"Kimsuky" napadaju preko Googlea

Sjeverna Koreja dospijeva u udarne vijesti obično prijetnjama nuklearnim oružjem i stalnim testovima raketa. Diktatura Kima Jong-Una i dalje se smatra jednom od najzatvorenijih zemalja na svijetu. Upravo u vrijeme pandemije COVID-a Sjeverna Koreja se još jače izolirala. Većina ljudi u toj zemlji i dalje nema pristup slobodnim informacijama iz ostatka svijeta. Većini pučanstva nije dopušten ni slobodan pristup internetu.

Pa ipak se Sjeverna Koreja posljednjih godina razvija u ozbiljnu kibernetičku prijetnju. Prema spoznajama zapadnih sigurnosnih službi sjevernokorejski režimski hakeri obavljaju kriminalne napade diljem svijeta, kibernetičkim napadima pribavljaju informacije iz politike, industrije i znanosti, kradu milijunske vrijednosti u kriptovalutama, možda za financiranje sjevernokorejskog atomskog i raketnog programa.

Među najaktivnije sjevernokorejske hakerske skupine ubrajaju se „Kimsuky", koja se naziva i „Velvet Chollima" ili „Thallium". Ona je aktivna od 2012. godine. Stručnjaci za kibernetičku sigurnost pretpostavljaju da ti hakeri rade za sjevernokorejske državne institucije. Hakeri „Kimsukyja", nazvanog po jednoj e-mail-adresi koju su ranije koristili hakeri, specijalizirali su se za kibernetičku špijunažu. Napadaju prije svega osobe s područja politike i znanosti, a zna se da im je u prošlosti cilj bio doći do dokumentacije južnokorejske vlade.

Očekuju se kibernetički napadi u Njemačkoj

Sad je njemačka Savezna ustanova za zaštitu ustavnog poretka (BfV) po informacijama WDR-a izričito upozorila na kampanju hakerskih napada „Kimsukyja" i u Njemačkoj. Po prvi put je ta njemačka tajna služba za tuzemstvo skupa s južnokorejskom tajnom službom National Intelligence Service (NIS) izdala zajedničko upozorenje kako bi upozorila potencijalne žrtve hakerskih napada u Njemačkoj.

„Aktivnosti karakteriziraju zlouporaba Googleovog pretraživača i App-Store-ponuđača protiv znanstvenika koji se bave međukorejskim sukobom", kaže se u upozorenju BfV-a. „Prema procjenama NIS-a i BfV-a napadač je već prošlih godina napao korejske i njemačke ustanove ciljanim e-mail-porukama za spear-phishing." Može se očekivati da bi hakeri ubuduće mogli napadati i institute i organizacije, koji se bave diplomacijom i sigurnosnom politikom, stoji u dopisu BfV-a.

Napadi preko Googleovog web-pretraživača Chrome

Hakeri „Kimsuky" najradije napadaju slanjem e-mail-poruka za takozvani spear-phishing, kažu u BfV-u. To su poruke koje izgledaju autentično, a prilagođene su točno osobi kojoj su upućene, s namjerom da ta osoba otvori jedan link web-stranice koja izgleda autentično i da se tamo prijave. To su primjerice web-adrese goog1e.com umjesto google.com, ili webb.de umjesto web.de ili gnx.net umjesto gmx.net. BfV upozorava i na dokumente u privitku koji se označeni kao „Novi rezultati istraživanja", „Résumé" ili „Račun broj xxxx".

Kao novu metodu za kibernetičke napade hakeri koriste Googleov web-pretraživač Chrome, upozorava BfV. Napadnutu osobu hakeri u e-mail-poruci pozivaju da instalira neki dodatak web-pretraživaču, kod kojeg se zapravo radi o štetnom programu kojim se kradu osobni podaci korisnika na Google Mailu, dakle korisničko ime i zaporka.

Zaobiđena autentifikacija s dva čimbenika

„Cilj napada je neprimjetno ukrasti sadržaje iz e-mail-pretinca žrtve. Pritom se zaobilazi uobičajena sigurnosna provjera ponuđača e-mail-pretinaca, kao primjerice autentifikacija s dva čimbenika", upozoravaju njemačka i južnokorejska tajna služba.

Druga metoda napada sjevernokorejskih hakera je neopažena instalacija štetnog programa na Android-smartphone preko ponuđača aplikacija Google Play, i to zloporabom funkcije sinkronizacije.

Pritom hakeri postupaju tako da se s ukradenim osobnim podacima žrtve napada prijave na njegov Google-račun. U postavkama računa onda aktiviraju funkciju za sinkronizaciju Google Play-a. Zatim hakeri na Googleov App Store stave naizgled bezazlenu aplikaciju, kod koje se međutim radi o štetnom programu.

Google-račun žrtve napada se onda uvrsti među korisnike koji sudjeluju u testiranju navodne aplikacije. I tako se štetni program automatski instalira na pametni telefon žrtve, a da žrtva ništa ne mora činiti niti zna za to.

U SAD-u 2021. optužena tri hakera

Opisani postupak napada je dosad rijetko funkcionirao, procjenjuju tajne službe. Hakeri se jako trude da ne budu otkriveni. Ali, ako osobe iz Njemačke sumnjaju da su možda bili žrtve napada iz Sjeverne Koreje, Savezna ustanova za zaštitu ustavnog poretka ih poziva da se odmah njoj jave.

U prošlosti su već registrirani kibernetički napadi iz Sjeverne Koreje na ciljeve u Njemačkoj. Tako je najpoznatija sjevernokorejska hakerska skupina APT38 ili „Lazarus Group" pokušala špijunirati njemačka poduzeća koja proizvode oružje. Cilj hakera režima iz Pjoengjanga je bila i farmaceutska industrija, osobito tvrtke koje su razvijale cjepivo protiv koronavirusa.

Američko pravosuđe je u veljači 2021. podiglo optužnicu protiv tri predmnijevana sjevernokorejska hakera iz skupine „Lazarus" u odsutnosti, za koje smatra da su odgovorni za brojne kibernetičke napade diljem svijeta. Oni su navodno proveli virtualne pljačke banaka u kojima su odnijeli do tri milijarde eura u kripto-valutama.