Korea Północna działa w Europie
Północna Korea traktuje Europę jako swój przyczółek. Polska i państwa położone na wschód od naszej granicy są rejonem zainteresowanie.
W dobie Internetu egzotyczne mariaże i niecodzienne sojusze nie są niczym niezwykłym. Historia zna bogatą tradycję połączeń od słynnego ruchu zapatystycznego w latach dziewięćdziesiątych. Na łamach Reuters Raphael Satter wskazał, że Korea Północna porozumiała się z cyberprzestępcami z Europy Środkowowschodniej. W oparciu o analizy kodu źródłowego analitycy Malwerbytes sugerują, że wsparcia reżimowi udzielili ludzie z krajów rosyjskojęzycznych. Wskazówką ku temu jest stosowanie cyrylicy w użytym złośliwym oprogramowaniu (tak zwanym malware). Oficjalne informacje mówią o zatrzymaniu osoby w Warszawie już w październiku 2014, a to jest dopiero wierzchołek góry lodowej. Okazuje się, że Korea Północna, jak doniosła firma z branży bezpieczeństwa Sentinel One haktywiści z grupy Lazarusa (oskarżanej o kradzież dziesiątków milionów dolarów z kont w Banku Centralnym Bangladeszu i nielegalnym pozyskaniem listów elektronicznych z Sony Pictures).
Ujawniona sprawa ukazuje powiązania z Rosjanami. Przedstawiciel Sentinel One Witalij Kremez ocenia: “Dla mnie jest to największa historia z oprogramowaniem przestępczym od nie wiem kiedy. Grupa Lazarusa miała powiązania z najbardziej zaawansowanym, najbardziej wyposażonym w zasoby rosyjskim botnenem jaki znajduje się na horyzoncie”.
Media w miejsce mówienia o haktywistach odwołały się do gangu cyberkryminalistów, chociaż właściwy termin jest to haktywiści. Ze swej natury haktywizm, podobnie jak jego pierwotne źródło - komunizm, dzieli się na wiele nurtów. Odróżniają się one tym, że kładą nacisk na inne aspekty ludzkiego życia - od tylko czerpania zysków po organizowanie akcji “społecznych”. Dzielą się one na grupy połączone wspólną ideą eksploracji zamkniętych systemów w imię idei zdefiniowanej przez guru lewicy Stevy’a Leviego jako “Informacja chce być wolna”. Ujawnione powiązania mówią o istnieniu grupy określanej jako TrickBot. Wedle ustaleń badaczy BAE stanowili oni dostawcę technologii dla innych haktywistów.
Handlowali dostępem do systemów. Tym sposobem grupa Lazarus pozyskiwała wiedzę potrzebną do włamań. TrickBot nie ograniczyli się wyłącznie do cichego dostarczania informacji o błędach w oprogramowaniu, czy sposobach obejściach zabezpieczeń dla jednej strony. Wedle japońskiej firmy telekomunikacyjnej NTT porozumieli się z Koreą Północną. Tym samym reżim nawiązał kontakty z grupami Lazarus i TrickBot. Ustalenia Sentinel One dowodzą, że istnieją ślady na komunikację między oboma grupami, na przykład przed atakiem na sieć łączącą system bankowy w Chile. Podczas tej operacji zdaniem Amerykanów środki powędrowały do kieszeni Korei Północnej.
Zdaniem Kremera grupa TrickBot stworzyła tak zwane CaS, czyli przestępstwo jako usługę (crime as service). Jest to tworzenie infrastruktury do działań i później jej najmowanie. Dlatego telefony komórkowe i komputery są nieustannym celem ataków, bo umożliwiają tworzenie szkieletu potrzebnego do finansowania działań i oszustw jakie następują. Badacz z Cybereason w Bostonie Assaf Dahan wskazał, że przestępcy układali się z rządem Korei Północnej. Kwestią otwartą stanowi stwierdzenie, czy przejmowali się rezultatami swoich działań.
Nie mniej w systemach CaS motywem przewodnim są pieniądze. Stworzenie tak zwanych sieci zombie to nic innego, jak uzyskanie cichej kontroli nad telefonami komórkowymi dla zysku. Pod między innymi płaszczem pirackiego oprogramowania klony Photoshop przekształcają nieświadomych użytkowników w cyberterrorystów i różnego poziomu przestępców.
Obok grupy warty jest wymienienia trojan Trickbot. Powstał w oparciu o kod źródłowy Dyrezy, także kodu wymierzonego w bankowość. W swej budowie wykorzystał narzędzia Minikaz. Dzięki temu powstał modułowy system do dalszego rozwoju i rozbudowy. Śledzenie listy połączeń sieciowych pozwala na ustalenie połączeń z zakazanymi stronami w sieci. Znajomość adresów sieciowych serwerów z jakimi łączy się Trickbot dla koordynacji swoich działań pozwala na wychwycenie jego obecności. Często użytkownicy nawet nie mają świadomości, że coś się dzieje w tle. Haktywiści bowiem dbają o maskowanie. Symulują pożyteczne programy. Stawiają na fasadowość. To zaś przekłada się na kłopoty w ustaleniu fizycznych sieci powiązań i rzeczywistych ludzi stojących za CaS.
Jacek Skrzypacz
Źródło: Jacek Skrzypacz
