Alt Du Treng Å Vite Om Bureau 121

Bureau 121 er Nord-Koreas fremste hackingenhet. Den elite militære eininga av hackarar arbeider under Reconnaissance General Bureau, eller RGB, den hemmelege nordkoreanske spionasjebyrået.

Trua er at Byrået sine cyberoperasjonar er ein kostnadseffektiv måte for Nord-Korea å halde på eit asymmetrisk militært alternativ og eit middel til å samle etterretning. Dei primære etterretningsmåla deira er Sør-Korea, Japan og USA. I tillegg brukar Nord-Korea rapportert sine cyberkrigføringskapasitetar til spionasje og støttar sin propaganda.

Eininga rettar seg mot ulike sektorar, inkludert farmasøytiske produsentar, forskingsinstitusjonar, finansinstitusjonar, IT-selskap, offentlege organisasjonar og store bioteknologiselskap. Det primære føremålet er å utføre destruktive og spionasjeaktivitetar mot målnettverk og system over heile verda. 

Bureau 121 har fire hovudunderavdelingar, Andariel-gruppa, Bluenoroff-gruppa, eit regiment for elektronisk krigføring og jamming, og Lazarus-gruppa.

Kort historie om Bureau 121

Sidan opprettinga av Bureau 121 på 1980-talet, har det raskt utvida sidan 1998. Ein del av eininga er av og til kjend som DarkSeoul-gjengen. Sjølv om Nord-Korea framleis er eit av dei fattigaste landa, investerer det mykje i Bureau 121. Eininga har ein estimert medlemsbase på 6,000 medlemmar og er den einaste nordkoreanske organisasjonen som opererer utanfor sine grenser. Bureau 121 driv operasjonar for å trekke ut pengar frå organisasjonar over heile verda ved hjelp av ulike taktikkar.

Nord-Koreas militære cyberstyrke har rapportert mellom 3,000-6,000 personell som arbeider i Byrå 121, innanfor den tilbaketrukne nasjonen sitt Etterretningsgeneralbyrå. Dei mest merkbare prestasjonane deira er angrepa på sørkoreanske bankar og medieutgangar som tvang dei offline i fleire dagar i 2013. 

RGB (Reconnaissance General Bureau) er den viktigaste militære etterretningsbyrået i Nord-Korea. Bureau 121, saman med RGB, blir påstått å vere ansvarleg for WannaCry ransomware-angrepet i 2017, cyberangrepet på Sony Pictures Entertainment i 2014, og talrike cyberkriminalitetshandlingar. Det er estimert at RGB kontrollerer over 6,000 hackarar støtta av meir enn 1,000 tekniske stabmedlemmar.

RGB skal visstnok ha handplukka medlemmar til Bureau121 basert på deira evner innan hacking og databehandling. Folk fryktar denne gruppa av hackarar over heile verda på grunn av deira evne til å infiltrere og setje ut av spel kommersielle organisasjonar, finansinstitusjonar og militære system.

Bureau 121 spesialiserer seg på sabotasje og spionasje i utlandet. Det inkluderer cyberkrigføring, fysiske angrep på nøkkelpersonell, og til og med utpressing av avhoppere som har flykta frå Nord-Korea til Vesten. For å føre ein «hemmeleg krig», handlar Bureau 121 for å sabotere eller spionere på fiendar av Pyongyang. 

Påståtte vellykka åtak frå Bureau 121 

Bureau 121 sette i gang ei rekkje åtak, særleg i sine aktive år. Det er påstått ansvarleg for åtak i både privat og offentleg sektor i ulike land. 

Sony Pictures

I november 2014 angreip ei gruppe hackarar Sony Pictures Entertainment. Dei fekk uautorisert tilgang til nettverket til selskapet og hacka folks private informasjon og harddiskar. Hackarane kravde at Sony skulle trekke tilbake filmen «The Interview.» Datainnbrotet hadde store konsekvensar. Personleg informasjon og lønningar, selskapets e-postar, og uregistrerte filmar, planar og manus blei hacka. I tillegg blei fleire uregistrerte filmar lekte på nettet, inkludert «Fury,» «Annie,» og «Mr. Turner.» Sony sin datamaskininfrastruktur blei også øydelagt.

FBI etterforska, og den amerikanske regjeringa peikte fingeren mot Nord-Korea.

I tillegg til å stjele sensitiv informasjon frå filmstudioet og leggje den ut for offentleg konsum, tvinga hackarane også mange av SPE sine datamaskinsystem offline — inkludert e-post.  

Under hacken ba organisasjonen Sony om å droppe sin då kommende film «The Interview»—ein komedie om eit attentatforsøk mot Nord-Koreas leiar Kim Jong-un—og truga med terrorangrep på kinoar som viste biletet. Etter at mange store amerikanske kinokjeder valde å ikkje vise «The Interview» som svar på desse truslane, avlyste Sony filmen si formelle premiere og hovudutgjeving, og valde i staden å gå direkte til ein nedlastbar digital utgjeving følgt av ein avgrensa kinoutgjeving neste dag.

Sony si avgjerd om å trekke støpselen på kinodistribusjonen av «The Interview» resulterte i enorme økonomiske straffer. Likevel hadde filmstudioet sitt rykte allereie fått ein stor skade.

Den amerikanske regjeringa konkluderte med at den nordkoreanske regjeringa stod bak angrepet, men dei har aldri offentleg lagt fram nokon bevis for å støtte slike påstandar. Likevel har private sikkerheitsselskap avdekt spor som peikar mot Bureau 121 

SWIFT Banking 

I 2015/2016 vart det avslørt ein serie med cyberangrep som utnytta SWIFT-banknettverket, og som lykkast med å stela millionar av dollar. Det vart tilskrive den nordkoreanske regjeringa, og om det hadde blitt stadfesta, ville det ha vore det første kjende tilfellet av statssponsa cyberkriminalitet.

Ekspertar mistenkjer likevel at hackinggruppa Lazarus Group (ein underavdeling av Bureau 121) er ansvarleg for høgprofilerte kriminalitetar som hacken av Sony Pictures, tjuveriet frå Bangladesh Bank, og fleire andre cyberangrep verda over.

Hackerane brukte skadevare og phishing-e-postar for å infiltrere banksystema og kapre kontoane med høg verdi. Om tilskrivinga til Nord-Korea vart stadfesta, ville det ha vore den første førekomsten av at ein statsentitet brukte cyberangrep til å stjele pengar. Hackerane brukte avansert skadevare og målretta phishing-meldingar for å få tilgang til banknettverka. Deretter manipulerte dei SWIFT-meldingar for å overføre midlar.

Den nordkoreanske regjeringa skal visstnok ha instruert sine kyberhackarar til å angripe bankar i omlag 18 land. Det var i eit forsøk på å skaffe midlar for å omgå internasjonale sanksjonar.

Det internasjonale samfunnet sanksjonerte Nord-Korea for sine ballistiske missil- og atomprøvar. Dette betyr sjølvsagt at den isolerte nasjonen er kutta frå internasjonale bankar. For å kome rundt dette, trur ekspertar at nordkoreanske embetsmenn sendte hackarar for å angripe bankar i omlag 18 land. Hackarane fekk instruksjonar om å stjele så mykje pengar som mogleg gjennom svikefulle middel, slik at den nordkoreanske regjeringa kunne bruke dei til å finansiere sine militære program.

Angriparane utnytta fleire sårbarheiter i banksystema til medlemsbankane. Det gjorde det mogleg for dei å få kontroll over bankane sine swift-legitimasjonar. Tjuvane brukte deretter desse legitimasjonane til å sende SWIFT pengaroverføringsførespurnader til andre bankar. Derifrå overførte dei pengane til kontoar kontrollerte av hackerane, med tillit til at meldingane var autentiske.

WannaCry Løsepengevirusangrep

I mai 2017 vart datamaskinar over heile verda angripne av løsepengeviruset kjent som WannaCry. Cyberangrepet nytta ei programvaresårbarheit som angiveleg vart identifisert av det amerikanske National Security Agency (NSA) og publisert av hackerorganisasjonen The Shadow Brokers ein månad tidlegare.

Dei kyberkriminelle krypterte data og kravde løsepengar betalt i Bitcoin-kryptovalutaen. WannaCry-utpressingsviruset sitt kyberangrep var ein stor digital «vekkarklokke» som retta seg mot datamaskiner og nettverk som køyrde på Windows-operativsystemet. I tillegg utnytta skadevaren eldre system som framleis køyrde eit utnyttbart sikkerheitshol utvikla av United States NSA, som The Shadow Brokers hadde stole og lekt.

Ransomware spreidde seg over heile verda, infiltrerte datamaskiner med eldre Windows-operativsystem og krypterte filer. Det skapte kaos på sjukehus i Storbritannia, FedEx i USA, og mange fleire offer globalt. Mange brukarar mista tilgangen til filene sine under desse angrepa og kunne berre få tilgang igjen etter å ha betalt løsepengar i bitcoin.

Likevel hadde mange av oppdateringane vore tilgjengelege i seks månader før angrepet. Innan midten av 2016 hadde alle støtta versjonar lappa sårbarheitene. Likevel var det framleis ein trussel mot dei som køyrde upatcha eller ikkje-støtta system som Windows XP. Det tyder på at det var ein mangel på «reverse engineering» for å inspisere den ukjende skadevaren ved å skanne gjennom dekryptorane og sjå inn i skadevarekodane ved første oppdaging.

Angrepet starta i mai 2017 og var ikkje ein eingongshending. Det infiserte meir enn 230 000 datamaskiner i over 150 land, med tap på meir enn 4 milliardar dollar berre den første dagen. Amerikanske føderale påtalemakta uttalte at Nord-Korea stod bak angrepet dagen etter.

Sør-Korea-åtaket 

Rundt 20. mars 2013 førte eit mistenkt nordkoreansk cyberangrep til at tre sørkoreanske fjernsynsstasjonar og ein bank mista dataterminalane sine i eit mistenkt tilfelle av cyberkrigføring.

Om lag 19 000 datamaskiner og tenarar hos store sørkoreanske kringkastarar og bankar vart påverka. 

KBS, MBC og YTN sendte ein tom skjerm i omtrent 15 minuttar. Bankane—Shinhan, Nonghyup og Jeju Bank—var òg ute av stand til å operere etter at angrepet alvorleg kompromitterte datanettverka deira. I tillegg var mange minibankar ute av drift, noko som tjente som ei påminning om at kritisk infrastruktur som banksystem er sårbare for cyberangrep.

Alle dei påverka organisasjonane var kopla til eitt felles nettverk, noko som tyder på at hackarane sannsynlegvis sikta seg inn på ei svakheit i det nettverket. Angriparane såg ut til å fokusere på å slette filer heller enn å krevje løsepengar. Det er for tida uklart korleis gruppa gjennomførte det eller kven som stod bak. Angrepa skjedde rundt kl. 20.00 den 20. mars og blei bringa under kontroll etter 17 timar.

Skadeleg kode vart sleppt inn på brukarane sine datamaskiner gjennom sårbarheiter i nettlesarar eller nettsider. Koden vart aktivert berre når visse nettsider vart opna. Den gjennomførte angrepet ved å slette filer på harddiskar.

Datamaskinene sine harddiskar til store kringkastingsstasjonar og bankar i Sør-Korea vart systematisk sletta, noko som påverka 32,000 datamaskinar. Angriparane sletta dei mest kritiske filene frå tre KBS, MBC, og YTN. Det påverka òg to bankar — Shinhan Bank og Jeju Bank. Angrepet er tenkt å ha vore eit statssponsa syntetisk angrep som brukte fleire ulike malware-stammar. Sjølv om Nord-Korea var mykje mistenkt som aggressoren, har ingen offisiell avgjerd blitt gjort.

Konklusjon

Bureau 121 er ein topphemmeleg nordkoreansk organisasjon av ekspert datahackarar. Dei har blitt skulda for å hacke internasjonale bankar og ulike firma dei siste åra. Bureau 121 søkjer etter tradisjonelle vidunderbarn. Gruppa rekrutterer stort sett unge folk og trenar dei til å bli framståande hackarar. Dei sender dei ut i verda for å skape kaos blant fiendane sine.