Med støv nå bosatte seg etter “WannaCry,” den største ransomware angrep i historie, cyber-sikkerhet eksperter er å ta et dypdykk inn i hvordan det ble gjennomført, hva som kan gjøres for å beskytte datamaskiner mot fremtidige brudd, og det vanskeligste av alt, som er å klandre.
Utover ofte brukt forkortelse at Nord-Korea trolig var bak angrepet ligger en mer komplisert historien om fremveksten av en beryktet gruppen av hackere kjent som “Lasarus,” som kan være bruk av hemmelig hi i nordøst-Kina, og har opprettet en virtuell “malware fabrikk”, som kan skape en mye mer kaos i fremtiden.
Hvem er de?
Desember 19, 2014, bare en måned etter at en ødeleggende hack haltet Sony Pictures Entertainment, FBI er felt kontor i San Diego sendt ut en pressemelding om at Nord-Korea var den skyldige, og sier slik cyber-angrep utgjøre “en av de gravest nasjonal sikkerhet farer” til Usa.
Dens hevder Nord-Korea var å klandre har vært omstridt.
En industri konsortium ledet av Novetta lansert “Drift Blockbuster” og i 2016 utgitt en detaljert offentlig rapport om angrep som stilte opp med FBI ‘ s konklusjon at taktikk, verktøy og muligheter sterkt indikert arbeidet med en “strukturert, ressurser og motivert organisasjon,” men sa sin analyse ikke kunne støtte direkte kreditering av en nasjonalstat.
Det bestemt at angrepet ble utført av en enkelt gruppe, eller potensielt svært nært knyttet grupper, deling av tekniske ressurser, infrastruktur og selv tasking.”
Det heter gruppen Lasarus og knyttet det til en rekke angrep som kan dateres tilbake til 2007 eller 2009.
Forskere ved cyber-sikkerhet gigantiske Kaspersky Labs, som også deltok i Drift Blockbuster, mente de Lasarus angripere er sannsynligvis ligger i en tidssone åtte eller ni timer foran gmt (Greenwich Mean Time – noe som ville inkludere Kina, Malaysia og deler av Indonesia, blant andre steder – fordi de synes å begynne å jobbe på rundt midnatt GMT og pause for lunsj tre timer senere.
De hevdet selv at hackere får omtrent 6-7 timer søvn per natt.
Det har også sagt at det er funnet indikasjoner på koreansk på et flertall av datamaskiner blir brukt.
James Scott, en senior stipendiat ved Institutt for Kritisk Infrastruktur, Teknologi, en Washington-baserte tenketanken, sa gruppen antas å outsource utvikling av malware for å “rekke eksterne trusselen aktører.”
Men han sa eventuelle koblinger mellom Lasarus og Nord-Korea er fortsatt uklart.
Jon Condra, direktør for Asia og Stillehavsområdet forskning på cyber-sikkerhet fast Flammepunkt, forsiktig bemerket teorien i det minste noen Lasarus Gruppe hackere er å arbeide seg ut av Kina, og at de kan omfatte Nord-Koreanere.
“Det er en utbredt oppfatning at i det minste noen nordkoreanske hacking enhetene drives ut av det Nordøstlige Kina, byen Shenyang, i særdeleshet, men harde bevis er lite,” sa han. “Det er helt mulig at Lasarus Gruppen er ikke helt som består av Nord-koreas aktører, men kan også ha Kinesisk medlemmer.”
Kaspersky tok en titt inn Lasarus følgende forsøkt ranet på $900 millioner kroner fra norges bank i Bangladesh i februar i fjor. Det finnes Lasarus er både å akselerere sine aktiviteter og morphing raskt.
Ifølge Kaspersky, Lasarus Gruppen har nå sin egen datakriminalitet undergruppe, kalt BlueNoroff, å bidra til å finansiere sin virksomhet gjennom angrep på banker, kasinoer, finansinstitusjoner og foretak.
Den forstyrrende og “asymmetrisk” arten av cyber krigføring klart gjør det til et våpen Nord-Korea kan være grunn til å ønske å utnytte mot sin mye mer kraftige motstandere i en militær konflikt.
Datakriminalitet ville også synes å være svært attraktive for Nord-Korea. Det er vanskelig å spore, kan gjøres på billige, og for de som kan mestre den teknologiske kompetanse, muligheter synes å være overalt. Det er en mindre risikabelt middel til å skaffe ulovlige inntekter enn andre aktiviteter Nord-Korea har blitt beskyldt for i det siste, slik som narkotikahandel og piratkopiering US $100 regninger.
Den AMERIKANSKE regjeringen har ikke skylden WannaCry på Nord-Korea – noe som gjenspeiler det faktum at fastsettelse rollen som en nasjon-stat kan være en Sisyphean oppgave.
Noen kampanjer knyttet til Lasarus Gruppen foreslå en lavere kvalifisert motpart enn en kan forvente fra ett med full statlig støtte – en faktor Beau Skogen, underdirektør, Cyber Statsmakt Initiativ på den Atlantiske Råd, sier er en indikasjon på at “en uklar linje” mellom statlige og ikke-statlige aktører.
“Mange land tillater – eller i det minste tolerere – ikke-statlige aktører som er med å gjøre ting som er ideologisk på linje,” sa han. “Med Nord-Korea, ser det ut til å være tilfelle at de bruker svært mye på denne typen kriminelle elementer-amatører-fagfolk. Det er en overvekt av spørsmålstegn.”