Żyjemy w dość przerażających czasach. Nie dość, że grożą nam wojny konwencjonalne, to jeszcze w tle trwają cyberkonflikty. Rządy współpracują wręcz z hakerami, by ci prowadzili w ich imieniu ataki na infrastrukturę wrogich krajów. Najsłynniejszą organizacją hakerską na świecie jest Lazarus Group, z której usług korzysta reżim Kimów.
Dlaczego Korea Północna została piratem?
Nim przejdziemy dalej, warto wyjaśnić, dlaczego w ogóle Korea Północna prowadzi taką, a nie inną politykę: z jakiego powodu stoi za atakami hakerskimi na dużą skalę? Chodzi o sankcje, jakie Zachód nałożył na ten kraj. A dokładniej: próbę uniemożliwienia stworzenia przez reżim Kimów potężnego arsenału broni nuklearnej.
Kraj został objęty sankcjami przez ONZ i Unię Europejską już w 2006 r. Politykę tę zaostrzono po tym, jak Kim Dzong Un poparł Rosję po inwazji tego państwa na Ukrainę. Dziś obowiązuje zakaz eksportu i importu m.in. broni, metali szlachetnych, nowych śmigłowców i statków oraz wszelkich materiałów, które mogłyby pomóc w rozbudowie wojsk jądrowych.
Dlaczego jednak Korea Północna chce mieć broń atomową? Przecież, jak wynika z powyższego opisu, generuje to dla niej tylko problemy. Reżim Kimów musi jednak posiadać taki rodzaj broni, bo wynika to z historii Pjongjang. Korea Północna jest położona w takim miejscu, w którym jest teoretycznie zagrożona przez Koreę Południową i Japonię. Do tego w kraju wciąż żywe są wspomnienia z wojny koreańskiej, w której zginęło ok. 1,6 mln obywateli – żołnierzy i cywilów. Faktem historycznym jest też to, że część elit wojskowych z USA analizowało nawet pomysł zrzucenia na terenie Korei bomby atomowej.
Zobacz także: Rug pull - wielkie zagrożenie na rynku kryptowalut
Władze z Pjongjang mają więc dylemat: z jednej strony potrzebują – w swoim mniemaniu - broni jądrowej – ale jednocześnie są odcinane od zachodniego kapitału i rynków z materiałami, które są potrzebne do konstrukcji takiej broni. Dlatego przed laty podjęły decyzję o finansowaniu badań nad bronią nuklearną za pomocą skradzionych kryptowalut. A przynajmniej to wynika z raportu ONZ dot. tego, dlaczego reżim Kimów kradnie cyfrowe aktywa.
Grupa Lazarus
Przejdźmy teraz do grupy Lazarus, która ma współpracować z Koreą Północną i na zlecenie kraju prowadzić ataki hakerskie na projekty z rynku blockchaina (ale nie tylko – o tym za chwilę).
Warto na początku wyjaśnić pewien mit. Wyobrażenie wielu osób o Lazarus jest związane z tym, że jest to cybernetyczna armia Korei Płn. – tak naprawdę nie mamy jednak do czynienia z organizacją scentralizowaną. Wiele wskazuje na to, że „Lazarus” to szersze środowisko hakerskie, którego poszczególne części zajmują się realizacją różnych form ataków.
Korzenie Lazarusa tkwią zapewne w Biurze 121. Chodzi o specjalną jednostkę, która jest używana przez Pjongjang w cyberwojnie. To prowadzi nas też do Biura 39, zajmującego się wywiadem, i Biura 38, które odpowiada za działalność finansową kraju.
Grupa Lazarus początkowo koncentrowała się na tradycyjnych systemach finansowych – przeprowadzała np. ataki na banki centralne i instytucje finansowe. W jej portfolio znajdziemy m.in. udany atak na Bank Centralny Bangladeszu w 2016 r., w czasie którego udało się ukraść aż 81 mln USD. Do tego doszły masowe kradzieże bankomatów w Azji i Afryce, do których doszło w wyniku zhakowania systemów informatycznych lokalnych banków. Wiadomo, że cyberprzestępcy atakowali cele w wielu różnych krajach na całym globie, w tym w Polsce.
Kaspersky Lab przeanalizowało to, jak Koreańczycy włamują się do systemów tak ważnych instytucji. Okazuje się, że wykorzystują po prostu ludzkie błędy, np. brak posiadania aktualnego oprogramowania przez tego typu podmioty. Do tego dochodzą bezpośrednie ataki na pracowników – „podrzucanie” im linków, którymi infekuje się ich komputery, co pozwala potem hakerom przedostać się do systemów firm i instytucji. Zdaniem Kaspersky Lab, poszczególne oddziały grupy poświęcają tygodnie na przeanalizowanie systemów swoich ofiar i tak, krok po kroku, planują ataki.
Lazarus jest wykorzystywane nie tylko w celach finansowych, ale także propagandowych. Kiedy w Hollywood powstał film „Wywiad ze Słońcem Narodu”, który ośmieszał Kima Dzong Una, cyberprzestępcy zhakowali serwer Sony Pictures i doprowadzili do jego wycieku. Oczywiście nie w celu jego dodatkowego propagowania, ale by wygenerować straty dla filmowego giganta.
Ataki na kryptowalutowe projekty
Kwestią czasu było zainteresowanie się Lazarus rynkiem kryptowalut. Anonimowe przelewy, jakie gwarantuje blockchain, to idealne rozwiązanie dla Korei, która chce obchodzić sankcje.
Jednym z najbardziej znanych udanych ataków Koreańczyków był napad na blockchainową platformę Axie Infinity w marcu 2022 roku. Przestępcom udało się przejąć 620 mln USD w tokenach USD Coin i etherach. Okazało się, że „winowajcą” był jeden z pracowników firmy Sky Mavis, dewelopera Axie Infinity. Za pośrednictwem LinkedIn skontaktowała się z nim osoba, która zaoferowała mu pracę. Przesłała mu plik PDF z informacjami dot. oferty, za pomocą którego wgrano na sprzęt programisty wirusa. Potem przestępcy zdołali wykorzystać Axie DAO, organizację do zarządzania Axie Infinity, do przejęcia większej liczby węzłów w ekosystemie i to wystarczyło do przeprowadzenia ataku.
Axie DAO zezwoliło Sky Mavis na podpisywanie różnych transakcji w jej imieniu. Zostało to niby zakończone w grudniu 2021 r., ale dostęp nie został cofnięty – przekazało Sky Mavis w poście na blogu. - Gdy atakujący uzyskał dostęp do systemów Sky Mavis, był w stanie uzyskać podpis walidatora Axie DAO
- przekazano w komunikacie Sky Mavis.
Grupa Lazarus zaatakowała też z powodzeniem giełdy KuCoin (strata 275 mln USD) oraz Coincheck (530 mln USD). Rekord pobito w lutym 2025 roku, gdy udało się okraść giełdę Bybit na 1,5 miliarda USD (w ETH i stETH). Co ciekawe, hakerzy przejęli środki z zimnego portfela firmy.
Transfer był częścią zaplanowanego przeniesienia ETH z naszego portfela "ETH Multisig Cold Wallet" do naszego gorącego portfela (hot wallet). Niestety transakcja została zmanipulowana przez wyrafinowany atak, który zmienił logikę inteligentnego kontraktu i zamaskował interfejs podpisywania, umożliwiając atakującemu przejęcie kontroli nad portfelem "ETH Cold Wallet". W rezultacie ponad 400 000 ETH i stETH o wartości ponad 1,5 miliarda USD zostało przetransferowanych na niezidentyfikowany adres
- podano w oficjalnym komunikacie, jaki opublikowano na stronie okradzionej platformy.
O tym, w jak kreatywny sposób działa Lazarus, dowiedzieliśmy się też w 2020 r. Sprawa dot. mniej znanej giełdy kryptowalut i do dziś nie jest często wspominana choć pokazuje to, do czego zdolny jest Lazarus. Po kolei jednak. Hakerzy najpierw stworzyli bardzo realistycznie wyglądającą stronę internetową i jej konta w social mediach. Przy okazji "powołano do życia" firmę WFC Proof, która oferowała bota Worldbit-bota, bota handlowego, którego usługi zaoferowano giełdzie DragonEx. I choć Worldbit przypominał zwykłego bota handlowego, w jego kodzie umieszczono wirusa, który mógł pomóc hakerom przejąć kontrolę nad systemami DragonEX. Wszystko stało się jednak niejako "na życzenie" giełdy, która po prostu sama zgodziła się na zainstalowanie bota - dodanie go do swoich systemów. W ten sposób hakerzy ukradli prywatne klucze do gorącego portfela firmy i okradli ją na 7 mln USD.
Piraci współczesnego świata
Działalność grupy Lazarus stanowi poważne zagrożenie dla bezpieczeństwa cybernetycznego na całym świecie. Obecnie międzynarodowe społeczności intensyfikują swoje wysiłki na rzecz wzmocnienia własnych systemów obrony cybernetycznej oraz ścigają osoby odpowiedzialne za ataki. Problemem pozostaje skuteczność tych działań. Wiele wskazuje na to, że koreańscy hakerzy nadal pozostają bezkarni.
Zobacz także: Bitcoin – od idei wolności do narzędzia politycznej kontroli?
Komentarze
Sortuj według: Najistotniejsze
Nie ma jeszcze komentarzy. Skomentuj jako pierwszy i rozpocznij dyskusję