Alt, Du Behøver At Vide Om Bureau 121

Bureau 121 er Nordkoreas førende hackingenhed. Den elite militære enhed af hackere arbejder under Reconnaissance General Bureau, eller RGB, den hemmelighedsfulde nordkoreanske spionagentur.

Troen er, at Bureauets cyberoperationer er en omkostningseffektiv måde for Nordkorea at opretholde en asymmetrisk militæroption og et middel til at indsamle efterretninger. Dets primære efterretningsemål er Sydkorea, Japan og USA. Derudover bruger Nordkorea angiveligt sine cyberkrigsførelseskapaciteter til spionage og understøtter sin propaganda.

Enheden retter sig mod forskellige sektorer, herunder farmaceutiske producenter, forskningsinstitutioner, finansielle institutioner, IT-virksomheder, offentlige organisationer og store bioteknologiske virksomheder. Dens primære formål er at udføre destruktive og spionageaktiviteter mod målnetværk og systemer over hele verden.

Bureau 121 har fire primære underordnede enheder, Andariel-gruppen, Bluenoroff-gruppen, et regiment for elektronisk krigsførelse og jamming, og Lazarus-gruppen.

Kort historie om Bureau 121

Siden Bureau 121’s oprettelse i 1980’erne, er det hurtigt vokset siden 1998. En del af enheden er undertiden kendt som DarkSeoul Banden. Selvom Nordkorea forbliver et af de fattigste lande, investerer det meget i Bureau 121. Enheden har et anslået medlemsgrundlag på 6.000 medlemmer og er den eneste nordkoreanske organisation, der opererer uden for sine grænser. Bureau 121 udfører operationer for at udtrække penge fra organisationer over hele verden ved hjælp af forskellige taktikker.

Nordkoreas militære cyberstyrke har angiveligt mellem 3.000-6.000 personer, der arbejder i Bureau 121, inden for den tilbageholdende nations Generelle Efterretningsbureau. Dens mest bemærkelsesværdige bedrifter er angrebene på sydkoreanske banker og medieudbydere, som tvang dem offline i flere dage i 2013. 

RGB (Reconnaissance General Bureau) er den primære militære efterretningstjeneste i Nordkorea. Bureau 121, sammen med RGB, er angiveligt ansvarlig for WannaCry ransomware-angrebet i 2017, cyberangrebet på Sony Pictures Entertainment i 2014, og talrige cyberkriminalitetsforbrydelser. Det anslås, at RGB kontrollerer over 6.000 hackere understøttet af mere end 1.000 tekniske medarbejdere.

RGB skulle angiveligt have udvalgt medlemmer til Bureau121 baseret på deres evner inden for hacking og databehandling. Folk frygter denne gruppe af hackere over hele verden på grund af deres evne til at infiltrere og lamme kommercielle organisationer, finansielle institutioner og militære systemer.

Bureau 121 specialiserer sig i sabotage og spionage i udlandet. Det inkluderer cyberkrigførelse, fysiske angreb på nøglepersoner, og endda afpresning af overlopere, der er flygtet fra Nordkorea til Vesten. For at føre en ‘hemmelig krig’ handler Bureau 121 for at sabotere eller spionere mod fjender af Pyongyang.

Bureau 121 Angiveligt Succesfulde Angreb 

Bureau 121 iværksatte en række angreb, især i sine aktive år. Det menes at være ansvarlig for angreb i både den private og offentlige sektor i forskellige lande. 

Sony Pictures

I november 2014 angreb en gruppe hackere Sony Pictures Entertainment. De fik uautoriseret adgang til firmaets netværk og hackede folks private oplysninger og harddiske. Hackerne krævede, at Sony trak filmen “The Interview” tilbage. Dataindbruddet havde store konsekvenser. Personlige oplysninger og lønninger, firmaemails og endnu ikke udgivne film, planer og manuskripter blev hacket. Derudover blev flere endnu ikke udgivne film lækket online, herunder “Fury,” “Annie,” og “Mr. Turner.” Sonys computerinfrastruktur blev også ødelagt.

FBI undersøgte, og den amerikanske regering pegede fingeren på Nordkorea.

Udover at stjæle følsomme oplysninger fra filmstudiet og offentliggøre dem til offentligt skue, tvang hackerne også mange af SPE’s computersystemer offline – inklusiv email.  

Under hackningen anmodede organisationen Sony om at droppe sin dengang kommende film “The Interview”—en komedie om et attentatforsøg mod Nordkoreas leder Kim Jong-un—og truede med terrorangreb på biografer, der viste filmen. Efter mange store amerikanske biografkæder valgte ikke at vise “The Interview” som reaktion på disse trusler, aflyste Sony filmens officielle premiere og mainstream udgivelse, og valgte i stedet at gå direkte til en downloadbar digital udgivelse efterfulgt af en begrænset biografudgivelse dagen efter.

Sonys beslutning om at trække stikket på den teatrale distribution af “The Interview” resulterede i enorme økonomiske straffe. Dog havde filmstudiet allerede lidt et stort omdømmetab.

Den amerikanske regering konkluderede, at den nordkoreanske regering stod bag angrebet, men de har aldrig offentligt fremlagt nogen beviser for at understøtte sådanne påstande. Alligevel har private sikkerhedsfirmaer afdækket spor, der peger på Bureau 121 

SWIFT Banking 

I 2015/2016 blev en række cyberangreb, der udnyttede SWIFT-banknetværket, afsløret, hvilket med succes stjal millioner af dollars. Det blev tilskrevet den nordkoreanske regering, og hvis det blev bekræftet, ville det have været det første kendte tilfælde af statsstøttet cyberkriminalitet.

Eksperter mistænker dog, at hackergruppen Lazarus Group (en underafdeling af Bureau 121) er ansvarlig for højprofilerede forbrydelser såsom Sony Pictures-hacket, tyveriet fra Bangladesh Bank og flere andre cyberangreb verden over.

Hackerne brugte malware og phishing-e-mails til at infiltrere banksystemerne og kapre højværdi målkonti. Hvis Nordkoreas tilskrivning blev bekræftet, ville det have været den første instans af en statsentitet, der anvendte cyberangreb til at stjæle midler. Hackerne brugte avanceret malware og spear-phishing-beskeder til at få adgang til banknetværkene. Derefter manipulerede de SWIFT-beskeder for at overføre midler.

Den nordkoreanske regering har angiveligt instrueret sine cyberhackere til at målrette banker i nogle 18 lande. Det var i et forsøg på at skaffe midler til at omgå internationale sanktioner.

Det internationale samfund sanktionerede Nordkorea for dets ballistiske missil- og atomprøvesprængninger. Dette betyder naturligvis, at den isolerede nation er afskåret fra internationale banker. For at omgå dette mener eksperter, at nordkoreanske embedsmænd sendte hackere for at angribe banker i cirka 18 lande. Hackerne fik instrukser om at stjæle så mange penge som muligt gennem svigagtige midler, så den nordkoreanske regering kunne bruge dem til at finansiere sine militærprogrammer.

Angriberne udnyttede adskillige sårbarheder i banksystemerne hos medlemsbankerne. Det gjorde det muligt for dem at få kontrol over bankernes SWIFT-legitimationsoplysninger. Tyvene brugte derefter disse legitimationsoplysninger til at sende SWIFT pengeoverførselsanmodninger til andre banker. Derfra overførte de pengene til konti kontrolleret af hackerne, idet de stolede på, at beskederne var autentiske.

WannaCry Ransomware Angreb

I maj 2017 blev computere over hele verden angrebet af ransomware kendt som WannaCry. Cyberangrebet udnyttede en software-sårbarhed, som angiveligt var identificeret af det amerikanske National Security Agency (NSA) og offentliggjort af hackerorganisationen The Shadow Brokers en måned forinden.

Cyberangriberne krypterede data og krævede løsepenge betalt i Bitcoin-kryptovalutaen. WannaCry ransomware-cyberangrebet var et stort digitalt “wake-up call”, der sigtede mod computere og netværk, der kørte på Windows-operativsystemet. Desuden udnyttede malwaren ældre systemer, der stadig kørte et exploit udviklet af USA’s NSA, som The Shadow Brokers havde stjålet og lækket.

Ransomware spredte sig over hele kloden, infiltrerede computere med ældre Windows-operativsystemer og krypterede filer. Det skabte kaos på hospitaler i Storbritannien, FedEx i USA og mange flere ofre globalt. Mange brugere mistede adgangen til deres filer under disse angreb og kunne kun genvinde adgang efter at have betalt løsesummen i bitcoin.

Dog havde mange af opdateringerne været tilgængelige i seks måneder før angrebet. Ved midten af 2016 var alle understøttede versioner blevet opdateret for at rette sårbarhederne. Ikke desto mindre udgjorde det stadig en trussel mod dem, der kørte med uopdaterede eller ikke-understøttede systemer såsom Windows XP. Det antyder, at der manglede “reverse engineering” til at inspicere det ukendte malware ved at scanne igennem dets dekryptorer og kigge ind i dets malwarekoder ved den indledende opdagelse.

Angrebet begyndte i maj 2017 og var ikke en engangsforeteelse. Det inficerede mere end 230.000 computere i over 150 lande, med tab på mere end $4 milliarder alene den første dag. Amerikanske føderale anklagere udtalte, at Nordkorea stod bag angrebet allerede den næste dag.

Sydkorea Angreb 

Omkring den 20. marts 2013 forårsagede et formodet nordkoreansk cyberangreb, at tre sydkoreanske tv-stationer og en bank mistede deres computerterminaler i et formodet tilfælde af cyberkrigførelse.

Omkring 19.000 computere og servere hos store sydkoreanske tv-stationer og banker blev påvirket. 

KBS, MBC og YTN viste en blank skærm i cirka 15 minutter. Bankerne—Shinhan, Nonghyup og Jeju Bank—var også ude af stand til at fungere efter angrebet havde alvorligt kompromitteret deres computernetværk. Derudover var mange hæveautomater ude af drift, hvilket tjente som en påmindelse om, at kritisk infrastruktur såsom banksystemer er sårbare over for cyberangreb.

Alle berørte organisationer var forbundet til ét fælles netværk, hvilket antyder, at hackerne sandsynligvis sigtede efter en svaghed i netværket. Angriberne fokuserede åbenbart på at slette filer frem for at kræve løsepenge. Det er i øjeblikket uklart, hvordan gruppen udførte det, eller hvem der stod bag det. Angrebene fandt sted omkring kl. 20 den 20. marts og blev bragt under kontrol efter 17 timer.

Skadelige koder blev frigivet på brugeres computere gennem sårbarheder i browsere eller websteder. Koden blev kun aktiveret, når bestemte websteder blev tilgået. Den udførte angrebet ved at slette filer på harddiske.

Computerharddiske hos store tv-stationer og banker i Sydkorea blev systematisk slettet, hvilket påvirkede 32.000 computere. Angriberne slettede de mest kritiske filer fra tre KBS, MBC og YTN. Det påvirkede også to banker – Shinhan Bank og Jeju Bank. Angrebet menes at have været et statsstøttet syntetisk angreb, der brugte flere forskellige malware-stammer. Selvom Nordkorea var bredt mistænkt som aggressoren, er der ikke foretaget nogen officiel fastslåelse.

Konklusion

Bureau 121 er en top-hemmelig nordkoreansk organisation af ekspert computerhackere. De er blevet anklaget for at hacke internationale banker og forskellige firmaer i de seneste år. Bureau 121 søger efter traditionelle vidundere. Gruppen rekrutterer for det meste unge mennesker og træner dem til at blive fremragende hackere. De sender dem ud i verden for at skabe kaos for deres fjender.