Nord-Koreas hacker-hær:Bankran, svindel, spionasje og hevn

Nord-Koreas leder Kim Jong-un (t.h.) og søsteren Kim Yo Jong følger med på en militærparade i hovedstaden Pyongyang. Scanpix/AP.

Nord-Koreas stadig mer avanserte atomvåpen og raketter har fått mye oppmerksomhet i år.

I det stille har nordkoreanerne også trent en «hær av hackere», med betydelig ekspertise på datainnbrudd, digital spionasje og digitale bankran.

– Jeg ser cyberaktiviteten i sammenheng med Nord-Koreas arbeid med å bygge opp en troverdig avskrekking mot USA og landets allierte, på samme måte som landets atomvåpen og ballistiske missiler, sier sjef for militærstrategi og doktrine ved Forsvarets stabskole, oberstløytnant Palle Ydstebø, til ABC Nyheter.

Nord-Koreas egen, begrensede, digitale infrastruktur er mindre sårbar for datavåpen. Hackerne selv befinner seg ofte utenfor hjemlandet. Ytterligere økonomiske sanksjoner mot datakriminaliteten vil ha begrenset effekt, siden en rekke slike straffetiltak allerede er på plass.

Oberstløytnant Palle Ydstebø er sjef for seksjon for militærstrategi og doktrine ved Forsvarets stabsskole. Foto: Forsvaret.no.

Man kan hevde at USA og Nord-Korea har ligget i cyberkrig i årevis. Les også: – Trump arvet Obamas «hemmelige cyber-krig» motNord-Korea

Men den amerikanske elektroniske krigføringen for å slå ut nordkoreanske missiler betraktes i dag som, i beste fall, kun delvis vellykket.

Forsøkte «tidenes bankkupp»

En gang i tiden forfalsket Nord-Korea 100-dollarsedler i et forsøk på å skaffe sårt tiltrengt valuta. Nå anslår vestlig etterretning at landet håver inn flere hundre millioner dollar årlig på ransomware («løsepengevirus»), digitale bankrøveri og nettsvindel, skriver New York Times.

En tidligere britisk etterretningssjef anslår at inntektene fra nordkoreansk datakriminalitet skaffer landet over én milliard dollar (8 milliarder kroner) i årlige inntekter, tilsvarende en tredjedel av landets eksportinntekter.

Med de mange økonomiske sanksjonene mot Nord-Korea blir den kriminelle virksomheten en viktig bigeskjeft.

– De statlige hackerne driver plyndring i stor stil, i tillegg til å gå mot militære mål og drive industrispionasje, sier Ydstebø.

Bare en stavefeil gjorde at hackernes forsøk på å stjele én milliard dollar fra sentralbanken til delstaten New York i 2016 ble stanset. Likevel stakk hackerne avgårde med 81 millioner dollar (651 millioner kr).

(Artikkelen fortsetter under bildet)

Nordkoreansk soldat til venstre, sørkoransk soldat foran holder vakt på hver sin side av grensen i våpenhvilelandsbyen Panmunjom i den demilitariserte sonen mellom de to koreanske statene. Foto fra september: Scanpix/AP.

– En spesiell stat

Ansatte ved det sørkoreanske Internett- og sikkerhetsbyrået overvåker mulige cyberangrep under WannaCry-krisen 15. mai. Scanpix/AP.

Denne hangen til tyveri skiller Nord-Koreas hackere fra andre statlige aktører.

– Nord-Korea er en spesiell stat. Sanksjonsregimet gir dem svært begrenset tilgang til hard valuta. Hvis det stemmer at datakriminalitet tilsvarer en tredjedel av eksportinntektene deres gir denne aktiviteten god mening, sier Ydstebø.

På grunn av atomprøvesprengningene, menneskerettsbrudd og aggresjonen mot naboland har verdenssamfunnet innført harde økonomiske sanksjoner mot Nord-Korea.

Før de siste års bølger av dataangrep har Nord-Korea også solgt våpen til andre land, drevet menneskehandel og produksjon av det narkotiske stoffet metamfetamin, oppsummerte Wired i sommer; «Datakriminalitet er bare nok en inntektskilde for en fattig og skamløs regjering.»

«Enhet 121»

Røyk fra pipen til et kraftverk i den nordkoreanske hovedstaden Pyongyang. Landet sliter med kraftmangel. Arkivfoto fra februar. Scanpix/AFP PHOTO.

Sørkoreansk etterretning antar at Nord-Korea opprettet «Enhet 121», en mindre militær gruppe for datakrigføring, allerede tidlig på 90-tallet. Nord-Korea har i dag trolig 1700 statsansatte hackere, med mer enn 5000 personell i støttefunksjoner, anslo det australske analysebyrået ASPI overfor Bloomberg denne måneden.

Dette stemmer med tall en nordkoreansk avhopper oppga til BBC i 2015. Kim Heung-Kwang anslo den gang at 10-20 prosent av Nord-Koreas forsvarsbudsjett går til «cyberangrep-etaten».

Da USAs president Donald Trump talte til FNs generalforsamling i september sa han at USA kunne bli nødt til å «utslette» Nord-Korea om landet ble tvunget til å forsvare seg selv eller sine allierte. Scanpix/AP.

Anti-Trump-propaganda på et flyveblad som antas å ha blitt sendt opp fra Nord-Korea med ballong. På bomben står det «ødelegg Nord-Korea fullstendig». Bildet er tatt i Sør-Korea. Scanpix/Reuters.

De statsansatte hackerne begynte å tiltrekke seg internasjonal oppmerksomhet i 2004, da «Enhet 121» skal ha tatt i bruk det trådløse nettverket til det sørkoreanske forsvaret, og testet skadelig programvare («malware»).

Les også: Nordkoreansk avhopper advarer mot livsfarlige hackere

Stjal militære hemmeligheter

10. oktober i år avslørte en sørkoreansk parlamentariker at Nord-Korea i 2016 klarte å bryte seg inn i Sør-Koreas militære datanettverk der de stjal graderte dokumenter. Blant disse: amerikanske og sørkoreanske stridsplaner i tilfelle krig med Nord-Korea.

– De har fått tak i hemmelige forsvarsplaner og offensive planer mot nordkoreansk ledelse. Det vitner om en ekstremt god tilgang, sier Ydstebø.

– Dette innbruddet kan sammenlignes med om Sovjet hadde klart å hente ut all informasjon fra det norske forsvarets overkommando under den kalde krigen. Da må man rett og slett gjøre om på alle planer, sier oberstløytnanten.

USS Ronald Reagan forlater den sørkoreanske havnebyen Busan torsdag denne uken. Scanpix/EPA.

Innbruddet ble oppdaget av sørkoreansk etterretning i september 2016, og nylig offentliggjort av det sørkoreanske parlamentsmedlemmet Rhee Cheol-hee.

– Både mengden materiale som ble stjålet, og graderingsnivået til dokumentene, gir et signal om hvilken kapasitet nordkoreanerne innehar. Vi må anta at de sørkoreanske forsvarsnettverkene er godt sikret, sier Ydstebø.

Les også: Nord-Korea har hacket sørkoreanske militære planer

WannaCry

Det antatte nordkoreanske dataangrepet som har berørt flest privatpersoner og bedrifter er «løsepengeviruset» WannaCry i mai i år.

Fra Nord-Koreas «største artilleriøvelse noen gang» i forbindelse med 85-årsjubileet til landets hær. Arkivfoto fra april: Scanpix/Reuters.

Angriperne fikk ikke utpresset særlig med penger, men ca. 300.000 datamaskiner i flere dusin land ble satt ut av spill. Eierne av maskinene mottok en trussel om at de kom til å miste alle data om de ikke betalte «løsepenger» i form av den elektroniske valutaen Bitcoins.

Hva som egentlig var formålet med WannaCry har voldt eksperter hodebry. Konsensus i dag er at det først og fremst var et forsøk på å skaffe penger, som kom helt ut av kontroll. Det ble trolig utbetalt omkring 140.000 dollar i bitcoin for å frigi «datagislene». Dette er, tross alt, småpenger for en stat.

En intern amerikansk etterretningsrapport fra juni, omtalt av Washington Post, knyttet WannaCry til nordkoreansk etterretning med «moderat grad av sikkerhet».

Les også: Norske bedrifter rammet: – Hackere brukte amerikanske etterretningsverktøy til globalt dataangrep

(Artikkelen fortsetter under bildet)

Studenter ved Mangyongdae revolusjonære skole, som er drevet av det nordkoreanske militæret. Arkivfoto fra april 2013. Scanpix/AP.

Hevn mot Hollywood

I 2014 utførte hackere knyttet til Nord-Korea et omfattende angrep mot Sony Pictures Entertainment, med tyveri av flere tusen dokumenter, sletting av interne data og sabotasje av 75 prosent av bedriftens serverpark. Kontrakter, lønningslister, filmbudsjett, sensitive personopplysninger, e-post og filmer ble stjålet. Motivet skal ha vært hevn for komedien «The Interview», om et CIA-plot for å ta livet av Nord-Koreas leder Kim Jong-un:

– Slike angrep kan ha en uttalt hensikt, men det kan ligge andre lag av kommunikasjon der som kun de innvidde vil forstå, sier Ydstebø.

– Angrepene demonstrerer i «passelig» skala hva Nord-Korea er i stand til, samtidig som det blir tydelig demonstrert for fagfolk at landet er i stand til langt farligere angrep.

I desember 2014 rettet USAs daværende president Barack Obama formelt en anklage mot Nord-Korea for angrepet.

– Alt har en propagandahensikt, og nordkoreanske myndigheter vet nøyaktig hvilke strenger de skal spille på hos vestlige medier og analytikere, sier Ydstebø.

Les også: USA åpner etterforskning av datainnbrudd mot Sony (2014).

– Provokasjonslinje

Eksperter har advart om at Nord-Korea bruker slike dataangrep på samme vis som de har brukt atomtrusselen, til å skaffe en asymmetrisk fordel mot mektigere land som USA.

– Ved cyberaksjonene demonstrerer Nord-Korea angrepsevne på en måte som gir lav risiko. Det er vanskelig å svare med dataangrep, og cyberaktivitet er foreløpig ikke grunnlag for militære mottiltak i Folkeretten, sier Ydstebø.

Foreløpig ligger de nordkoreanske dataangrepene langt unna noe som vil utløse militære mottiltak, forklarer oberstløytnanten.

– De speiler også den nordkoreanske provokasjonslinjen, som inkluderer rakettestene og atomprøvesprengninger. Det er enkelthendelser, som hittil ikke har vært ansett som store nok til at militære mottiltak er påkrevet.

Hvor alvorlig et dataangrep må være for å kvalifisere som krigshandling er et spørsmål som diskuteres i Nato i disse dager.

(Artikkelen fortsetter under bildet)

Amerikansk B-1B-bombefly eskortert av to sørkoreanske F-15K-jagere over Seoul. Scanpix/AP.

Kortene tett til brystet

En annen bekymring for vestlige stormakter som vurderer hvordan de skal kunne svare på fiendtlig cyberaktivitet, er at de ved offensive tiltak må avsløre mye av teknologien de selv besitter.

– Det er noe av paradokset med «offensiv cyber». Det er fremdeles såpass skjermede opplysninger at de færreste land ønsker å røpe hva de sitter på, før de virkelig må, sier Ydstebø.

En annen utfordring ved å gjengjelde med dataangrep mot Nord-Korea er landets begrensede digitale infrastruktur. De færreste borgere har fri adgang til internett, smarttelefoner og datamaskiner.

– At store deler av landet nærmest er fysisk isolert fra internett gir en skjerming mot digitale motangrep. Med et så totalitært land kan man også ha bedre kontroll med de få digitale inngangspunktene som finnes, sier Ydstebø.

Foto tatt fra romstasjonen ISS viser den koreanske halvøya og Kina. Nederst til høyre ses Sør-Korea, Kina lyser lenger opp. Midt i bildet ses Nord-Koreas hovedstad Pyongyang, som en svak lysflekk i mørket. – Bildet illustrerer landets fysiske isolering, men også den digitale, sier oberstløytnant Ydstebø til ABC Nyheter. Foto: Nasa.

Øvrige kilder: The Guardian , Bloomberg , New York Times