Korea Północna - mocarstwo w cyberprzestrzeni

Kim Dzong Un zgodził się na pojednawcze gesty wobec wrogów, mimo że niedawno groził wojną Stanom Zjednoczonym, a wobec sąsiadów z południa nie ograniczał się do propagandowych gróźb. Reżim się sypie?

W żadnym wypadku. Korea Północna nabrała pewności siebie w środowisku międzynarodowym, szczególnie ze względu na uzyskany status nuklearnego mocarstwa. Reżim w Pjongjangu wyciągnął wnioski z doświadczeń państw, które zrezygnowały z programu atomowego lub pozwoliły go zatrzymać. Zaliczają się do nich m.in. Libia, Irak, Iran, a nawet Ukraina. Obecnie Kim Dzong Un posiada silniejszą pozycję negocjacyjną w rozmowach z Zachodem. Jednocześnie, musimy być świadomi, że zarówno Stany Zjednoczone, jak i ich sojusznicy w regionie Azji i Pacyfiku mają bardzo ograniczone opcje. Jakiekolwiek siłowe działanie USA, np. próba zestrzelenia rakiety balistycznej KRLD, byłoby obarczone ogromnym ryzykiem, przede wszystkim dla Republiki Korei, i to nie ze względu na broń jądrową, ale odwet wobec Seulu przy użyciu ogromnego arsenału północnokoreańskich środków konwencjonalnych. Obecnie wszyscy chyba jednak czekamy na rozwój kiełkującego dialogu z Republiką Korei i Donaldem Trumpem.

Oprócz zbrojeń i prób rakietowych, północnokoreańska armia nie próżnowała też w cyberprzestrzeni. Niedawno tamtejsi hakerzy byli uznawani za aktywnych, lecz niegroźnych. Obecnie ich ataki potrafią poczynić poważne szkody. W jakim kierunku zmierza cyberarmia Kima?

Działań jest stosunkowo dużo, ale szczególną uwagę na cyberoperacje Korei Północnej zaczęto zwracać dopiero w 2014 roku, kiedy północnokoreańscy hakerzy propaństwowi dokonali ataku na serwery wytwórni Sony Pictures Entertainment. Efektem było czasowe wstrzymanie premiery filmu, którego komediowa fabuła przedstawiała kulisy próby zamachu na przywódcę. Zaskoczeniem dla środowiska międzynarodowego był fakt, że obce państwo próbowało wpływać na prywatną korporację, i że za atakami mogło stać uboga Korea. Intruzji w systemy poczty email pracowników Sony dokonała grupa hakerska znana jako DarkSeul. Użyli metody phishingu profilowanego – cyberataku, który obiera za cel określone wartościowe cele lub większe sieci komputerowe. Grupa znana jest również pod nazwą Lazarus. Przypisuje się jej ataki na systemy finansowe na całym świecie, w tym atak ransomware z maja 2017 roku – WannaCry.

Czy atak związany ze wspomnianą premierą filmu „The Interview” można traktować jako przełomowy z perspektywy czasu?

Atak na wytwórnię Sony Pictures nie był zasadniczo przełomowy dla działań hakerów północnokoreańskich. W odróżnieniu od wcześniejszych ataków, które głównie miały charakter polityczny, używano prostszych narzędzi. Dziś ewidentne jest, że północnokoreańskie kody programowe stają się coraz bardziej wyszukane, umożliwiając wtórne wykorzystanie zainfekowanych urządzeń do różnych celów, spoczywając w zainfekowanym systemie przez miesiące czy nawet lata.

Jak wyglądają tajniki północnokoreańskich hakerów?

Amerykańska agencja cyberbezpieczeństwa FireEye zwraca uwagę na bogaty katalog północnokoreańskich technik informatycznych. O tym, że poczyniono znaczące postępy w tym zakresie, świadczyć może zakres działań grupy hackerskiej, określanej jako APT-37 „Reaper” (pol. żniwiarz), uderzającej w cele publiczne i prywatne m.in. w Korei Południowej, Japonii, Wietnamie i na Bliskim Wschodzie. Grupa wykorzystuje wysoko zaawansowane programy pozwalające na przechwytywanie obrazu monitora czy logowania klawiatury (DOGCALL) wykorzystujący lukę programową w edytorze tekstowym HWP (Hangul), atakując południowokoreańskie instytucje rządowe i militarne. DOGCALL jest niewykrywalny dla programów antywirusowych i oddziałuje na interfejsy programistyczne aplikacji baz dla danych przechowywanych w tzw. chmurze, takich jak Cloud, Dropbox czy Yandex. Inny program - KARAE w pierwszym uderzeniu na cel gromadzi informacje systemowe i pozwala na zewnętrzny transfer plików, i może pozostawić w systemie komputera lub sieci ładunek drugiego stopnia – do wykorzystania w innym celu w przyszłości. Jako nośnika, KARAE używa popularnej aplikacji konwersji plików video z You Tube. Z kolei wirus RUHAPPY jest programem destrukcyjnym współdziałającym z DOGCALL - nadpisuje MBR (Master Boot Records) komputera, sprawiając, że ten nie uruchamia się prawidłowo, wyświetlając na ekranie napis: „Are You Happy?” Katalog FireEye zawiera kilkanaście różnych odmian tego typu programów „Żniwiarza”.

Pod względem największej liczby ataków nadal przewodzi rosyjska grupa Sofacy, jednak północnokoreański Lazarus przegonił ich już pod względem częstotliwości cyberataków. Najlepsze dopiero przed nimi?

Osiągnęli już względny szczyt możliwości. Przy okazji ataku WannaCry, Lazarus nie wykorzystał produktu własnego – atak przeprowadzony został przy wykorzystaniu programu ETERNALBLUE wykradzionego amerykańskiej NSA. Wiele natomiast wskazuje, że w atakach grupa APT 37 używa w pełni własnego oprogramowania (również o charakterze destrukcyjnym), stojącego na najwyższym poziomie.

Dyrektor analiz wywiadowczych Fire Eye – John Hultquist stwierdził, że północnokoreańscy hakerzy przeprowadzają już jedne z najlepszych ataków na świecie. Jak wyglądają przy tym na tle innych państw?

Cyberataki prowadzą hakerzy różnych państw, takich jak: Chin, Rosji, Indii, Iranu, czy Stanów Zjednoczonych. W kontekście działań o charakterze politycznym, pomimo tego, że podejmują je hakerzy propaństwowi, w dużej mierze wymienione państwa są cyberaktorami. W zależności od wewnętrznie przyjętego systemu kalkulacji zysków i ryzyka oraz poczucia odpowiedzialności musza się liczyć z możliwością odwetu i międzynarodowego przeciwdziałania. Jeśli dane państwo chce utrzymywać relacje międzynarodowe na przyzwoitym poziomie, rząd powinien posiadać kontrolę, a przynajmniej być w stanie oddziaływać na grupy hakerów propaństwowych. Takie działanie miało miejsce w 2015 roku w przypadku amerykańskich oskarżeń i osiągniętego porozumienia pomiędzy Pekinem i Waszyngtonem ws. przeciwdziałania aktom cyberszpiegostwa. Korea Północna nadal nie wydaje się odczuwać żadnego czynnika powstrzymującego przed przekraczaniem tego progu. Co więcej, obok ataków na sieci agend militarnych i rządowych, duża część ataków hakerów północnokoreańskich ma charakter przestępczy obierając za cel instytucje finansowe, np. banki w Ekwadorze, Wietnamie, Meksyku, Bangladeszu, Tajlandii, a nawet system Komisji nadzoru Finansowego w Polsce.

Czy istnieje możliwość, by działali spoza granic kraju?

W części zachodnich opinii analitycznych sugeruje się, że Korea Północna może zatrudniać programistów z Europy Środkowej i Wschodniej. W tym kontekście, podkreśla się wysoki stopień bezrobocia i jednocześnie bardzo wysokie kwalifikacje, szczególnie w zakresie matematyki i fizyki, jakie absolwenci uczelni technicznych uzyskują w tych krajach. Oczywiście cyberataki mogą być prowadzone spoza terytorium Korei Północnej.

W ostatnich latach północnokoreańscy hakerzy szczególnie upatrzyli sobie giełdy kryptowalut. Czyżby nie skupiali się już na kradzieży informacji państwowych lub wywiadowczych?

Sektor ten nadal jest słabo chroniony, zarówno prawnie, jak i infrastrukturalnie. Pod tym względem, coraz szerszym procederem jest wykorzystywanie luk w aplikacjach wykorzystywanych do transferu czy procesów wymiany cyfrowej waluty. W przypadku ataku WannaCry z maja ubiegłego roku, za odblokowanie danych komputera grupa Lazarus żądała okupu w kwocie 300 USD w bitcoinach. W 2017 roku Lazarus atakował również południowokoreańskie giełdy wymiany krypotowalut: Bithumb i YouBit. Analitycy amerykańskiej firmy cyberbezpieczeństwa Recorded Future utrzymują, że takie działanie wskazuje atrybucję grupy – jej powiązanie z rządem północnokoreańskim, a działania w sferze kryptowalut – na obchodzenie utrzymywanych sankcji ekonomicznych wobec KRLD.
Amerykańskie źródła prasowe podają, że cyberarmia liczy od sześciu do siedmiu tysiąca hakerów i pracowników wsparcia. Brzmi to kolosalnie.

Mam wątpliwości, czy podana liczba mogłaby w ogóle równać się z ogólną ilością komputerów w Korei Północnej. Zważywszy na to, że w całym kraju są zaledwie dwa punkty wymiany ruchu internetowego (IXP), dane brzmią dość niewiarygodnie. Z drugiej strony jednak, posiadanie silnych narzędzi ofensywnych w cyberprzestrzeni mogłoby przydać Korei Północnej dodatkowych zdolności oddziaływania strategicznego na platformie globalnej. Możliwe, że państwo określane jako międzynarodowy odludek, będzie realizować aktywny, elitarny program rozwijania zdolności, które mogą stwarzać ryzyko zagrożenia dla państw o wiele silniejszych.

Do czego może być zdolna grupa hakerów, której liczba członków oscyluje wokół tysięcy? Czy ilość przekłada się na jakość pod tym względem?

Oczywiście z tysięcy łatwiej jest wybrać tych kilku najskuteczniejszych. Niemniej, w sferze działań w cyberprzestrzeni poważnym zagrożeniem może być już zespół kilku wysoko wykwalifikowanych hakerów, dobrze skoordynowana sieć rozpoznania celu i zespół infiltracji, co poza granicami państwa, mogłoby zostać osiągnięte dzięki działaniu własnych lub współpracujących służb specjalnych.

Korea Południowa szacuje, że ich problematyczny sąsiad atakuje ich aż 1,5 miliona razy w ciągu dnia, co daje… 17 ataków na sekundę. Jak to w ogóle możliwe?

Każdego dnia do sieci wprowadzanych jest prawie milion nowych malwerów – jednostek szkodliwego oprogramowania. Cyberataki to nie tylko uderzenia o charakterze ofensywnym. Zaliczają się do nich również m.in. próby nieuprawnionego sprawdzenia systemów, sieci komputerowych firm i instytucji militarnych.

Ustalenia południowokoreańskiego rządu mówią o 235 GB wykradzionych danych i tajemnic wojskowych. Jak tego typu informacje mogą decydować o losach konfliktów?

Nie sądzę, aby wyciekowi uległy dane wrażliwe, np. na temat doktryn wojennych czy planów operacyjnych i mobilizacyjnych. Informacja i sam fakt kradzieży danych z baz agend rządowych lub militarnych może przyczynić się raczej do eskalacji napięcia i przybliżyć perspektywę konfliktu, niemniej nie decyduje o jego losach. Mnie bardziej zastanawia, dlaczego te dane są tak słabo chronione, tym bardziej, że dotyczą one współpracy bliskiego sojusznika USA.

Przechwycono nawet plan zabicia Kim Dzong Una na wypadek wojny.

Plany dotyczyły raczej ustanowienia jednostki komando działań specjalnych pod wdzięczną nazwą „Decapitation Unit”, która mogłaby być użyta do eliminacji przywódców północnokoreańskich, w tym Kim Dzong Una. Jak podkreślały władze w Seulu na łamach The New York Times, informacja o planach utworzenia jednostki komando miała na celu oddziaływanie psychologiczne, podobnie jak inne zdolności rozwijane w celu zniechęcenia Pyongyangu do realizacji programu jądrowego.

Hakerom stosującym ‘taktykę wodopoju’ udało się zainfekować strony prowadzone przez potencjalny cel ataku. Ofiarami takiego działania padły niejedne instytucje bankowe na całym świecie, w tym polskie. Czemu mogą służyć takie działania?

Nowa technika w świecie hakerów opiera się na połączeniu analiz behawioralnych z mailowym phishingiem profilowanym (spear phishing). Hakerzy obserwują, jakiego rodzaju witryny internetowe pracownicy danej korporacji odwiedzają najczęściej i przygotowują atak na „zgromadzonych przy wodopoju” użytkowników. W takim przypadku do zainfekowania urządzenia użytkownika dochodzi gdy ten przejdzie z ulubionej witryny na jedną z proponowanych pobocznie stron.

Jakie mogą być konsekwencje wejścia w tak podejrzaną reklamę?

W zależności od zastosowanego złośliwego oprogramowania, hakerzy mogą przechwytywać dane komputerowe, dane logowania, uzyskać wgląd w naszą pracę na klawiaturze bądź zamienić nasze urządzenie w tzw. komputerowe zombie używane w sieci botnetów, całkowicie bez naszej wiedzy. Taktyka zwykle stosowana jest wobec pracowników konkretnej firmy i celuje w jej interes. Takie zastosowanie było celem cyberataku na Polską Komisję Nadzoru Finansowego przeprowadzonego w styczniu 2017 roku – rzekomo przez grupę Lazarus, który posłużył zainfekowaniu i uzyskaniu dostępu do stacji roboczych oraz serwerów kilku polskich banków w celu kradzieży danych.

Jak nasza świadomość w zakresie cyberobrony kształtuje się na tle innych krajów europejskich?

Powinniśmy zdawać sobie sprawę, że z narzędzi Internetu należy korzystać rozsądnie, a cyberprzestrzeń nie jest zasiedlona tylko przez przyjaznych nam użytkowników. Niskie koszty dostępu do informacji w sieci generują zagrożenia, których często nie jesteśmy świadomi, a które mogą zagrozić naszym bezpośrednim interesom.

Jaki wpływ może mieć wiedza na ten temat dla przeciętnego Kowalskiego?

Większa świadomość na ten temat na pewno nie zaszkodzi. Każdy z nas powinien wiedzieć, gdzie w procesie interakcji ze sferą cyberprzestrzeni mógłby czuć się zagrożony, przed jakimi działaniami się zabezpieczyć, a od jakich powstrzymać. Przykładem jest choćby stosowanie się do poleceń aktualizacji systemu, który chce wprowadzić legitymizowane zmiany w systemie operacyjnym naszego urządzenia, czy stosowanie solidnego oprogramowania antywirusowego, co skutkować będzie lepszą ochroną przed nowo wykrytymi zagrożeniami mogącymi wcześniej siać spustoszenie. Bardzo duże znaczenia ma również „cyber higiena”, czyli zasada ograniczonego zaufania wobec wiadomości email z nieznanych źródeł, czy atrakcyjnych aplikacji mających ułatwić nam korzystanie z Internetu.

Czy Polska jako jedna z ofiar cyberataków ze strony Korei Północnej byłaby w stanie obronić się w wypadku poważnego zagrożenia cybernetycznego?

W naszym kraju opracowano strategię, a właściwie ramy polityki cyberbezpieczeństwa określające strukturę i zasady działania podmiotów narodowych oraz prywatnych w cyberprzestrzeni. Dotychczas jednak, oprócz nadrzędnego systemu monitorowania zagrożeń, nie wypracowano scentralizowanego systemu obrony. Do obrony własnych elementów sieci przed cyberatakami zobowiązani są dostawcy usług cyfrowych, tacy jak właściciele platform handlowych, wyszukiwarek internetowych i usług przetwarzania danych w chmurze, a w drugim sektorze – operatorzy usług kluczowych, w tym infrastruktury krytycznej. W ubiegłym roku „Rzeczpospolita” poinformowała, że Polskę dotyka 14,5 tys. cyberataków dziennie.

Kandydaci na hakerów w Korei Północnej należą do nadzwyczajnej kasty – otrzymują ogromne mieszkania w Pyongyangu i są zwolnieni z zasadniczej służby wojskowej. Czy mogą wynikać z tego jakieś problemy?

Wielu uciekinierów z Korei Północnej, którzy mają możliwość wypowiadać się na łamach zachodnich mediów, wskazuje jak odmienna wizja świata spotyka ich po wydostaniu się z granic reżimu. Kwestia szkolenia hakerów w państwie Kima musi na pewnym etapie dotykać problemu poznania prawdziwego świata, poza murami KRLD. Kiedy zaczynają żyć w nieograniczonym ‘świecie binarnym’, zyskują dostęp do narzędzi, które pozwalają im pokonać wszelkie ograniczenia. Z podobnych możliwości korzystały grupy chińskich hakerów, którzy mogli korzystać z dostępu zachodnich mediów społecznościowych – na co nie pozwalał im „China Great Firewall”.

Niejedni z nich zbiegli do Korei Południowej, co sprawiło, że świat dowiadywał się coraz więcej o tajemnicach i szczegółach fabryki hakerów. Czy zdarza się, by uciekinierzy zetknęli się ze „sprawiedliwą ręką Kima” lub innym rodzajem zemsty za zdradę?

Tym typem działań może zajmować się grupa APT 37, która utrudnia życie dysydentom zbiegłym z tego pięknego państwa. Należy jednak brać pod rozwagę prawdziwość tych informacji. Jeśli faktycznie hakerzy dostają tam tak sowite apanaże, dlaczego uciekają? Możliwe, że dzięki fantastycznym opowieściom, uciekinierzy chcą zaskarbić sobie większą przychylność zachodniego społeczeństwa. Z drugiej strony mogą wystąpić przypadki, że zbiedzy celowo będą starać się uzyskać dostęp do targetowanych grup społecznych i instytucji organizacji humanitarnych.

Co roku w Pjongjangu odbywają się zawody hakerów, które są swoistym castingiem. Najlepsi uczestnicy zatrudniani są do kradzieży pieniędzy lub informacji wywiadowczych. Czy tak nieopierzeni hakerzy są już gotowi, by przeprowadzać tak skomplikowane operacje?

Należy odróżnić operacje hakerów mające na celu blokadę lub oszpecenie witryny od operacji kradzieży danych i aktów cyberszpiegostwa, które kierowane są przeciwko komputerom odciętym od publicznego Internetu. Te ostatnie wymagają współpracy kilku wysoko wykwalifikowanych osób, a często kilku zespołów zadaniowych działających przez długi czas.

Wielu z nich bardzo dobrze posługuje się językiem angielskim lub kodowaniem w innych językach. Czy łatwo jest im zmylić trop i skierować podejrzenia na inne kraje?

Cyberprzestępcy i hakerzy bardzo umiejętnie zacierają ślad swojej działalności w sieci. Jednym z zasadniczych elementów skoordynowanych działań grup APT jest zatarcie śladów obecności w systemie. Pierwsze grupy hakerów popełniały błędy językowe w treści anglojęzycznych maili phishingowych, charakterystyczne dla Chińczyków. Atrybucji dokonuje się m.in. na podstawie języka używanej klawiatury, czy czasu pracy hakera odpowiedniego dla danej strefy czasowej. Najczęściej jednak jako wykładnię stosuje się cel polityczny działania.

Simon Choi – konsultant ds. cyberbezpieczeństwa Korei Południowej twierdzi, że ich wróg uczy się od lepszych, zagranicznych hakerów. Czy można uznać Chiny za ich największego mentora?

Priscilla Moriuchi, były ekspert NSA wskazuje, że młodzi północnokoreańscy hakerzy szkoleni są w Uniwersytecie Kim Il Songa i Kim Chaek University of Technology, które mieszczą się w Pjongjangu. Część z nich zasila szeregi „Biura 121” (Generalnego Biura Rozpoznania) prowadzącego działania rozpoznawcze i wywiadowcze wewnątrz i poza granicami Korei Północnej. Elitarne grupy wysyłane są również do prowincji Shengyang w Chinach, gdzie szkoleni są w placówce należącej do Koreańczyków z północy. Najlepsi emigrują następnie do Indii, Indonezji, Malezji, Nepalu i Nowej Zelandii, gdzie funkcjonują w legalnym środowisku biznesowym.

Niektórzy północnokoreańscy hakerzy zapisują się na internetowe kursy oferowane przez Koreańczyków… z południa, którzy oferują szkolenia w zakresie hakowania smartfonów. Toż to jawny sabotaż!

I jedna i druga strona popełnia przestępstwo. Jak widać, w tym biznesie nie ma patriotyzmu i etyki.

Korea Północna nie należy jednak do największych przyjaciół Korei Południowej. Można spodziewać się reakcji rządu drugiej ze stron?

Nie należy generalizować, że obywatele dwóch Korei wzajemnie się nienawidzą. To jeden naród, który, podobnie jak Wietnamczycy, został sztucznie podzielony najpierw przez tragedię wojny z Japonią, a następnie przez działania komunistów i bloku państw Zachodu. Obie strony dążą do zjednoczenia – pytanie: na jakich warunkach politycznych?

Firma wywiadowcza Recorded Future utrzymuje, że znalazła ślady aktywności hakerów m.in. w Chinach, Indiach, Nowej Zelandii, a nawet Mozambiku. Sky is the limit?

W wypadku szeroko zakrojonej akcji rozsyłania złośliwego oprogramowania podpiętego do phishingowego spamu, malwer atakuje wszystkie, nieodporne na dane zagrożenie komputery i systemy, jakie napotka na swej drodze. Amerykański wirus Stuxnet, który w 2010 roku zaatakował instalacje jądrowe w Iranie, krążył w cyberprzestrzeni jeszcze w roku 2012.

Gdy w latach 90. reżim tworzył cyber armię, Kim Dzong Il powiedział, że wszystkie wojny będą kiedyś „wojnami komputerowymi”. Czy sposób prowadzenia globalnych konfliktów ulegnie całkowitej zmianie?

W koncepcji zachodniej Clausewitza, celem wojny jest złamanie woli przeciwnika do walki, co można osiągnąć m.in. poprzez pokonanie jego centrum grawitacji. Może nim być zasadniczy punkt dowodzenia, przywódca, centrum komunikacji, czy sama armia. W dalekowschodniej, starożytnej koncepcji walki Sun Zi nakazuje w pierwszej kolejności atakować strategię przeciwnika, jego sojusze, a następnie samo państwo. Atak na armię jest rozwiązaniem najmniej korzystnym. Dziś ogromna część zdolności bojowych, w tym strategicznych elementów funkcjonowania państw, wspomagana jest przez narzędzia dyslokowane w cyberprzestrzeni. Jednak, to nie w samej cyberprzestrzeni wygrywa się wojny. Pozbawienie przeciwnika zdolności rozpoznania, obserwacji, dowodzenia i komunikacji, czy sterowania systemami uzbrojenia zdecydowanie utrudniłoby mu, a w skrajnych przypadkach nawet uniemożliwiłoby, prowadzenie działań bojowych. Wojna informacyjna i operacje psychologiczne od zawsze stanowią część zasadniczych działań wojennych, a współcześnie w dużej mierze przeniesione zostały do cyberprzestrzeni.

Odnosząc się do najbliższej perspektywy, nie należy zakładać, że wszystkie wojny toczone będą w cyberprzestrzeni. Konflikt zbrojny zawsze będzie polegać na zmaganiach dwóch lub większej ilości stron w celach politycznych, a efektem najczęściej jest szereg ofiar śmiertelnych. Praktycznym wymiarem wojny jest zysk – terytoria, zasoby lub wpływy gospodarcze i polityczne. W cyberprzestrzeni można zakłócać komunikację, toczyć zmagania informacyjne, implikować treści dezawuujące systemy wartości, dokonywać zorganizowanej kradzieży poufnych danych, finansów czy praw intelektualnych, ale w takim procesie rzadko giną ludzie. W wymiarze militarnym, cyberprzestrzeń stanowi piątą domenę operacji, wspomagającą fizyczne działania konwencjonalne. Na ten moment nie da się w niej toczyć czystej formy zasadniczej walki.