Lazarus Group: Hakeri v zahraničnej politike Severnej Kórey

Príklad severokórejskej hakerskej jednotky, ktorá sa do povedomia dostala pod názvom Lazarus Group, dokazuje, že aj krajina na pokraji humanitárnej krízy je schopná držať krok s dobou. Pchjongjang začal zhruba od roku 2007 s budovaním svojho kybernetického komanda, na ktorom najlepšie vidieť evolúciu hakerskej skupiny, variáciu možných techník a politickú podriadenosť.

V roku 2013 médiá informovali o rozsiahlom kyberútoku na infraštruktúru Južnej Kórey – cieľom boli tri televízne stanice a dve banky. Útok spôsobil výpadok bankomatov, platobných terminálov, mobilbankingu a znefunkčnil niekoľko počítačov v centrálach televízií.

Počas vyšetrovania tejto operácie sa zistilo, že zrejme išlo o pokračovanie útokov Operation Troy a Ten Days of Rain z rokov 2009 až 2012. Spätná analýza ukázala na podobnosti v cieľoch, technike, kóde a charaktere neznámeho útočníka. Incidenty v sebe kombinovali DDoS útoky namierené proti webstránkam vlády a finančného sektora USA a Južnej Kórey so špionážnym a deštruktívnym malvérom, ktorý buď preposielal dáta útočníkom, alebo ich z harddisku obete vymazal.

Zaujímavejšími však boli zvolené postupy. Hakeri využili takzvaný watering hole attack, pri ktorom nerozosielali malvér mailom, ako je to pri takýchto akciách bežné. Podstatou tejto techniky je naopak infikovať stránky, ktoré obeť zvykne navštevovať a následne vyčkávať, kým si z nich obeť malvér stiahne a nakazí sa. Samotný spyvér potom prehľadával súbory na harddisku, pričom medzi kľúčovými slovami sa ocitli kórejské termíny pre vojnu, zbrane, heslá či hacking, ale aj slová „severná“ a „jadrový“. Za počiatočnými DDoS útokmi stál botnet riadený prostredníctvom juhokórejských IRC serverov, ktoré slúžia na okamžitú textovú komunikáciu.

Z týchto útokov boli obvinené tri dovtedy neznáme skupiny New Romanic Cyber Army Team, WhoisTeam a DarkSeoul gang. Rôzne, ale predsa len podobné črty ich útokov viedli vyšetrovateľov k záveru, že buď muselo ísť o jednu skupinu, ktorá sa len snažila zmiasť súpera, alebo o dobre organizované celky riadené z jednej centrály. Jedno však bolo isté – primárnym cieľom bola Južná Kórea, ktorá v čase nástupu Kim Čong-una do čela KĽDR tlačila spolu so Spojenými štátmi na Pchjongjang pre testy jadrových zbraní. Vtedajšia kríza vyvrcholila sankciami zo strany OSN a pretrvávajúcim napätím na Kórejskom polostrove. Poškodené strany tak mali hneď jasno v tom, kto sa im snažil pomstiť.

Sotva rok po spomínaných útokoch prišli ďalšie. Tentoraz boli obeťou Spojené štáty. Terčom sa stalo štúdio Sony Pictures, ktoré v roku 2014 posielalo do kín komediálny film The Interview o pokuse spáchať atentát na severokórejského vodcu. Napriek oficiálnym protestom KĽDR bol film sprístupnený širokej verejnosti. Namiesto ziskov však štúdio čakali len problémy.

21. novembra 2014 dostali predstavitelia štúdia e-mail s vyhrážkou požadujúcou stiahnutie filmu z kín. Nikto z predstavenstva naň však nereagoval. O tri dni neskôr hakeri zverejnili osobné údaje (mená, adresy, bankové účty, prístupové heslá, číslo zdravotného poistenia atď.) o zamestnancoch, ich emailovú komunikáciu a dovtedy nevydané filmy. Spoločnosť minula na pokrytie škôd 15 miliónov dolárov. Nevedno, ako dlho celá akcia prebiehala, no na nazhromaždenie toľkých dát bolo potrebných minimálne pár mesiacov. Opätovne bol použitý spyvér a deštrukčný malvér s názvom Destrover. Tentoraz však chýbali DDoS útoky, ale pribudlo zverejnenie citlivých informácií. Hakerom sa tiež podarilo zneužiť viacero mailových a herných serverov v USA, ktoré použili na komunikáciu s počítačmi obetí.

Viacerí analytici dokonca objavili podobnosti medzi Destroverom a obdobným malvérom Shamoon, ktorý mali pred časom údajne vyvinúť Iránci a použiť ho proti počítačom ropnej spoločnosti Saudi Aramco. S prihliadnutím na zmluvu o spolupráci v oblasti vedy a techniky medzi Teheránom a Pchjongjangom z roku 2012 sa však ponúka otázka, či sa do útoku na Sony Pictures nezapojil alebo prinajmenšom neposkytol „know-how“ aj ďalší adept na jadrovú mocnosť z Blízkeho východu. K útoku sa však verejne priznala skupina Guardians of Peace, ktorá by podľa FBI mala pochádzať zo Severnej Kórey. V priebehu jedného roka tak útoky Severokórejčanov pribúdali a boli čoraz flexibilnejšie.

Na medzinárodnej scéne odvtedy Severná Kórea utržila pár ťažkých rán. Zo strany OSN išlo o rozsiahle hospodárske sankcie. Štátna pokladnica a hlavne jadrový program tak museli hľadať alternatívne zdroje príjmov.

Od roku 2015 sa preto terčom systematických útokov stávajú popredné burzy s kryptomenami a banky po celom svete. Od Vietnamu cez Poľsko a Nigériu až do Mexika útočníci cielia na servery bánk pripojených do celosvetovej siete SWIFT, ktorá zabezpečuje výmenu správ o elektronických transakciách medzi rôznymi inštitúciami.

Doposiaľ najväčšie škody zaznamenala Bangladéšska centrálna banka, ktorej v roku 2016 zmizlo z rezerv 81 miliónov dolárov. Na tieto útoky sa zamerala firma Kaspersky Lab, ktorá vo svojej správe došla k záveru, že za nimi stojí pravdepodobne odnož skupiny Lazarus menom Bluenoroff. Kým Lazarus sa má špecializovať na vojenské a politické ciele, Bluenoroff okráda finančný sektor a zabezpečuje Pchjongjangu potrebné peniaze.

Tieto operácie spravidla trvajú niekoľko mesiacov. Zločinci mapujú sieť, sledujú transakcie, rozmiestňujú malvér a získavajú prístupové údaje a práva. O ich sofistikovanosti svedčí fakt, že nejde o takzvanú hit-and-run lúpež (okradni a uteč), ale o tichú a premyslenú, ktorá za sebou nezanecháva takmer žiadne stopy. Vyšetrovateľom sťažovala prácu aj častá obmena kódu, hoci mala v konečnom dôsledku rovnakú funkciu, a rovnako tak snaha zamaskovať sa použitím ruských slov v príkazoch (hoci boli nesprávne použité).

V oblasti kryptomien išlo o najväčšiu ransomvérovú akciu, aká bola dodnes zaznamenaná. Vírus WannaCry v roku 2017 zašifroval súbory na viac ako 300-tisíc počítačoch v 150 krajinách sveta, od ktorých požadoval „výkupné“ v bitcoinoch v hodnote 300 dolárov. Spočiatku sa šíril mailmi, no využitím zraniteľnosti EternalBlue pokračoval ako červ. A hoci sa napáchané škody rátali v miliónoch, zisk páchateľov sa odhaduje len na 50- až 150-tisíc dolárov. Napriek tomu, že neposkytli jednoznačné dôkazy a ich hlavnou indíciou bol vzorec správania skupiny Lazarus, Spojené štáty sú presvedčené, že za útok je zodpovedná Severná Kórea.

O charaktere tejto skupiny sa vedú dlhoročné polemiky. Či už ide o jedného aktéra alebo o úzko prepojené skupiny, Lazarus predstavuje účinnú zbraň Severnej Kórey pri vymáhaní štátnych záujmov. Slúži mu na to pozoruhodná zbierka rôznych techník a nástrojov. Na odporcov severokórejského režimu si prichystal DDoS útoky, špionáž, deštrukčný malvér alebo zverejňovanie tajných a citlivých informácií. Dokázal tiež reagovať na finančné problémy štátu vydieraním a krádežou.

Najnovším útokom je Operácia AppleJeus cieliaca na burzy s kryptomenami. Objavená bola koncom augusta 2018 a priniesla so sebou novinku v podobe malvéru špeciálne prispôsobeného na platformu macOS. Svoj životný cyklus popri phishingu obohatila o watering hole attack, maskovanie sa za iné národy alebo využívanie verejne dostupných serverov a kryptografických nástrojov. Najväčším špecifikom však je častá obmena kódu – hoci má kód vykonať tú istú funkciu, jeho obsah sa musí zmeniť.

Nanešťastie pre Pchjongjang, Američanom sa len prednedávnom podarilo odhaliť a obviniť jedného zo severokórejských hakerov. Park Jin Hyoka usvedčili z účasti na akciách WannaCry, Sony Pictures a z bankovej kyberlúpeže. Vyšetrovateľov k útočníkovi priviedli stopy v podobe emailov, účtov a opakujúcich sa pseudonymov, z ktorých si obstarával služby na rôznych webstránkach. Na jednej strane výhra pre Washington, na druhej otázka, či sa skupina nepokúsi o odplatu. V každom prípade tento krok môže mať vplyv na prebiehajúce rokovania o denuklearizácii medzi Spojenými štátmi a Severnou Kóreou.

(VK)