Mandiant, společnost zabývající se kybernetickou bezpečností, kterou nedávno koupila společnost Google, zveřejnila zprávu, v níž podrobně popisuje některé kybernetické operace Severní Koreje a to, jak země využívá hackery k získávání peněz prostřednictvím krádeží kryptoměn.
Severní Korea využívá hackery k financování některých státních operací prostřednictvím „kryptografických loupeží“, uvádí se ve zprávě společnosti Mandiant, která se zabývá kybernetickou bezpečností.
„Domníváme se, že špionážní operace země odrážejí bezprostřední zájmy a priority režimu, který se v současné době pravděpodobně zaměřuje na získávání finančních zdrojů prostřednictvím kryptografických loupeží, cílení na média, zpravodajské a politické subjekty, informace o zahraničních vztazích a jaderné informace a mírný pokles kdysi špičkového rozkrádání výzkumu vakcíny COVID-19. „
Zpráva podrobně popisuje kybernetické operace země a jejich strukturu v rámci Generálního úřadu pro průzkum neboli RGB – severokorejské zpravodajské agentury podobné CIA nebo MI-6. Vrhá také světlo na nechvalně proslulou hackerskou skupinu „Lazarus“, která ze Severní Koreje působí od roku 2009.
Podle zprávy není Lazarus jedinou skupinou hackerů, ale spíše zastřešujícím termínem, který novináři používají pro označení mnoha různých státem podporovaných hackerských skupin působících ze Severokorejské demokratické republiky. Tyto různé skupiny však působí v různých „sektorech“ a mají jedinečné odpovědnosti. Jednou z těchto odpovědností je získávání finančních prostředků prostřednictvím krádeží kryptoměn.
Posuzovaná kybernetická struktura kybernetických programů KLDR
Nejnovější kyberšpionážní aktivity
Hackerské skupiny napojené na Lazarus byly v poslední době aktivní a zneužívaly zranitelnost v prohlížeči Google Chrome od začátku ledna 2022 až do poloviny února, kdy byla zranitelnost opravena.
Skupina Threat Analysis Group neboli TAG společnosti Google 24. března v příspěvku na blogu uvedla, že skupiny útočníků podporované severokorejským státem – veřejně sledované jako „Operace Dream Job“ a „Operace AppleJeus“ – zneužívaly „zranitelnost vzdáleného spuštění kódu v prohlížeči Chrome“ od začátku ledna 2022 k různým hackerským a phishingovým útokům. Adam Weidemann ze společnosti TAG v blogpostu uvedl:
„Zaznamenali jsme kampaně zaměřené na organizace se sídlem v USA, které pokrývají zpravodajská média, IT, kryptoměnové a fintech odvětví. Cílem však mohly být i jiné organizace a země. „
Zneužití umožňovalo hackerům zasílat falešné nabídky práce lidem pracujícím ve výše uvedených odvětvích, které pak vedly na podvržené verze oblíbených webových stránek pro hledání práce, jako je například Indeed.com. Sada exploitů a phishing jsou podobné těm, které byly sledovány v rámci operace Dream Job. Mezitím se jiná hackerská skupina zaměřila na kryptografické firmy a burzy s využitím stejného exploit kitu.
Společnost Google uvedla, že cílem hackerských skupin bylo zhruba 340 lidí. Dodala, že všechny identifikované webové stránky a domény byly přidány do služby Bezpečné prohlížení, aby chránily uživatele, a že situaci nadále monitoruje.
Lazarus se zaměřuje na finanční služby, krypto
Hackerské skupiny napojené na Lazarus se již několik let podílejí na různých hackerských útocích na kryptografické firmy a tradiční banky. K některým významným hackerským útokům patří kybernetický přepad Bangladesh Bank z roku 2016 a různé útoky související s kryptoměnami v roce 2017.
Hlavní hackerskou skupinou zaměřenou na útoky na finanční služby je APT38, která stála za známým hackem SWIFT. Její součástí je podskupina nazvaná CryptoCore nebo „Open Password“.
Většina těchto hackerských útoků byla úspěšná a odhaduje se, že hackeři získali pro Severní Koreu více než 400 milionů dolarů. Vyšetřování OSN dospělo k závěru, že výnosy z těchto kybernetických loupeží byly použity na financování balistického raketového programu této poustevnické země.
