Z ostatniej chwili
0
Wersja bez reklam. Zwiększ swoją satysfakcję z korzystania z serwisu Investing.com. Zaoszczędź aż 40% Więcej szczegółów

Korea Północna, hakerzy, Bitcoiny i .... Lazarus

Przez Mysaver (Bartosz Adamiak)Kryptowaluty13.09.2017 16:19
pl.investing.com/analysis/korea-polnocna-hakerzy-bitcoiny-i--lazarus-200196630
Korea Północna, hakerzy, Bitcoiny i .... Lazarus
Przez Mysaver (Bartosz Adamiak)   |  13.09.2017 16:19
Zapisane. Przeglądaj Zapisane pozycje.
Ten artykuł już został zapisany w Twoich Zapisane pozycje
 

11 września na blogu firmy FireEye pojawił się wpis zatytułowany „Dlaczego Korea Północna tak bardzo interesuje się Bitcoinami”. Samo pytanie wydaje się być bezzasadne, jeżeli spojrzymy na wykres(BTC/USD) oraz rzucimy okiem na ostatnie newsy, dotyczące sankcji gospodarczych. Jednak informacje o aktywności północnokoreańskich cyberprzestępców jawi się cokolwiek ciekawie…

Jest więcej, niż pewne, że Korea Północna utrzymuje armię hakerów, bo w dzisiejszych czasach jest to broń równie potężna jak czołgi, wyrzutnie rakiet czy samoloty. A nawet niebezpieczniejsza o tyle, że działania w cyberprzestrzeni (cyberszpiegostwo, cybersabotaż czy cyberprzestępstwa) można prowadzić nieustannie, a bardzo trudno jednoznacznie udowodnić, że ktoś właśnie to robi.

Grupa Lazarus

Pierwsza myśl, jaka rodzi się w głowie po usłyszeniu słów „cyberprzestępcy” i „Korea Północna” to – Grupa Lazarus. Kim lub czym jest Lazarus? Nie wiadomo dokładnie, ale rozliczne tropy potwierdzają, że rzeczywiście mogą to być północni Koreańczycy. A przynajmniej hakerzy na usługach Korei Północnej, niekoniecznie działający z terenu Korei Północnej (jak wiadomo prąd i dostęp do internetu, rzadko należą tam do standardu). Hakerzy Kima mogą zatem mieszkać w dowolnym miejscu świata (przeważnie jednak w krajach azjatyckich i europejskich), bo jak wiadomo, telepraca nie jest dziś żadnym problemem.

Wywiad ze słońcem narodu

Po raz pierwszy świat, szerzej, usłyszał o grupie Lazarus w 2014 roku, przy okazji premiery filmu „Wywiad ze słońcem narodu” (ang. „The Interview”). Film opowiada o gwiazdorze talkshow (James Franco) oraz jego producencie (Seth Rogen), którzy postanawiają pojechać do Korei Północnej, by tam zrobić wywiad z Kim Dzong Unem. Przy tej okazji CIA zleca im zabójstwo dyktatora.

Hakerzy włamali się na serwery Sony Pictures Entertainment i wykradli z nich ok. 100 terabajtów danych m.in. informacje o pracownikach i ich numerach ubezpieczeń, ale także kontrakty z aktorami i twórcami. W wystosowanym oświadczeniu Korea Północna stwierdziła, że nie wie, kto włamał się do Sony, ale że film jest wyjątkowo kłamliwy.

Wszczęte zostało śledztwo, w którym uczestniczyli spece z Kasperky Lab, Novetta i AlienVault, a którego efektem był obszerny raport Operacja Blockbuster, w którym podsumowano całą wiedzę na temat grupy Lazarus. W toku działań operacyjno-analitycznych udało się ustalić, że istniejąca od 2009 roku grupa, odpowiada także za inne, mniej spektakularne ataki. Mimo doskonałych metod pracy, zdradziły ich m.in. podobne metody zacierania śladów czy tzw. droppery – pliki służące do instalacji szkodliwego oprogramowania, które przechowują wszystkie dane w zabezpieczonych archiwiach ZIP. W wielu różnych kampaniach stosowano jedno hasło, zapisane na stałe w pliku.

Luty 2016, Bangladesz

Atak na bank centralny w Bangladeszu, z wykorzystaniem słabości w systemie płatności SWIFT należy do jednego z najgłośniejszych. Skradziono 81 milionów dolarów, a próbowano wyprowadzić z banku jeszcze 891 milionów.

Choć nie istnieją jednoznaczne dowody wskazujące na to, że za atakiem stał Lazarus, zdaniem Symantec Corp (NASDAQ:SYMC). i BAE Systems (LON:BAES) Plc, tak właśnie było. I znów przypuszczenie to oparte zostało jedynie na podobieństwach w kodzie oraz metodach działania.

Mniej więcej w tym czasie pojawia się jeszcze jedna, zagadkowa nazwa: BlueNoroff. Ma to być dział Lazarusa, specjalizujący się w atakach na instytucje finansowe (w odróżnieniu od pozostałej części, która skupiać się miała na cyberszpiegostwie i cybersabotażu). Ich ofiarami padać miały banki, kasyna, producenci oprogramowania dla firm inwestycyjnych, a także kryptowaluty.

– Jedną z ulubionych strategii BlueNoroff jest ciche integrowanie się z działającymi procesami bez zakłócania ich pracy. Z naszej analizy szkodliwego kodu wynika, że cyberprzestępcy nie są nastawieni na szybką i brutalną kradzież. Zamiast tego, starają się działać bardzo ostrożnie, by nie pozostawić po sobie żadnych śladów. – czytamy na blogu Securelist.pl

O tym, czym jest „ciche integrowanie z działającymi procesami” przekonujemy się w Polsce dość szybko.

2016-2017 atak na polskie banki

7 października 2016 roku, na stronie Komisji Nadzoru Finansowego umieszczony został złośliwy kod (dropper). W branży cyberbezpieczeństwa nazywa się taką sytuację „taktyką wodopoju”, ponieważ zaatakowane nie zostały instytucje docelowe czyli banki, a źródło, do którego pracownicy owych instytucji często zaglądają. Od 7 października 2016 do lutego 2017, dropper znajdował się na stronie, przez nikogo nie niepokojony i działał. Według informacji pozyskanych przez Niebezpiecznik.pl, KNF otrzymywał informacje od pracowników banków, że ich serwis infekuje, jednak ani jedna, ani druga strona nie była w stanie zlokalizować miejsca umieszczenia złośliwego kodu.

2 lutego 2017 r. strona knf.gov.pl została wyłączona. Żaden z zainfekowanych banków nie był w stanie zapewnić w 100%, że źródłem infekcji była właśnie ta strona, zatem istnieje podejrzenie, że na innych stronach, związanych z tematyką finansową, również mógł pojawić się szkodliwy kod.

Podobnie, jak w przypadku ataku z Bangladeszu, i tym razem pojawiły się dość istotne podobieństwa, mogące sugerować, że za atakiem stała grupa Lazarus/BlueNoroff. Choć zdaniem Niebezpiecznika, wcale nie musiało tak być.

– Pewne zbieżności co do sposobu działania złośliwego oprogramowania wcale nie oznaczają, że za atakiem stoi ta sama grupa. Kod złośliwego oprogramowania lub pewnych modułów często jest tworzony niezależnie i sprzedawany do kilku niezależnych odbiorców. – czytamy na Niebezpiecznik.pl

Oba przypadki różniły się także celem przeprowadzonego ataku. W Bangladeszu doszło do spektakularnej kradzieży, w Polsce żadne środki nie zostały wyprowadzone.

Chcesz płakać?

W maju 2017 roku doszło do spektakularnego ataku, obejmującego swoim działaniem niemal cały świat, a jego głównym narzędziem był ransomware WannaCry - program, który szyfrował dane na komputerze i żądał okupu w Bitcoinach, w zamian za ich odszyfrowanie.

W ataku najbardziej ucierpiały firmy z Hiszpanii (m.in. główny operator usług telekomunikacyjnych Telefónica), brytyjska służba zdrowia, Fedex, Deutsche Bahn oraz firmy z 99 innych krajów. W Rosji zainfekowane zostały komputery MSW, agencji zarządzania kryzysowego, a także przedsiębiorstwa komunikacyjnego MegaFon. W ciągu kilku dni hakerzy wyłudzili ponad 79 tysięcy dolarów w Bitcoinie.

WannaCry bazował na exploicie (kod wykorzystujący błędy w oprogramowaniu) EternalBlue, który rzekomo miał powstać w amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA), w celu atakowania komputerów z systemem Windows, a który ponoć miał zostać wykradziony i wystawiony na sprzedaż w dark webie. I chociaż – zgodnie z tradycją – trudno jednoznacznie wskazać winnego, ślady znów prowadzą do grupy Lazarus.

Bohaterem historii WannaCry został Marcus Hutchins, ekspert od cyberbezpieczeństwa zatrudniony w Kryptos Logic. Na podstawie wyodrębnionej próbki kodu ustalił, że przy infekowaniu kolejnych komputerów, WannaCry próbował łączyć się z niezarejestrowaną domeną. Gdy Hutchins zarejestrował ją, proces rozprzestrzeniania się wirusa został zatrzymany.

Żeby jednak nie było za wesoło – w sierpniu tego roku Hutchins został aresztowany w Las Vegas przez FBI, pod zarzutem rozprzestrzeniania w sieci wirusa Kronos (w latach 2014-2015), służącego do wykradania danych z banku.

Konkluzja

Świat jest areną ukrytych działań, które tylko pozornie są ze sobą zupełnie niezwiązane. Wielu ludzi stawia pytania, na które trudno odpowiedzieć np. skąd Korea Północna bierze pieniądze na rozwój broni, skoro od lat objęta jest coraz większymi sankcjami gospodarczymi? Kradzieże pieniędzy, a teraz także na większą skalę Bitcoinów, akcje cybersabotażowe i cyberszpiegowskie… To wszystko sprawia, że rodzi nam się więcej pytań, niż odpowiedzi. Zwłaszcza, że w tych wszystkich przypadkach, mamy do czynienia również z licznymi niejasnościami. Bo skoro ktoś z taką swobodą zostawia po sobie tak liczne i czytelne ślady, to albo jest pyszny i pragnie sławy, albo odwala jakiś dziwny numer z przerzucaniem podejrzeń na kogoś innego.

I co ciekawe – zawsze, gdzieś w tle, dziwnym zbiegiem okoliczności pojawia się Bitcoin.

Korea Północna, hakerzy, Bitcoiny i .... Lazarus
 

Artykuły powiązane

Korea Północna, hakerzy, Bitcoiny i .... Lazarus

Dodaj komentarz

Wytyczne dotyczące komentarzy

Zachęcamy Cię do korzystania z komentarzy, wchodzenia w interakcje z użytkownikami, dzielenia się swoją perspektywą i zadawania pytań autorom i sobie nawzajem.  By jednak zachować wysoki poziom dyskusji, który wszyscy cenimy i którego oczekujemy, prosimy mieć na uwadze następujące kryteria:

  • Wzbogacaj dyskusję
  • Trzymaj się tematu. Umieszczaj materiał, który jest zgodny z dyskutowanym tematem.
  • Szanuj innych. Nawet negatywne opinie można formułować w pozytywny i dyplomatyczny sposób.
  • Używaj standardowego stylu pisania. Używaj interpunkcji oraz dużych i małych liter. 
  • UWAGA: Spam i/lub wiadomości promocyjne oraz linki w komentarzu będą usuwane.
  • Unikaj wulgarnego języka, oszczerstw oraz ataków osobistych skierowanych w autora lub innego użytkownika.
  • Można umieszczać tylko komentarze po polsku.
Tu napisz swoją opinię
 
Czy na pewno chcesz usunąć ten wykres?
 
Wyślij
Umieść także na:
 
Zastąpić dołączony wykres nowym wykresem?
1000
Aktualnie nie możesz umieszczać komentarzy, ponieważ dostaliśmy zgłoszenie o naruszeniu regulaminu. Twój status zostanie zweryfikowany przez naszych moderatorów.
Prosimy poczekaj minutę, zanim znów zaczniesz komentować.
Dziękujemy za Twój komentarz. Zaznaczamy, że musi on zostać zatwierdzony przez naszych moderatorów. Może to zająć chwilę, zanim pojawi się  na stronie.
 
Czy na pewno chcesz usunąć ten wykres?
 
Wyślij
 
Zastąpić dołączony wykres nowym wykresem?
1000
Aktualnie nie możesz umieszczać komentarzy, ponieważ dostaliśmy zgłoszenie o naruszeniu regulaminu. Twój status zostanie zweryfikowany przez naszych moderatorów.
Prosimy poczekaj minutę, zanim znów zaczniesz komentować.
Dodaj wykres do komentarza
Potwierdź zablokowanie

Czy na pewno chcesz zablokować %USER_NAME%?

Po włączeniu opcji blokady, ani Ty ani %USER_NAME% nie będziecie mogli zobaczyć swoich postów na Investing.com.

%USER_NAME% został pomyślnie dodany do Twojej Listy zablokowanych

Ponieważ właśnie odblokowałeś tę osobę, aby móc ponownie ją zablokować musi minąć 48 godzin.

Zgłoś ten komentarz

Uważam, że ten komentarz jest:

Komentarz zgłoszony

Dziękujemy!

Twoje zgłoszenie zostało wysłane do naszych moderatorów w celu rewizji
Zastrzeżenie: Fusion Media would like to remind you that the data contained in this website is not necessarily real-time nor accurate. All CFDs (stocks, indexes, futures) and Forex prices are not provided by exchanges but rather by market makers, and so prices may not be accurate and may differ from the actual market price, meaning prices are indicative and not appropriate for trading purposes. Therefore Fusion Media doesn`t bear any responsibility for any trading losses you might incur as a result of using this data.

Fusion Media or anyone involved with Fusion Media will not accept any liability for loss or damage as a result of reliance on the information including data, quotes, charts and buy/sell signals contained within this website. Please be fully informed regarding the risks and costs associated with trading the financial markets, it is one of the riskiest investment forms possible.
Rejestracja przez Google
lub
Rejestracja przez e-mail