
Nord-Koreas hacker-hær:Bankran, svindel, spionasje og hevn

Nord-Korea er ikke først og fremst kjent som en teknologisk stormakt. Likevel frykter mange eksperter nå landets «cyberkrigere».

Nord-Koreas stadig mer avanserte atomvåpen og raketter har fått mye oppmerksomhet i år.
I det stille har nordkoreanerne også trent en «hær av hackere», med betydelig ekspertise på datainnbrudd, digital spionasje og digitale bankran.
– Jeg ser cyberaktiviteten i sammenheng med Nord-Koreas arbeid med å bygge opp en troverdig avskrekking mot USA og landets allierte, på samme måte som landets atomvåpen og ballistiske missiler, sier sjef for militærstrategi og doktrine ved Forsvarets stabskole, oberstløytnant Palle Ydstebø, til ABC Nyheter.
Nord-Koreas egen, begrensede, digitale infrastruktur er mindre sårbar for datavåpen. Hackerne selv befinner seg ofte utenfor hjemlandet. Ytterligere økonomiske sanksjoner mot datakriminaliteten vil ha begrenset effekt, siden en rekke slike straffetiltak allerede er på plass.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsen
Man kan hevde at USA og Nord-Korea har ligget i cyberkrig i årevis. Les også: – Trump arvet Obamas «hemmelige cyber-krig» motNord-Korea
Men den amerikanske elektroniske krigføringen for å slå ut nordkoreanske missiler betraktes i dag som, i beste fall, kun delvis vellykket.
Forsøkte «tidenes bankkupp»
En gang i tiden forfalsket Nord-Korea 100-dollarsedler i et forsøk på å skaffe sårt tiltrengt valuta. Nå anslår vestlig etterretning at landet håver inn flere hundre millioner dollar årlig på ransomware («løsepengevirus»), digitale bankrøveri og nettsvindel, skriver New York Times.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenEn tidligere britisk etterretningssjef anslår at inntektene fra nordkoreansk datakriminalitet skaffer landet over én milliard dollar (8 milliarder kroner) i årlige inntekter, tilsvarende en tredjedel av landets eksportinntekter.
Med de mange økonomiske sanksjonene mot Nord-Korea blir den kriminelle virksomheten en viktig bigeskjeft.
Artikkelen fortsetter under annonsen– De statlige hackerne driver plyndring i stor stil, i tillegg til å gå mot militære mål og drive industrispionasje, sier Ydstebø.
Bare en stavefeil gjorde at hackernes forsøk på å stjele én milliard dollar fra sentralbanken til delstaten New York i 2016 ble stanset. Likevel stakk hackerne avgårde med 81 millioner dollar (651 millioner kr).
(Artikkelen fortsetter under bildet)

– En spesiell stat

Denne hangen til tyveri skiller Nord-Koreas hackere fra andre statlige aktører.
– Nord-Korea er en spesiell stat. Sanksjonsregimet gir dem svært begrenset tilgang til hard valuta. Hvis det stemmer at datakriminalitet tilsvarer en tredjedel av eksportinntektene deres gir denne aktiviteten god mening, sier Ydstebø.
På grunn av atomprøvesprengningene, menneskerettsbrudd og aggresjonen mot naboland har verdenssamfunnet innført harde økonomiske sanksjoner mot Nord-Korea.
Artikkelen fortsetter under annonsenFør de siste års bølger av dataangrep har Nord-Korea også solgt våpen til andre land, drevet menneskehandel og produksjon av det narkotiske stoffet metamfetamin, oppsummerte Wired i sommer; «Datakriminalitet er bare nok en inntektskilde for en fattig og skamløs regjering.»
Artikkelen fortsetter under annonsen«Enhet 121»

Sørkoreansk etterretning antar at Nord-Korea opprettet «Enhet 121», en mindre militær gruppe for datakrigføring, allerede tidlig på 90-tallet. Nord-Korea har i dag trolig 1700 statsansatte hackere, med mer enn 5000 personell i støttefunksjoner, anslo det australske analysebyrået ASPI overfor Bloomberg denne måneden.
Dette stemmer med tall en nordkoreansk avhopper oppga til BBC i 2015. Kim Heung-Kwang anslo den gang at 10-20 prosent av Nord-Koreas forsvarsbudsjett går til «cyberangrep-etaten».


De statsansatte hackerne begynte å tiltrekke seg internasjonal oppmerksomhet i 2004, da «Enhet 121» skal ha tatt i bruk det trådløse nettverket til det sørkoreanske forsvaret, og testet skadelig programvare («malware»).
Artikkelen fortsetter under annonsenLes også: Nordkoreansk avhopper advarer mot livsfarlige hackere
Stjal militære hemmeligheter
10. oktober i år avslørte en sørkoreansk parlamentariker at Nord-Korea i 2016 klarte å bryte seg inn i Sør-Koreas militære datanettverk der de stjal graderte dokumenter. Blant disse: amerikanske og sørkoreanske stridsplaner i tilfelle krig med Nord-Korea.
– De har fått tak i hemmelige forsvarsplaner og offensive planer mot nordkoreansk ledelse. Det vitner om en ekstremt god tilgang, sier Ydstebø.
– Dette innbruddet kan sammenlignes med om Sovjet hadde klart å hente ut all informasjon fra det norske forsvarets overkommando under den kalde krigen. Da må man rett og slett gjøre om på alle planer, sier oberstløytnanten.
Artikkelen fortsetter under annonsen
Innbruddet ble oppdaget av sørkoreansk etterretning i september 2016, og nylig offentliggjort av det sørkoreanske parlamentsmedlemmet Rhee Cheol-hee.
Artikkelen fortsetter under annonsen– Både mengden materiale som ble stjålet, og graderingsnivået til dokumentene, gir et signal om hvilken kapasitet nordkoreanerne innehar. Vi må anta at de sørkoreanske forsvarsnettverkene er godt sikret, sier Ydstebø.
Les også: Nord-Korea har hacket sørkoreanske militære planer
WannaCry
Det antatte nordkoreanske dataangrepet som har berørt flest privatpersoner og bedrifter er «løsepengeviruset» WannaCry i mai i år.

Angriperne fikk ikke utpresset særlig med penger, men ca. 300.000 datamaskiner i flere dusin land ble satt ut av spill. Eierne av maskinene mottok en trussel om at de kom til å miste alle data om de ikke betalte «løsepenger» i form av den elektroniske valutaen Bitcoins.
Hva som egentlig var formålet med WannaCry har voldt eksperter hodebry. Konsensus i dag er at det først og fremst var et forsøk på å skaffe penger, som kom helt ut av kontroll. Det ble trolig utbetalt omkring 140.000 dollar i bitcoin for å frigi «datagislene». Dette er, tross alt, småpenger for en stat.
Artikkelen fortsetter under annonsenEn intern amerikansk etterretningsrapport fra juni, omtalt av Washington Post, knyttet WannaCry til nordkoreansk etterretning med «moderat grad av sikkerhet».
Les også: Norske bedrifter rammet: – Hackere brukte amerikanske etterretningsverktøy til globalt dataangrep
Artikkelen fortsetter under annonsen(Artikkelen fortsetter under bildet)

Hevn mot Hollywood
I 2014 utførte hackere knyttet til Nord-Korea et omfattende angrep mot Sony Pictures Entertainment, med tyveri av flere tusen dokumenter, sletting av interne data og sabotasje av 75 prosent av bedriftens serverpark. Kontrakter, lønningslister, filmbudsjett, sensitive personopplysninger, e-post og filmer ble stjålet. Motivet skal ha vært hevn for komedien «The Interview», om et CIA-plot for å ta livet av Nord-Koreas leder Kim Jong-un:
– Slike angrep kan ha en uttalt hensikt, men det kan ligge andre lag av kommunikasjon der som kun de innvidde vil forstå, sier Ydstebø.
Artikkelen fortsetter under annonsen– Angrepene demonstrerer i «passelig» skala hva Nord-Korea er i stand til, samtidig som det blir tydelig demonstrert for fagfolk at landet er i stand til langt farligere angrep.
I desember 2014 rettet USAs daværende president Barack Obama formelt en anklage mot Nord-Korea for angrepet.
– Alt har en propagandahensikt, og nordkoreanske myndigheter vet nøyaktig hvilke strenger de skal spille på hos vestlige medier og analytikere, sier Ydstebø.
Les også: USA åpner etterforskning av datainnbrudd mot Sony (2014).
– Provokasjonslinje
Eksperter har advart om at Nord-Korea bruker slike dataangrep på samme vis som de har brukt atomtrusselen, til å skaffe en asymmetrisk fordel mot mektigere land som USA.
– Ved cyberaksjonene demonstrerer Nord-Korea angrepsevne på en måte som gir lav risiko. Det er vanskelig å svare med dataangrep, og cyberaktivitet er foreløpig ikke grunnlag for militære mottiltak i Folkeretten, sier Ydstebø.
Artikkelen fortsetter under annonsenForeløpig ligger de nordkoreanske dataangrepene langt unna noe som vil utløse militære mottiltak, forklarer oberstløytnanten.
– De speiler også den nordkoreanske provokasjonslinjen, som inkluderer rakettestene og atomprøvesprengninger. Det er enkelthendelser, som hittil ikke har vært ansett som store nok til at militære mottiltak er påkrevet.
Hvor alvorlig et dataangrep må være for å kvalifisere som krigshandling er et spørsmål som diskuteres i Nato i disse dager.
(Artikkelen fortsetter under bildet)

Kortene tett til brystet
En annen bekymring for vestlige stormakter som vurderer hvordan de skal kunne svare på fiendtlig cyberaktivitet, er at de ved offensive tiltak må avsløre mye av teknologien de selv besitter.
– Det er noe av paradokset med «offensiv cyber». Det er fremdeles såpass skjermede opplysninger at de færreste land ønsker å røpe hva de sitter på, før de virkelig må, sier Ydstebø.
Artikkelen fortsetter under annonsenEn annen utfordring ved å gjengjelde med dataangrep mot Nord-Korea er landets begrensede digitale infrastruktur. De færreste borgere har fri adgang til internett, smarttelefoner og datamaskiner.
– At store deler av landet nærmest er fysisk isolert fra internett gir en skjerming mot digitale motangrep. Med et så totalitært land kan man også ha bedre kontroll med de få digitale inngangspunktene som finnes, sier Ydstebø.

Øvrige kilder: The Guardian , Bloomberg , New York Times