#CyberMagazyn: Jak atakuje Korea Północna?

Koreańczycy z Północy atakują na wiele sposobów i różne cele. Niektóre działania KRLD są wieloetapowe i skomplikowane, lecz do skutecznych ataków należy również zaliczyć DDoS-y czy phishing. Trzeba również pamiętać, że północnokoreańskie kampanie nie są niczym nowym, ponieważ pierwsze z nich miały miejsce już 15 lat temu.

Pierwsze ataki reżimu Kimów

Cyberataki zaczęły się jeszcze za rządów Kim Dzong Ila. Pierwszy atak DDoS przeprowadzony przez Koreę Północną miał miejsce 4 lipca 2009 roku. Tego samego dnia przeprowadzono test rakiety balistycznej krótkiego zasięgu. Celem ataków była Korea Południowa i Stany Zjednonoczone, gdzie 4 lipca obchodzone jest święto niepodległości.

Przeprowadzono łącznie trzy fale ataków, których celem były m.in. Biały Dom, Pentagon czy Departament Stanu USA. 30 października 2009 roku południowokoreańskiej Narodowej Służbie Wywiadu udało się powiązać jeden z adresów IP cyberprzestępców z północnokoreańskim Ministerstwem ds. Poczty i Telekomunikacji. Serwer znajdował się na terenie Chińskiej Republiki Ludowej.

U schyłku życia Kim Dzong Ila przeprowadzono kampanię zwaną „10 dni deszczu”. Tym razem celem ataku była Korea Południowa i jej administracja, m.in. MSZ i instytucje finansowe. Złośliwe oprogramowanie rozprzestrzeniło się przy wykorzystaniu peer-to-peer. Zainfekowano 40 stron internetowych i 11 tysięcy komputerów. Prawie połowa serwerów banku Nonghyup była „zniszczona” według południowokoreańskiej prasy.

Struktura północnokoreańskich grup APT i ich przełożonych została opisana przez giganta cyberbezpieczeństwa firmę Mandiant.

Grupa Lazarus

Najbardziej znaną grupą APT z totalitarnej części Półwyspu Koreańskiego jest grupa APT38, znana powszechnie pod nazwą Lazarus. Przypisuje się im odpowiedzialność m.in. za atak na Sony Pictures, kradzież dziesiątek milionów dolarów z Banku Bangladeszu czy WannaCry.

Atak na Sony Pictures był spowodowany pracami nad filmem „Wywiad ze słońcem narodu”, który parodiował Kim Dzong Una i jego reżim. Cyberatak skutkował m.in. kradzieżą 47 tys. amerykańskich numerów ubezpieczenia społecznego i wyciekiem wielu maili.

Podczas ataku na Bank Bangladeszu w 2016 roku grupie Lazarus udało się wykraść 81 milionów dolarów. Było to „tylko” kilkadziesiąt milionów dolarów, ponieważ niektóre z przelewów zawierały literówki – np. Shalika Fundation zamiast Shalika Foundation. Należy podkreślić, że Koreańczycy z Północy wykorzystali różne zabiegi socjotechniczne, m.in. wiedzę o dniach wolnych od pracy w Bangladeszu i „dwuetapowe uwierzytelnianie” przelewów w oparciu o wydruki z drukarki.

Grupie Lazarus przypisuje się również odpowiedzialność za WannaCry. Podczas ataku zainfekowano ponad 300 tys. komputerów. W kampanii wykorzystano EternalBlue, exploit autorstwa NSA.

Kimsuky

Kolejną północnokoreańską grupą APT jest Kimsuky. Przeprowadzali oni ataki wykorzystujące oryginalne techniki, które niestety okazały się skuteczne.

W 2023 roku wspomnianej grupie hakerskiej udało się zaszyć malware w aktualizacji antywirusa eScan, pochodzącego z Indii. Sprawę opisywaliśmy na łamach CyberDefence24. Proces infekcji złośliwym oprogramowaniem był wieloetapowy i skomplikowany.

Korea Pn. - poważne zagrożenie

Korea Północna jest poważnym zagrożeniem w cyberprzestrzeni. Ataki grup takich jak Lazarus czy Kimsuky są wymierzone głownie w administrację rządową i sektor finansowy, choć firmy również bywają ich ofiarami.

Należy pamiętać o tym, że z Koreą Północną blisko współpracuje Chińska Republika Ludowa, udostępniając np. infrastrukturę do przeprowadzania ataków. Trzeba być świadomym tego, że w tym totalitarnym kraju jednostka nie ma absolutnie żadnego prawa do decydowania o sobie, dlatego ocena moralna działań cyberprzestępców jest o wiele trudniejsza względem innych państw.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: .