Wszystko, co Musisz Wiedzieć o Biurze 121
Bureau 121 to czołowa jednostka hakerska Korei Północnej. Elitarna jednostka wojskowa hakerów działa pod egidą Biura Rozpoznania Generalnego, czyli RGB, tajnej północnokoreańskiej agencji szpiegowskiej.
Wierzy się, że cyberoperacje Biura są kosztowo efektywnym sposobem dla Korei Północnej na utrzymanie asymetrycznej opcji wojskowej oraz środkiem do zbierania informacji wywiadowczych. Jej głównymi celami wywiadowczymi są Korea Południowa, Japonia i Stany Zjednoczone. Ponadto, Korea Północna rzekomo wykorzystuje swoje zdolności w cyberwojnie do szpiegostwa i wspiera swoją propagandę.
Jednostka kieruje swoje działania na różne sektory, w tym producentów farmaceutycznych, instytucje badawcze, instytucje finansowe, firmy IT, organizacje rządowe oraz główne firmy biotechnologiczne. Jej głównym celem jest prowadzenie działań destrukcyjnych i szpiegowskich przeciwko sieciom i systemom na całym świecie.
Bureau 121 posiada cztery główne jednostki podległe: Grupę Andariel, Grupę Bluenoroff, Pułk Walki Elektronicznej oraz Grupę Lazarus.
## Krótka historia Biura 121
Od czasu powstania Biura 121 w latach 80-tych, szybko się rozwinęło od 1998 roku. Część jednostki jest czasami znana jako Gang DarkSeoul. Chociaż Korea Północna pozostaje jednym z najbiedniejszych krajów, inwestuje dużo w Biuro 121. Jednostka ta ma szacowaną liczbę członków wynoszącą 6,000 i jest jedyną organizacją północnokoreańską, która działa poza swoimi granicami. Biuro 121 prowadzi operacje mające na celu wydobycie pieniędzy od organizacji na całym świecie za pomocą różnych taktyk.
Siły cybernetyczne wojska Korei Północnej liczą rzekomo od 3,000 do 6,000 osób pracujących w Biurze 121, w ramach tajemniczego Biura Generalnego Rozpoznania tego kraju. Ich najbardziej znaczącymi osiągnięciami są ataki na południowokoreańskie banki i media, które zmusiły je do wyłączenia się na kilka dni w 2013 roku.
RGB (Reconnaissance General Bureau) to główna wojskowa agencja wywiadowcza Korei Północnej. Biuro 121, obok RGB, jest rzekomo odpowiedzialne za atak ransomware WannaCry w 2017 roku, cyberatak na Sony Pictures Entertainment w 2014 roku oraz liczne cyberprzestępstwa. Szacuje się, że RGB kontroluje ponad 6,000 hakerów wspieranych przez ponad 1,000 członków personelu technicznego.
RGB rzekomo wybierało członków do Bureau121 na podstawie predyspozycji do hakowania i informatyki. Ludzie na całym świecie obawiają się tej grupy hakerów z powodu ich zdolności do infiltracji i wyłączania organizacji komercyjnych, instytucji finansowych i systemów wojskowych.
Bureau 121 specjalizuje się w sabotażu i szpiegostwie za granicą. Obejmuje to cyberwojnę, fizyczne ataki na kluczowe osoby oraz nawet szantażowanie dezerterów, którzy uciekli z Korei Północnej na Zachód. Aby prowadzić “tajną wojnę”, Bureau 121 działa w celu sabotowania lub szpiegowania wrogów Pjongjangu.
## Ponoć udane ataki Bureau 121
Bureau 121 przeprowadziło serię ataków, szczególnie w latach swojej aktywności. Podobno odpowiada za ataki zarówno w sektorze prywatnym, jak i publicznym w różnych krajach.
### Sony Pictures
W listopadzie 2014 roku grupa hakerów zaatakowała Sony Pictures Entertainment. Uzyskali nieautoryzowany dostęp do sieci firmy i zhakowali prywatne informacje oraz dyski twarde ludzi. Hakerzy zażądali, aby Sony wycofało film “Wywiad ze Słońcem Narodu”. Naruszenie danych miało poważne konsekwencje. Zhakowano osobiste informacje i wynagrodzenia, e-maile firmowe oraz nieopublikowane filmy, plany i scenariusze. Ponadto, kilka nieopublikowanych filmów zostało wyciekło do internetu, w tym “Furia”, “Annie” i “Pan Turner”. Infrastruktura komputerowa Sony została również zniszczona.
FBI prowadziło śledztwo, a rząd USA wskazał palcem na Koreę Północną.
Oprócz kradzieży wrażliwych informacji ze studia filmowego i publikowania ich do publicznego wglądu, hakerzy również wyłączyli wiele systemów komputerowych SPE — w tym email.
Podczas ataku hakerskiego, organizacja zażądała, aby Sony wycofało swój wówczas nadchodzący film “The Interview” – komedię o zamachu na życie północnokoreańskiego przywódcy Kim Dzong Una – i zagroziła atakami terrorystycznymi na kina, które wyświetlają film. Po tym, jak wiele dużych amerykańskich sieci kinowych zdecydowało się nie pokazywać “The Interview” w odpowiedzi na te groźby, Sony odwołało oficjalną premierę i masowe wydanie filmu, decydując się pominąć bezpośrednio na rzecz cyfrowego wydania do pobrania, a następnie ograniczonej dystrybucji kinowej następnego dnia.
Decyzja Sony o wycofaniu dystrybucji kinowej filmu “The Interview” spowodowała ogromne kary finansowe. Jednakże, reputacja studia filmowego już wcześniej znacznie ucierpiała.
Rząd USA doszedł do wniosku, że za atakiem stał rząd Korei Północnej, ale nigdy publicznie nie przedstawił żadnych dowodów na poparcie takich zarzutów. Mimo to prywatne firmy bezpieczeństwa odkryły wskazówki wskazujące na Biuro 121
### Bankowość SWIFT
W latach 2015/2016 ujawniono serię cyberataków wykorzystujących sieć bankową SWIFT, które z powodzeniem skradły miliony dolarów. Przypisano je rządowi Korei Północnej, i gdyby to zostało potwierdzone, byłby to pierwszy znany przypadek państwowo sponsorowanej cyberprzestępczości.
Jednak eksperci podejrzewają, że grupa hakerska Lazarus Group (filia Bureau 121) odpowiada za głośne przestępstwa takie jak atak na Sony Pictures, kradzież w Bangladesh Bank oraz kilka innych cyberataków na całym świecie.
Hakerzy używali złośliwego oprogramowania i e-maili phishingowych, aby infiltrować systemy bankowe i przejmować konta wysokiej wartości. Gdyby potwierdzono przypisanie tego ataku Korei Północnej, byłoby to pierwsze potwierdzone przypadki wykorzystania cyberataków przez państwową jednostkę do kradzieży funduszy. Hakerzy używali zaawansowanego złośliwego oprogramowania i wiadomości spear-phishingowych, aby uzyskać dostęp do sieci bankowych. Następnie manipulowali wiadomościami SWIFT, aby przelać środki.
Rząd Korei Północnej rzekomo nakazał swoim cyberprzestępcom atakować banki w około 18 krajach. Była to próba zdobycia funduszy umożliwiających obejście międzynarodowych sankcji.
Międzynarodowa społeczność nałożyła sankcje na Koreę Północną za jej testy balistyczne i nuklearne. Oczywiście oznacza to, że ten odizolowany kraj został odcięty od międzynarodowych banków. Aby obejść ten problem, eksperci uważają, że północnokoreańscy urzędnicy wysłali hakerów do atakowania banków w około 18 krajach. Hakerom zlecono kradzież jak największej ilości pieniędzy za pomocą oszukańczych metod, tak aby rząd Korei Północnej mógł je wykorzystać do finansowania swoich programów wojskowych.
Atakujący wykorzystali liczne luki w systemach bankowych banków członkowskich. Pozwoliło im to przejąć kontrolę nad danymi logowania do systemu SWIFT banków. Złodzieje następnie wykorzystali te dane do wysyłania żądań przelewu pieniężnego SWIFT do innych banków. Stamtąd przekazywali pieniądze na konta kontrolowane przez hakerów, ufając, że wiadomości są autentyczne.
### Atak ransomware WannaCry
W maju 2017 roku komputery na całym świecie zostały zaatakowane przez ransomware znanego jako WannaCry. Cyberatak wykorzystał lukę w oprogramowaniu, którą rzekomo zidentyfikowała Agencja Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA) i która została opublikowana przez organizację hakerską The Shadow Brokers na miesiąc przed atakiem.
Cyberprzestępcy zaszyfrowali dane i zażądali okupu w kryptowalucie Bitcoin. Atak ransomware WannaCry był poważnym cyfrowym “sygnałem alarmowym”, który mierzył w komputery i sieci działające na systemie operacyjnym Windows. Ponadto, złośliwe oprogramowanie polowało na starsze systemy, które nadal korzystały z luki wykorzystanej przez amerykańską NSA, którą The Shadow Brokers ukradli i wyciekli.
Ransomware rozprzestrzenił się na całym świecie, infekując komputery ze starszymi systemami operacyjnymi Windows i szyfrując pliki. Spowodował chaos w szpitalach w Wielkiej Brytanii, FedEx w USA oraz wielu innych ofiarach na całym świecie. Wielu użytkowników straciło dostęp do swoich plików podczas tych ataków i mogli odzyskać dostęp tylko po zapłaceniu okupu w bitcoinach.
Jednak wiele łatek było dostępnych na sześć miesięcy przed atakiem. Do połowy 2024, wszystkie wspierane wersje zostały załatane pod kątem podatności. Mimo to, nadal stanowiło to zagrożenie dla tych, którzy używali niezałatanych lub niewspieranych systemów, takich jak Windows XP. Sugeruje to, że brakowało “inżynierii wstecznej” do inspekcji nieznanego malware poprzez przeglądanie jego dekryptorów i analizowanie kodów malware po początkowym odkryciu.
Atak rozpoczął się w maju 2017 roku i nie był jednorazowym zdarzeniem. Zainfekował ponad 230 000 komputerów w ponad 150 krajach, powodując straty przekraczające 4 miliardy dolarów już pierwszego dnia. Federalni prokuratorzy Stanów Zjednoczonych stwierdzili następnego dnia, że za atakiem stała Korea Północna.
### Atak na Koreę Południową
Około 20 marca 2013 roku, podejrzany cyberatak Korei Północnej spowodował, że trzy południowokoreańskie stacje telewizyjne i bank straciły swoje terminale komputerowe w podejrzanym akcie cyberwojny.
Około 19 000 komputerów i serwerów w głównych południowokoreańskich stacjach telewizyjnych i bankach zostało dotkniętych.
KBS, MBC i YTN wyemitowały pusty ekran przez około 15 minut. Banki — Shinhan, Nonghyup i Jeju Bank — również nie mogły funkcjonować po tym, jak atak poważnie naruszył ich sieci komputerowe. Ponadto wiele bankomatów zostało wyłączonych z użytku, co przypomina, że krytyczna infrastruktura, tak jak systemy bankowe, jest podatna na ataki cybernetyczne.
Wszystkie dotknięte organizacje były połączone z jedną wspólną siecią, co sugeruje, że hakerzy prawdopodobnie skupili się na wykorzystaniu słabości tej sieci. Atakujący najwyraźniej skoncentrowali się na całkowitym usuwaniu plików, zamiast żądać okupu. Obecnie nie jest jasne, jak grupa to przeprowadziła ani kto za tym stał. Ataki miały miejsce około godziny 20:00, 20 marca i zostały opanowane po 17 godzinach.
Złośliwe kody zostały wprowadzone do komputerów użytkowników poprzez luki w przeglądarkach lub stronach internetowych. Kod był aktywowany tylko podczas dostępu do określonych stron internetowych. Przeprowadzał atak poprzez usuwanie plików na dyskach twardych.
Dyski twarde komputerów głównych stacji nadawczych i banków w Korei Południowej zostały systematycznie wymazane, co wpłynęło na 32 000 komputerów. Napastnicy usunęli najważniejsze pliki z trzech stacji: KBS, MBC i YTN. Dotknęło to również dwóch banków — Shinhan Bank i Jeju Bank. Atak uważa się za sponsorowany przez państwo atak syntetyczny, który wykorzystał kilka różnych szczepów złośliwego oprogramowania. Chociaż szeroko podejrzewano Koreę Północną jako agresora, nie podjęto oficjalnych ustaleń.
## Podsumowanie
Bureau 121 to ściśle tajna północnokoreańska organizacja ekspertów od hakowania komputerów. Oskarżano ją o włamania do międzynarodowych banków i różnych firm w ostatnich latach. Bureau 121 poszukuje tradycyjnych geniuszy. Grupa głównie rekrutuje młodych ludzi i szkoli ich, aby stali się wybitnymi hakerami. Następnie wysyła ich na cały świat, aby siać spustoszenie wśród swoich wrogów.