K armádě severokorejských hackerů se pozornost naposledy stočila minulý týden, kdy se na veřejnost dostaly informace o krádeži 235 gigabajtů jihokorejských a amerických vojenských dokumentů. Údajně je mezi nimi i nejnovější akční plán pro případ vypuknutí války na Korejském poloostrově (více zde).
Zdařilý kyberútok z minulého září je dalším důkazem, že více než šestitisícová armáda severokorejských hackerů představuje jednu z nejefektivnějších zbraní v rukou totalitního režimu. Bezpečnostní experti varují, že tento nástroj Pchjongjangu dokonale vyhovuje.
„Vstupní náklady jsou nízké, útoky jsou z velké části asymetrické a jste při nich do značné míry neviditelní a anonymní. Můžete ohrozit značnou část státní i soukromé infrastruktury. A je to i zdroj příjmů,“ cituje list The New York Times bezpečnostního experta a bývalého zástupce ředitele Národní bezpečnostní agentury (NSA) Chrise Inglise.
„Můžeme říci, že mají jeden z nejúspěšnějších kyberprogramů na světě. Ne proto, že je tak technicky sofistikovaný, ale protože díky němu dosáhli všech svých cílů za velmi nízkou cenu,“ hodnotí Inglis podivuhodný pokrok Kimových hackerů v posledních letech.
V Česku aktivity severokorejských hackerů sledují experti z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Do dneška sice nezaznamenali kybernetický útok směřovaný přímo na Česko, hackery ve službách totalitního režimu ale považují za významnou kybernetickou hrozbu.
„Až donedávna nebyla KLDR mimo oblast Korejského poloostrova brána vážně. Nicméně Jižní Korea již delší dobu čelí útokům, které jsou čím dál více důmyslné. Je mylné domnívat se, že když je Severní Korea z velké části izolována od globálního internetu, že je v oblasti kybernetické bezpečnosti zaostalá,“ uvedl pro iDNES.cz mluvčí NÚKIB Radek Holý.
Budoucnost patří informacím
Severní Korea začala budovat své kybernetické kapacity ještě za vlády Kim Čong-ila. Otec současného diktátora zpočátku viděl v internetu hrozbu, která by mohla narušit kontrolu režimu nad informacemi. Tento názor nalomilo několik počítačových vědců, které režim v 90. letech vyslal do zahraničí. Po návratu ze studií navrhli, aby KLDR internet využila ke špionáži a útokům na odvěké nepřítele. Tedy USA a Jižní Koreu.
Pchjongjang začal vybírat nadějné studenty a posílat je na studia informatiky do světa, především do Číny. Informace nasávali ale i na půdě svého úhlavního nepřítele. FBI si koncem 90. let všimla, že někteří Severokorejci působící při zastoupení KLDR v OSN se v New Yorku zapsali na počítačové kurzy.
Základy kybernetické jednotky, která je dnes známá pod názvem Výbor 121, se začaly rýsovat v roce 2003, kdy Kim Čong-il se znepokojením sledoval americkou invazi do Iráku. „Pokud válka byla dosud záležitostí kulek a ropy, v 21. století se bude točit kolem informací,“ prohlásil tehdy podle profesora informatiky Kim Hung-kwanga, který z KLDR o rok později prchl.
Rod Kimů v totalitní KLDR. Historie zamrzlé války:
Historické osobnosti
Sledovat další díly na iDNES.tvPomoc z Teheránu
Začátky Výboru 121 byly skromné. Stačil primitivní útok na jakýkoliv web spojený s americkou administrativou a severokorejská propaganda se chvástala úspěšným hacknutím vlády ve Washingtonu. Ještě v roce 2009 americké tajné služby ve své výroční zprávě uvedly, že potrvá roky, než severokorejští hackeři budou představovat vážnější hrozbu.
O dva roky později na trůn usedl Kim Čong-un, který v kybernetickém boji vidí nejen prostředek vedení války, ale i nástroj obohacení a vyrovnávání si politických účtů. „Kybernetické útoky jsou spolu s jadernými zbraněmi a raketami univerzálním mečem, který zaručuje naši vojenskou schopnost bez milosti zaútočit,“ prohlásil jednou podle jihokorejské rozvědky mladý diktátor.
Severní Korea týmy svých hackerů rozmístila v zahraničí. Experti jejich stopy nalezli v Číně, Malajsii, Nepálu, Keni, Mosambiku, Indonésii či Indii, odkud byla zahájena plná pětina kybernetických útoků připisovaných Pchjongjangu. V některých případech hackeři KLDR útočili přes počítače na Novém Zélandu.
Severní Korea ukradla naše a americké válečné plány, zní ze Soulu |
Severokorejci se také mnohé naučili od Íránců, kteří jim dlouhá léta pomáhali i ve vývoji raket. V létě 2012 íránští hackeři zamořili virem 30 000 počítačů saúdskoarabské státní ropné společnosti Saudi Aramco a nejhodnotnější firmu světa na více než dva týdny uvrhli do naprostého chaosu.
O sedm měsíců později severokorejští hackeři během manévrů jihokorejské a americké armády napadli z Číny sítě tří jihokorejských bank a dvou největších televizních společností. Stejně jako v případě útoku na Saudi Aramco použili malware určený k mazání dat. „Došli jsme k závěru, že jim pomáhají Íránci,“ prohlásil nedávno Robert Hannigan, bývalý ředitel britské elektronické rozvědky GCHQ.
Uprchlíci z KLDR uvádějí, že stát se hackerem je pro mnoho Severokorejců práce snů, protože zaručuje relativně slušné peníze a pohodlí. Někteří počítačoví odborníci se vzdělávají na Kim Ir-senově univerzitě v Pchjongjangu, další jezdí za vládní peníze studovat do světa. „Severní Korea disponuje absolventy technických univerzit v KLDR a Číně, kteří jsou režimu zcela k dispozici,“ vysvětluje Holý.
Útok na Hollywood
Jedním z hlavních úkolů kybernetických sabotérů ve službách Kim Čong-una je chránit vůdcovu image. Dokládá to útok na sítě hollywoodského studia Sony Pictures, které Pchgjongjang popudilo komedií The Interview o dvou novinářích pověřených CIA vraždou mladého diktátora.
KLDR si nejdřív na film stěžovala u generálního tajemníka OSN, pak začala studiu vyhrožovat. Zaútočila 24. listopadu 2014. „Zmocnili jsem se všech vašich interních dat včetně tajných dokumentů. Pokud nás neuposlechnete, níže uvedená data vypustíme do světa,“ přivítal zaměstnance studia nápis na obrazovce s rudou lebkou.
Do světa skutečně unikly pikantní e-maily prozrazující, co si producenti potají myslí například o Angelině Jolie (více zde). Hackeři ze skupiny Lazarus zároveň zničili 70 procent počítačů v Sony Pictures, a zaměstnanci se tak museli vrátit k propiskám, papíru a telefonům. Studio film nabídlo na internetu, protože zastrašování čelila i americká kina. Komedie si nakonec vedla dobře - možná dokonce lépe, než kdyby nad ní Kim mávl rukou.
Útok na Sony však měl podle The New York Times ještě jeden důsledek, o kterém se dosud nemluvilo: zastavil produkci dokumentu o únosu britského jaderného vědce v Pchjongjangu, který chystala britská stanice Channel Four. Investoři se natolik vyděsili, že od projektu, na který si Pchjongjang stěžoval u britské vlády, dali ruce pryč.
Digitální loupeže
Výbor 121 kromě úspěšných útoků na jihokorejské banky a média také před třemi lety vypustil do světa plány dvou tamních největších jaderných elektráren. V poslední době plní ještě jeden úkol: izolovaný režim odstřižený od finančních zdrojů ho pověřil pácháním digitálních loupeží.
Severní KoreaB1-B: Noční přelet bombardérů KOMENTÁŘ: Seberte Kimovi jadernou hračku VĚDCI: Jaderní inženýři jsou za hvězdy SANKCE: Velmoci zakázaly vývoz textilu H-BOMB: KLDR oznámila test vodíkové bomby ZABIJTE KIMA: Jak vystrašit vůdce KLDR RÉTORIKA: Bílý dům mluví o preventivní válce NY TIMES: Motory raket pocházejí z Ukrajiny SANKCE: Kim může přijít o třetinu příjmů z exportu TEXTILKY: Šaty z KLDR se tváří jako čínské ANALÝZA: Soul ohrožují děla na hranici |
Severokorejští hackeři během posledních dvou let zaútočili například na vietnamskou banku Tien Phong nebo na účty bangladéšské centrální banky u Federální rezervní banky v New Yorku, z nichž vysáli asi 80 milionů dolarů (asi 1,75 miliardy korun).
Přesný způsob vniknutí do systémů Bangladesh Bank není podle expertů známý. Jisté je, že se útočníkům podařilo zneužít systém SWIFT používaný pro mezinárodní transakce a komunikaci mezi bankami.
„Touto formou zadali přes třicet plateb na účty na Filipínách a Srí Lance v celkové výši téměř jedné miliardy dolarů. Platby směřovaly přes účty Bangladesh Bank v New Yorku a útočníkům se podařilo zcizit 80 milionů dolarů, než transakce vzbudily podezření a byly zastaveny. V souvislosti s útokem se posléze zjistilo, že útok na bankovní systém SWIFT byl větší,“ vysvětluje Holý a dodává, že SWIFT je používán i bankami v České republice.
Severokorejské stopy nesou i útoky na jihokorejské burzy kryptoměn. Analytici upozorňují, že Kimovi hackeři mění ukradené bitcoiny za Monero, vysoce anonymní kryptoměnu, jejíž pohyb je velice těžké sledovat.
Polská zkušenost
Útoky jsou čím dál mazanější. Letos v únoru si bezpečnostní experti všimli, že stránky polského finančního regulačního úřadu KNF šíří malware. Byl to takzvaný „watering hole“ útok, který je z pohledu oběti mimořádně zákeřný.
„Útočník míří na celou skupinu uživatelů tak, že nejdříve odhadne, na jaký web tito uživatelé přistupují a daný web následně infikuje malwarem. Oběť, která přistupuje na napadený web tak činí s přesvědčením, že se jedná o bezpečný krok,“ vysvětluje Radek Holý z NÚKIB.
V případě útoku na web KNF, na který běžně chodí polské banky, byl tedy cílem celý polský bankovní sektor. „Malwarem se nakazilo zhruba dvacet bank. Podle dostupných informací byl však útok brzy odhalen a nedošlo ke zcizení finančních prostředků,“ rekapituluje výsledky Holý.
Polská zkušenost ukazuje, že s rizikem severokorejského útoku musí počítat i český finanční sektor. „Hrozba, že se české banky stanou cílem širší kampaně s cílem získávat finanční prostředky pro Pchjongjang, je rozhodně reálná,“ říká mluvčí NÚKIB. „Stoupá se snahou KLDR kompenzovat finanční ztráty způsobené mezinárodními sankcemi. Podcenit nelze ani riziko útoku cíleného specificky na státní instituce s cílem získávat informace zpravodajského charakteru,“ dodává.
Pchjongjangu je připisován i ransomware WannaCry, který zablokuje počítač a po uživateli vymáhá výkupné. Virus se začal šířil v polovině letošního května a po celém světě napadl 200 tisíc počítačů - mimo jiné ochromil několik nemocnic v Británii. Firma Kaspersky Lab zjistila, že část zdrojového kódu WannaCry se shoduje s programem použitým při útoku na Sony Pictures. (více o útoku WannaCry).
Kampaň WannaCry zasáhla i několik stovek počítačů na území České republiky, dopady ale byly minimální. „Nebyly infikovány systémy kritické informační infrastruktury ani jiné důležité systémy, jako tomu bylo v případě britského systému veřejné zdravotní péče,“ vysvětluje Holý.
Snaží se i Američané
Zatímco KLDR kvůli svému jadernému a raketovému programu čelí řadě sankcí, její kybernetické útoky svět přechází téměř bez povšimnutí. Důvodů je několik: sankcí už bylo uvaleno tolik, že další by nejspíš nepřinesly žádný hmatatelný výsledek.
Kim Čong-unovi poradci navíc počítají s tím, že na kybernetický útok nikdo nezareaguje vojenskou akcí, která by mohla na poloostrově zažehnout zničující konflikt. A vůči kybernetické odvetě je KLDR díky své zaostalé infrastuktuře do značné míry imunní.
Ne že by se Spojené státy nesnažily. NSA před sedmi lety pronikla do počítačů severokorejské rozvědky RGB a nasadila do nich špionážní malware. Američané se také neúspěšně pokusili elektronickými prostředky ochromit severokorejský raketový program. Činnost Výboru 121 mapují stovky expertů ve Spojených státech i Jižní Koreji.
Západ si totiž začíná být vědom toho, že kybernetické útoky jsou nejefektivnější zbraní v rukou nevypočitatelného diktátora a mohly by představovat vážnější hrozbu než jaderné zbraně. „Všichni se obávají atomových hřibů. Daleko větší potenciál pro katastrofickou eskalaci je ale někde jinde,“ varuje expert na kybernetickou bezpečnost Robert P. Silvers.
