Näin suomalainen tietoturvayritys pääsi pohjoiskorealaisten hakkereiden jäljille – rikolliset unohtivat olennaisen asian

WithSecuren eli entisen F-securen vanhempi tutkija Sami Ruohonen sanoo STT:lle, että yrityksen tänään torstaina julkaistun selvityksen mukaan hyökkäyksiä kohdistettiin terveyden ja hyvinvoinnin tutkimuksen sekä energia-alojen yrityksiä vastaan. Kohteet ovat kansainvälisiä yrityksiä, jotka toimivat muun muassa Pohjois-Amerikassa.

–  Nämä eivät ole hakkereille hyviä kohteita taloudellisen hyödyn kannalta, mutta ne ovat hyviä kohteita, jos miettii yritysvakoilua. Se antaa meille osviittaa siitä, mitä kyberhyökkääjä haluaa saavuttaa. Eli tässä tapauksessa kerätä maailmalta teknologiaa, jota Pohjois-Korealla itsellään ei ole käytössä, Ruohonen sanoo.

Hyökkäykset ovat olleet ainakin osittain onnistuneita.

–  Puhutaan jopa sadan gigatavun datamääristä, joita organisaatioista on varastettu.

Hyökkäyksessä kiinnostavaa on myös se, miten tutkijat pääsivät tapauksen jäljelle. Kampanja paljastui osittain opsec-virheen ansiosta.

–  Eli hakkerit eivät siis suojanneet omaa verkkoyhteyttään, vaan ottivat yhteyttä suoraan Pohjois-Koreasta, mikä antoi vahvan indikaattorin siitä, kuka on hyökkäyksen takana. Yleensä hyökkääjät pyrkivät suojaamaan yhteyden, jotta kukaan ei näe, mistä hyökkäykset oikeasti tulevat.

Lazarus ryöstää rahaa Pohjois-Korean hyväksi

Lazarus on Pohjois-Korean valtion tukema hyökkäysryhmä. Eristäytynyt Pohjois-Korea on yksi maailman köyhimmistä valtioista, jossa kansalaisten elinolot ovat yleisesti vaikeat.

Lazarus on kuitenkin kehittynyt ryhmä, jolla on käytössään kehittyneitä haittaohjelmia ja kykyä tehdä kyberhyökkäyksiä, Ruohonen sanoo. Se kuuluu valtiollisten hakkeriryhmien raskaaseen sarjaan, vaikkei ehkä olekaan kaikkein parhaimpia.

–  Pohjois-Korea on pystynyt hiomaan kyberhyökkäyskykyään vuosien saatossa.

Pääsääntöisesti Lazaruksella on kaksi tavoitetta. Niistä ensimmäinen on juuri aiemmin mainittu yritysvakoilu.

–  Yritysvakoilun kautta pyritään saamaan Pohjois-Korean käyttöön teknologiaa, Ruohonen sanoo.

Toinen motiiveista on taloudellinen hyöty eli rahan saanti Pohjois-Koreaan. Taloudellisen hyödyn tavoittelu on ollut pitkään Lazaruksen agendalla ja sitä varten on hiottu ja kehitetty tekniikoita, Ruohonen sanoo.

Lazaruksen hakkerit ovatkin onnistuneet varastamaan rahaa esimerkiksi erilaisilta yksityisiltä organisaatioilta. Ryhmä on tehnyt paljon hyökkäyksiä esimerkiksi Japania vastaan.

–  Hyökkäyksiä on kohdistettu Japanin kryptovaluuttayrityksiä vastaan, ja on pyritty varastamaan kryptovaluuttaa.

BBC:n mukaan Lazarus onnistui vuonna 2016 melkein varastamaan Bangladeshin keskuspankilta merkittäviä summia. Saalis jäi lopulta aiottua pienemmäksi.

Ryhmän uskotaan olevan myös mahdollisesti taiwanilaisen pankin ryöstön takana vuonna 2017, kertoo muun muassa uutistoimisto Bloomberg. Hakkerit saivat tuolloin haltuunsa noin 60 miljoonan dollarin eli noin 55 miljoonan euron edestä varoja.

Yhdysvaltain mukaan Lazarus on myös syyllinen Sony Pictures -elokuvayhtiötä vastaan vuonna 2014 tehtyyn hakkeri-iskuun, joka sai aikoinaan paljon maailmanlaajuista huomiota. Tuolloin muun muassa Sonyn työntekijöiden henkilökohtaisia tietoja vuodettiin internetiin.

Syynä hyökkäykseen oli ilmeisesti yhtiön tuottama komedia, joka kertoi Pohjois-Korean johtajaan Kim Jong-uniin kohdistuvasta salamurhayrityksestä.