbűnözés elleni hírszerzésért és műveletekért felelős vezetője, aki az APT-k (advanced persistent threats – fejlett, állandó fenyegetések) szakértője, vagyis a kiberbűnözők legfejlettebb szervezett csoportjainak megnevezése. „Ez a kampány, amely elsősorban a technológiai ágazatot, de a repülőgépipar és a védelmi ipar célpontjait is megcélozza, élesen emlékeztet a behatolók által jelentett növekvő fenyegetésre” — mondta.
A hatóságok hivatalosan tagadnak mindent
Meyers csapata azonosította azt a csoportot vagy APT-t, amelynek sikerült végrehajtania ezt a beszivárgást: a csoport neve Famous Chollima. A csoport komoly erőforrásokkal rendelkezik, hierarchikus felépítéssel és magas fokú szervezettséggel, ami lehetővé teszi számukra, hogy komplex, összehangolt és gyors támadásokat dolgozzanak ki. Szakembereik részlegekre vannak osztva, és speciális szerepkörökkel rendelkeznek. Az ázsiai kormány szponzorálja őket, bár a hatóságok hivatalosan tagadnak minden kapcsolatot velük, ahogyan az USA, Oroszország, Kína és Izrael is tagadja a velük kapcsolatban álló APT-ket.
„A Famous Chollima kihasználta a toborzási és beszállási folyamatokat, hogy fizikai hozzáférést szerezzen a távoli rendszereken keresztül, amelyek közvetítő helyeken voltak. A beszivárgók távoli hozzáférést biztosítottak ezekhez a rendszerekhez, hogy bejelentkezzenek a vállalati VPN-ekbe, fejlesztőknek adva ki magukat” – olvasható a CrowdStrike jelentésében. „Ez az álca lehetővé tette Famous Chollima számára, hogy mély és tartós hozzáférést szerezzen több tucatnyi szervezethez, amit sokáig szinte lehetetlennek bizonyult felderíteni.”
Titoktartási okokból a CrowdStrike nem ad ki további részleteket a feltört vállalatokról, illetve a behatolás következtében esetlegesen elszenvedett veszteségekről. „Az Igazságügyi Minisztérium becslése szerint ezek az akciók két év alatt körülbelül 6,8 millió dollárt hoztak a támadóknak, de szerintem még csak a felszínét kapargatjuk annak, hogy milyen kiterjedt volt ez a kampány” — jelentette ki Meyers.
„Olyan adatokat kerestek az észak-koreai kiberbűnözők, amelyek értékesek lehetnek a KNDK számára, például érzékeny üzleti információkat és számos technológiai vállalat védett információit” – teszi hozzá a CrowdStrike vezetője. Meyers laboratóriuma úgy véli, hogy a Famous Chollima Észak-Korea Lőszeripari Minisztériumát támogatja, amely Észak-Korea rakéta- és fegyverprogramjait finanszírozza és felügyeli. Az információlopások valószínűleg ehhez kapcsolódnak.
Az amerikai igazságügyi minisztérium legalább háromszáz olyan vállalatról tud, köztük a CrowdStrike által észlelt mintegy száz technológiai vállalatról, amelyeket az elmúlt hónapokban ilyen behatolások érintettek. Az FBI májusban közleményt adott ki, amelyben figyelmeztette az állami és magánvállalatokat erre a tendenciára, tanácsokat adott, hogyan védjék meg a vállalkozásokat az ilyen behatolásoktól, és felszólított az ismert esetek bejelentésére.
Lopás a rendszer dicsőségére
A kibertámadásokat, a nyomon követés nehézsége – amelyeket más országokban lévő feltört szerverek használatával lehet elrejteni – különösen termékeny talajjá teszi a hírszerzési műveletek számára. Minden ország tisztában van ezzel, és bár egyikük sem ismeri el, gyaníthatóan azok, akik erre képesek, finanszírozzák és erőforrásokkal látják el az elit hackercsoportokat, az APT-ket, hogy olyan akciókat hajtsanak végre, amelyeket nem lehet egyetlen kormánynak sem tulajdonítani, így elkerülve a diplomáciai incidenseket. Az ezekre a csoportokra bízott küldetések, amelyekre a feltételezések szerint nem csak a nagyhatalmak titkosszolgálatainak van kapacitása, általában bizalmas információk megszerzésére irányulnak: ipari kémkedés, urándúsítási tervek szabotálása, katonai dokumentumok megszerzése és így tovább.
Észak-Korea megközelítése némileg kilóg a sorból. Hackercsapatai elsősorban arra összpontosítanak, hogy pénzeszközöket szerezzenek a nemzetközi szankciók által fojtogatott rezsim számára. Az utóbbi években egyik fő célpontjuk a kriptovaluták voltak. A Microsoft a napokban arra figyelmeztetett, hogy a Citrine Sleet, egy észak-koreai hackercsoport kihasználta a Google nyílt forráskódú Chromium böngészőjének nulladik napi sebezhetőségét (egy bizonyos szoftverben lévő, a fejlesztők számára ismeretlen hiba), hogy több szervezetet feltörjön és kriptovalutákat lopjon, bár az ellopott összeg egyelőre nem ismert. Az eddigi legnagyobb digitális lopást a Lazarus nevű csoport hajtotta végre: 2022-ben mintegy 600 millió eurónyi kriptovalutát zsákmányoltak, amihez egyes szakértők még 400 millió eurót adnak hozzá, amelyet az előző évben loptak el. Az ENSZ Biztonsági Tanácsának jelentése szerint az észak-koreaiak 2017 óta mintegy hárommilliárd dollárnyi kriptovalutát loptak el. Ugyanez a testület becslése szerint a hackercsoportok által ellopott összegek teszik ki az Észak-Koreába áramló valuta felét.
Anna Fifield újságíró A nagy utód (Captain Swing, 2021) című könyvében írtak szerint Kim Dzsongun, a diktatórikus dinasztia alapítójának unokája volt az, aki 2009-ben, amikor megörökölte az ország vezetését, úgy döntött, hogy a rezsim sok pénzt kereshet a kibertérből. Az országon belül az internethez való hozzáférés névleges, az országon kívül azonban a digitális színteret a kémkedés, a szabotázs és a lopás hatékony eszközeként értelmezik, kevés következménnyel. „Azokat a diákokat, akik potenciális [számítógépes] alkalmasságot mutatnak, néhányan már 11 éves korukban speciális iskolákba, majd a Phenjani Automatizálási Egyetemre küldik, ahol öt éven keresztül arra tanítják őket, hogyan törjenek fel rendszereket és hozzanak létre számítógépes vírusokat” – írja Fifield.
A stratégia bevált
Az Egyesült Államok és az Egyesült Királyság, valamint a Microsoft ennek a szervezetnek tulajdonítja a WannaCry 2.0, a történelem legnagyobb zsarolóvírusának 2017-es elindítását: ez a számítógépes vírus 150 országban mintegy 300 ezer számítógépet fertőzött meg, köztük az Egyesült Királyság egészségügyi rendszerében lévő számítógépeket, és váltságdíjat követelt a felszabadításukért cserébe.
A Lazaruson belül a különböző részlegek különböző célokat követnek. Meyers csapata öt különböző frakciót különböztet meg ezen az ernyőn belül, amelyek még egy közös kódtárat is használnak a támadások előkészítéséhez. Közülük kettő, a Stardust Chollima és a Labyrinth Chollima kizárólag a pénzszerzéssel foglalkozik. „Úgy véljük, hogy a Stardust Cholima a 121-es irodához tartozik, az Általános Felderítő Hivatal egyik részlegéhez”, ahogy Észak-Korea egyik kémügynökségét nevezik. „Ők nagyon koncentrálnak a pénzügyi rendszerekre, a kriptovalutákra és az új technológiákra”.
Gyakori az észak-koreai hackerek körében, hogy megpróbálnak betörni külföldi „kollégáik” számítógépébe, hogy megismerjék a legújabb kiberbiztonsági információkat, trükköket. Ez azonban, legalábbis egyszer, sokba került nekik. 2022-ben, egy évvel azután, hogy megpróbálták megfertőzni Alejandro Caceres, ismertebb hacker-nevén P4x vagy _hyp3ri0n számítógépét, az amerikai hacker megtorlásul egy hétre lekapcsolta az internetet az ázsiai országban. „Tudom, hogy amit tettem, az illegális volt, de nem tudtam elképzelni, hogy Észak-Korea bíróság elé állítson” — mondta Caceres az EL PAÍS-nak.