Coreea de Nord este o țară tare ciudată și izolată, dar a devenit celebră și pentru hackeri, deși oamenii de rând nu au acces la internet acolo. Acum peste un deceniu mulți râdeau de ideea că o „mână” de teribiliști de la Phenian ar putea da super-lovituri de hacking despre care să afle o lume întreagă. Infractorii cibernetici din țara condusă de Kim Jong-Un sunt o forță și au profitat și de progresul AI. Cât de departe au ajuns? Cum de au băgat frica în cele mai mari puteri tehnologice ale lumii?î
Informația pe scurt:
- Coreea de Nord este o prezență tare ciudată pe lista țărilor care au „armate” de hackeri, fiindcă este o țară izolată de restul lumii, are nivel dezastruos de trai și deține extrem de puține conexiuni la internet.
- În anii 90 s-a născut ideea de a construi o divizie de hackeri care să atace state pe care regimul dictatorial de la Phenian le considera ostile. Lucrul la „proiectul de țară” a început în 2008 sau 2009, s-a întețit după 2011 și rezultate palpabile au fost după 2014.
- Hackerii din Coreea de Nord au avut roluri de prim rang în câteva lovituri larg mediatizate, cum ar fi atacul asupra Sony Pictures, din 2014 sau episodul WannaCry, în 2017. Hackerii s-au tot specializat de atunci pe tot mai multe domenii de fraudă.
- Programul nord-coreean de hacking a fost caracterizat în diverse rapoarte ca fiind agil și adaptabil, construit cu ajutorul unor tineri foarte bine instruiți. Nord-coreenii s-au dovedit maeștrii în infracțiunile informatice financiare, mai ales când este vorba despre furtul de criptomonedă.
- Noile unelte de AI generativ i-au ajutat pe hackerii din Coreea de Nord să câștige mai ușor încrederea unor ținte importante către care să trimită apoi malware prin care au căpătat acces la rețele ce altfel erau imposibil de pătruns. Statul asiatic are și un institut de cercetări în AI și există și colaborări cu experți militari chinezi. Oficialii de la Phenian au negat mereu că ar desfășura activități de hacking.
O forță surprinzătoare
Dintre toate țările lumii care au „armate” de hackeri, cea mai ciudată prezență este Coreea de Nord, una dintre cele mai sărace și izolate țări din lume. Față de alte țări ale lumii, Coreea de Nord are o rată extrem de mică de penetrare a internetului și o bună parte dintre hackerii ce formează redutabilul grup nici nu locuiesc în țară. Investiția în criminalitate cibernetică nu ar trebui să fie o prioritate într-o țară care este lovită de foamete o dată la câțiva ani.
Coreea de Nord are jumătate cât suprafața României, iar populația estimată este de 26 de milioane de oameni. De cele mai multe ori apar știri despre sărăcia din țară, despre testele cu rachete făcute de Kim Jong-un, despre vizitele sale ciudate „de lucru” și despre oameni disperați care încearcă să fugă spre Coreea de Sud, trecând ilegal cea mai militarizată graniță a lumii.
Mulți au râs acum un deceniu de ideea că hackerii dintr-o țară înapoiată tehnologic ar putea izbuti lovituri care să fie de răsunet mondial. Infrastructura de comunicații este primitivă, țara deja este sub sancțiuni economice, iar cei mai importanți lideri ai țării știu că nimeni nu va invada statul ca răspuns la un atac cibernetic dur.
Pe vremuri, infractorii din Coreea de Nord erau tare pricepuți în a falsifica bancnote de 100 de dolari pentru a aduce bani la stat, dar în ultimii ani statul face bani serioși din furtul de criptomonede și din atacurile de tip ransomware.
Experți de la compania de securitate Symantec au arătat că programul de hacking al țării are doi piloni: criminalitate informatică și spionaj, iar o a treia latură apare mai rar: elementul distructiv, care însemnă răzbunare pe state sau companii despre care mai-marii regimului de la Phenian consideră că sunt ostile statului asiatic.
Atacurile cibernetice sunt un instrument de război asimetric, fiindcă datorită „armatei de hackeri”, Coreea de Nord ajunge să aibă un impact mult mai mare pe plan internațional decât ar fi normal pentru o țară cu 25 de milioane de oameni. O bună parte dintre hackeri locuiesc în afara țării, iar presa internațională a scris despre un așa-numit „hacker hotel”, adică o bază de operațiuni din China.
Imposibil de spus cât de mare este „armata” de hackeri, dar unele estimări citate în presa americană vorbeau despre 6.000 de oameni, Primele informații despre intenția construirii acestei „armate cibernetice” apăreau în 2004, când era înaintată cifra de 500 de oameni. A durat mult până când planul a dat roade.
Atacuri „made in North Korea” - Tot mai buni la a face rele
Dar nord-coreenii au devenit faimoși pentru reușitele tot mai neobișnuite din domeniul cibernetic, țara având divizii de specialiști care se pricep la o mulțime de lucruri, de la furtul de monede cripto, până la recenta dezvoltare a unor atacuri, pornind de la cele mai noi soft-uri de AI.
O diferență față de hackerii din alte țări este că mult mai rar cei din Coreea de Nord acționează pe cont propriu pentru a ataca ținte de pe urma cărora ei să se și îmbogățească. Atacurile sunt în mare majoritate ordonate de stat și îndreptate către ținte pe care regimul de la Phenian la consideră ostile, cum a fost cazul companiei Sony Pictures, la atacul din 2014, în urma filmului „The Interview” în care era ironizat liderul nord-coreean. Așadar, unele atacuri „made in North Korea” sunt motivate de furie.
Acel atac asupra Sony a fost primul avertisment asupra puterii hackerilor din țara lui Kim Jong-un și a fost doar începutul. În 2016 au reușit să fure 81 de milioane de la Banca Națională din Banghladesh și numai o banală greșeală de text a făcut ca suma furată să nu fie de zece ori mai mare.
Atunci, în cererea de retragere de bani, hackerii au scris „fandation” în loc de „foundation” și câțiva oameni de la bancă au bănuit că ceva este ciudat.
În 2017 a urmat episodul WannaCry care a speriat multă lume și care a arătat că nu este de glumit cu acești oameni dintr-o țară despre care nu se credea că are capacități tehnologice.
Coreea de Nord și ascensiunea ei în hacking
În anii 70 erau trimiși la universități din China și URSS tineri nord-coreeni, iar spre finalul anilor 90, tatăl actualului dictator Kim Jong-un a decis că țara trebuie să aibă un grup de hackeri care să atace diverse ținte internaționale și care să ajute statul să obțină venituri economice pe căi ilegale.
Kim Jong-Il a considerat la început internetul ca fiind un mare pericol și nici nu s-a pus problema ca oamenii de rând să aibă acces. Dar puținii informaticieni care fuseseră trimiși în străinătate la specializare i-au spus „Marelui Lider”, când au revenit în patrie, că internetul ar putea fi folosit de stat pentru a spiona și pentru a ataca țările inamice, cum ar fi SUA. Lui Kim Jong-il i-a surâs ideea și a poruncit începerea dezvoltării unei forțe cibernetice.
Se spune că în 2003, Kim Jong-il le-ar fi spus generalilor săi că, dacă în secolul XX războaiele au fost „despre gloanțe și petrol”, în secolul XXI vor fi despre informație. Relatarea este din New York Times și îi aparține unui om care a reușit să fugă în Coreea de Sud.
Investițiile în această „armată” de hackeri au început în mod serios acum mai bine de 15 ani și la început rezultatele au fost slabe, dar au devenit mai bune după 2011. În acel an, la putere a venit Kim Jong-un care a extins misiunea noilor divizii cyber, dincolo de ideea unui eventual război cibernetic, adăugând și ținte legate de obținerea de beneficii economice prin furt și prin hărțuire.
Cum se va vedea și pe mai departe, unitatea cyber avea să fie folosită și pentru a se răzbuna pe state sau pe companii considerate a fi inamice ale regimului de Phenian.
Ținta preferată în atacuri este țara vecină, Coreea de Sud, iar cel mai recent episod făcut public este din februarie 2024, când hackerii din Coreea de Nord au „spart” e-mailul unui consilier al președintelui din Coreea de Sud. Hackerii ar fi intrat în posesia unor mesaje pe care președintele sud-coreean le-a trimis consilierului său.
Programul nord-coreean de hacking a fost caracterizat în diverse rapoarte ca fiind agil și adaptabil, construit cu ajutorul unor tineri foarte bine instruiți. Nord-coreenii s-au dovedit maeștrii în infracțiunile informatice financiare, mai ales când este vorba despre furtul de criptomonedă. Acțiunile lor au devenit tot mai sofisticate în ultimii ani, iar avansul tehnologiilor AI le permite să atace cu succes ținte de care în trecut nu s-ar fi putut apropia cu succes.
Cel mai cunoscut grup de hackeri cu legături putermice în Coreea de Nord este cel numit Lazarus care a dus la bun sfârșit câteva lovituri ce au făcut senzație și care au dus la un bilanț uimitor dintr-un raport ONU ce indica faptul că grupurile de hackeri din Coreea de Nord ar fi furat criptomonede în valoare totală de 3 miliarde dolari între 2017 și 2023.
Ași în furtul de criptomonede
Furturile de criptomonedă au devenit specialitatea hackerilor susținuți de regimul de la Phenian, iar o parte dintre banii obținuți prin aceste atacuri sunt direcționați pentru programul mlitar nuclear al țării și pentru cel de construcție de sateliți.
Fiind așa de adaptabil, programul de hacking al țării cu capitala la Phenian este urmărit intens de experții internaționali, iar un raport al companiei Mandiant arăta în 2023 că peisajul cyber-infractorilor din țară s-a schimbat mult în ultimii ani, pentru că a crescut puternic gradul de colaborare între diversele grupări, iar atacurile sunt tot mai greu de atribuit.
Pandemia de Covid 19 a făcut ca țara să fie și mai izolată de lume timp de mai bine de doi ani, a scăzut mult și comerțul cu China și au ajuns în Occident tot mai puține informații despre ce se întâmplă într-o țară care deja era plină de secrete.
Izolarea suplimentară adusă de pandemie a obligat grupurile de hackeri care erau în țară să comunice eficient cu facțiunile care erau în alte țări, dar nu aveau cum să revină. Aceste grupuri oarecum disparate au comunicat de la distanță tot mai mult și au devenit mai redutabile.
Un raport al unei companii de cyber-intelligence numită Recorded Future a analizat 273 de atacuri cibernetice care au fost efectuate într-o perioadă de 14 ani de către grupuri ce au legătură cu Coreea de Nord. Concluzia de bază a fost că ei fac mult mai mult spionaj cibernetic decât s-a crede la prima vedere, iar motivația a 70% dintre atacuri a fost colectarea de informații secrete.
Publicația Foreign Policy a scris în iunie 2023 despre acest raport, iar datele din el indică faptul că dictatorul Kim și oamenii lui sunt foarte interesați de ce cred țările inamice despre ei și vor să obțină cât mai multe informații clasificate despre cum ar putea dezvolta rachete balistice și nucleare cât mai sofisticate.
Raportul mai indică ceva: 80% dintre atacurile care pot fi atribuite sunt îndreptate către ținte din Asia, iar dintre aceste ținte asiatice, două treimi sunt din statul sud-coreean.
Hackerii devin și mai periculoși când se folosesc de inteligența artificială
Dezvoltarea AI-ului generativ a schimbat multe în ultimii ani, iar hackerii din Coreea de Nord nu puteau să nu vadă cât de mult pot câștiga dacă se aliniază celor mai noi „trend-uri”. Au folosit tehnici de AI generativ pentru a obține date personale ale unor oficiali din Sud, dar au mers apoi și mai departe.
Unde i-au ajutat cel mai mult noile soft-uri? Au depășit obstacolele lingvistice, fiindcă nord-coreeni nu știau prea bine engleza colocvială necesară pentru a câștiga încrederea țintelor dorite. Cu ajutorul unor programe stil ChatGPT au reușit să creeze profiluri credibile de specialiști în recturare angajați pe site-uri gen Linkedin și au reușit să trimită țintelor mesaje și fotografii ce păreau trimise de un om real, serios și bine intenționat. Lipseau greșelile de scriere care ar fi făcut ca un ochi atent să vadă că este o problemă acolo.
Despre cum au profitat nord-coreenii de noile „tool-uri” de AI au arătat, printre altele, rapoarte ale unor companii respectate, cum ar fi Microsoft și OpenAI:
Infractorii s-au dat drept recrutori serioși și au intrat în discuții, de exemplu, cu oameni de la burse de criptomonede pe care, chipurile, voiau să-i angajeze și i-au convins să descarce, sub masca unui așa-zis „exercițiu tehnic”, soft-uri care au putut fi infectate cu spyware de către nord-coreeni.
Uneori, pentru a câștiga încrederea unor oameni care nu erau deloc naivi la capitolul tehnologie, hackerii din Coreea de Nord au discutat săptămâni sau luni cu cei luați în vizor. Au avut răîbdare, fiindcă miza era mare.
Țintele au fost alese nu doar de pe Linkedin, ci și de pe Facebook, WhatsApp, Telegram și Discord, pentru a fi lansate la momentul potrivit atacuri de phishing cu șanse mari de reușită.
Cei din Coreea de Nord au găsit și modalități de a se folosi de chatboți pentru a crea forme mai sofisticate de malware care să fie puse pe rețelele informatice ale victimelor. ChatGPT și alte programe similare serioase nu pot, cel puțin în teorie, să fie folosite pentru a crea software „malițios”, însă hackerii au găsit moduri de a „sări” peste „barierele” ce fuseseră instalate
Microsoft comunica în februarie faptul că țări precum Coreea de Nord și Iran - și în mai mică măsură Rusia și China - încep să folosească AI generativ pentru a iniția, organiza și duce la îndeplinire atacuri cibernetice. Microsoft anunța că, împreună cu OpenAI, a detectat și destructurat amenințări care-și propuneau să exploateze tehnologia dezvoltată de OpenAI.
Tehnicile descoperite erau în fază incipientă, însă Microsoft spune că era nevoie ca aceste tentative să fie comunicate public, ideea fiind să se afle faptul că țările rivale SUA se folosesc de aceste noi modele de limbaj, pentru a încerca compromiterea unor rețele la care nu ar avea acces facil. Cu cât mai repede se știe despre amenințare, cu atât mai bine pregătită poate fi apărarea.
Coreea de Nord are și un institut în domeniul Inteligenței Artificiale, iar aici ar exista și colaborări cu specialiști chinezi din domeniul militar, pentru dezvoltarea de noi tehnici și metode în domeniul „machine learning”.
Spre exemplu, Financial Times scrie că un institut de cercetări în domeniul AI ar exista la Phenian din 2013, iar în 2022 ar fi fost publicate în reviste științifice din Coreea de Nord lucrări în domeniu, semnate împreună cu cercetători chinezi, în vederea dezvoltării unor viitoare aplicații AI bazate pe ce s-a lucrat în ultimii ani
Surse: Reuters, CNN, AFP, Financial Times, CSO Online, The Verge, TechCrunch, Foreign Policy
1
18
