Baggrund
Læsetid: 6 min.

Nordkoreanske hackere har røvet banker for millioner af dollar verden over

Nordkoreanske hackere har tømt udenlandske bankkonti for hundrede millioner af dollar. Den form for statssanktionerede angreb på finansielle mål er et nyt fænomen og fortsætter, selv efter styret er begyndt at forhandle med USA og Sydkorea
Park Jin-hyok er enten en af vor tids største bankrøvere eller et amerikansk fatamorgana udtænkt for at miskreditere Nordkorea.

Park Jin-hyok er enten en af vor tids største bankrøvere eller et amerikansk fatamorgana udtænkt for at miskreditere Nordkorea.

Reed Saxon

Udland
22. oktober 2018

Wanted by FBI står der øverst på den arrestordre, det amerikanske justitsministerium sidste måned offentliggjorde på Park Jin-hyok. Navnet står med store røde bogstaver over et grynet billede af en asiatisk mand i 30’erne.

Park Jin-hyok er enten en af vor tids største bankrøvere eller et amerikansk fatamorgana udtænkt for at miskreditere Nordkorea. 

De amerikanske myndigheder mener, han en del af det nordkoreanske efterretningsvæsen og medansvarlig for nogle af de senere års mest omfattende og ødelæggende cyberangreb. Nordkorea beskriver anklagerne som en farce. En person ved det navn findes slet ikke, lød svaret fra styret i Pyongyang, da arrestordren blev lagt frem.

Regimet nægter løbende at have kendskab til internetkriminalitet. Men uden for det isolerede lands grænser, er der ikke mange, der tror på den udlægning.

Eksperter, efterretningstjenester og it-sikkerhedsfirmaer har længe advaret om, hvordan det nordkoreanske militær hacker både politiske og økonomiske mål. Sidstnævnte har på få år udviklet sig til en milliardforretning. Beviserne er mange og detaljegraden høj.

»Vi ved, at Nordkorea forsøger at få adgang til kapital, fordi de er afskåret fra det internationale finansielle system. Man har før forsøgt sig med smugling og med at trykke falske pengesedler og har nu fundet ud af, at cyberkriminalitet er en effektiv metode,« siger Tim Maurer, forfatter til bogen Cyber Mercenaries: The State, Hackers, and Power, der udkom tidligere i år.

Resultatet er, at flere end 100 banker og onlinebørser i 30 lande er blevet angrebet.

En koreansk specialitet

Andre lande benytter lignende metoder til at stjæle forretningshemmeligheder eller forskningsresultater fra virksomheder og myndigheder, men at statssanktionerede hackere går målrettet efter pengeinstitutioner er et nyt og nordkoreansk fænomen.

Og hvor andre lande ofte udliciterer de mere kommercielle hackeropgaver til personer og grupper uden direkte tilknytning til staten for at skjule egen indblanding, så er den nordkoreanske forbindelse mere direkte.

»Fordi det er så ekstremt et diktatur og autoritært styre, er de nordkoreanere, der arbejder for regimet, under Pyongyangs fulde kontrol,« siger Tim Maurer.

Den nordkoreanske hackergruppe APT38’s globale mål

Ifølge det amerikanske it-sikkerhedsfirma FireEye har den nordkoreanske hackergruppe APT38 primært til opgave at hacke finansielle mål. Det gælder alt fra banker og myndigheder til børser og kryptovalutaer. Som anvist på kortet har gruppen slået til i en lang række lande. De fleste mål har været i tredjeverdenslande, hvor it-sikkerheden er lavest.

Hvordan de nordkoreanske hackere opererer, bliver beskrevet i en ny rapport udgivet af det amerikanske it-sikkerhedsfirma FireEye. Den ser nærmere på en gruppe kaldet APT38, der har brudt ind i it-systemer i flere end 16 organisationer i 13 forskellige lande, herunder mindst ni banker.

»Vi føler os sikre på, at APT38’s mission er at gå efter finansielle institutioner og -systemer for at skaffe penge til det nordkoreanske regime. Siden begyndelsen af 2014 har APT38-operationerne næsten udelukkende fokuseret på at udvikle og gennemføre økonomisk motiverede kampagner rettet mod internationale enheder,« fremgår det af rapporten. Angrebene er over årene blevet mere og mere sofistikerede.

»Siden de først observerede aktiviteter er gruppens operationer blevet stadig mere komplekse og destruktive. APT38 har indtaget en beregnende tilgang, der giver gruppen mulighed for at skærpe taktik, teknik og procedure over tid og samtidig undgå at blive opdaget,« skriver FireEye.

Både APT38’s fremgangsmåde og aktivitetsniveau tyder på, at gruppen har mange medlemmer og en velorganiseret struktur. Hackergruppen begyndte med at gå efter finansielle mål i Sydøstasien for siden at bevæge sig til Afrika og Latinamerika og til sidst til enkelte mål i Europa og Nordamerika.

De nordkoreanske hackere udviser stor tålmodighed. Efter at have kompromitteret et it-system bruger de i snit 155 dage til at lære systemet og dets svagheder at kende. Hvor stort et beløb, det samlet er lykkedes APT38 at slippe af sted med, er det sandsynligvis kun dem selv, der ved.

Det store kup

Typisk er ofrene pengeinstitutioner i udviklingslande, hvor beskyttelsen mod cyberkriminalitet er på et lavere niveau end i USA og Europa. Målet er beløb fra et par millioner dollar til omkring 20 millioner, hvilket er i en størrelsesorden, der ikke nødvendigvis vækker øjeblikkelig opsigt hos banker eller bankmyndigheder. Men der er undtagelser.

Den mest kendte episode fandt sted i februar 2016. Her lykkedes det hackere at bryde ind i netværket på den vigtigste af USA’s 12 føderale bankreserver, der ligger i hjertet af New Yorks finansdistrikt. Stedets bankboks befinder sig 24 meter under jorden og indeholder en af de største guldreserver i verden.

Bankens sikkerhedsforanstaltninger er så anerkendte, at udenlandske stater er blandt kunderne. Men tunge metaldøre og sprængsikrede vægge hjælper lige lidt, når indbruddet sker digitalt.

Hackerne havde udset sig en konto tilhørerne Bangladesh’ centralbank, hvis servere de først havde skaffet sig adgang til.

De begyndte at iværksætte overførsler til konti i banker i lande som Filippinerne og Sri Lanka. Havde det ikke været for en fejl i en af softwarekoderne, var cybertyvene stukket af med mere end en milliard dollar. I stedet blev udbyttet på 80 millioner dollar. Pengene blev hurtigt hævet i kontanter og blandt andet vasket hvide ved spilleborde på kasinoer i Asien.

Ritzau Scanpix

For første gang nogensinde satte de amerikanske myndigheder sidste måned navn og ansigt på en formodet nordkoreansk hacker. FBI beskylder Nordkoreas militære efterretningstjeneste for at stå bag angrebene. Men en person ved navn Park Jin-hyok findes slet ikke, lyder svaret fra Pyongyang.

Sagen var for alvor med til at sætte Nordkoreas hackeregenskaber på listen over internationale trusler hos diverse efterretningstjenester. Metoderne brugt i forbindelse med angrebet minder ifølge FireEye om dem, gruppen APT38 også benytter sig af.

Jagten

Heller ikke Park Jin-hyok går fri. Ifølge FBI kan han sættes i forbindelse med Bangladesh-tyveriet og flere andre højprofilerede sager. De amerikanske myndigheder fik fingre i Parks identitet ved at overvåge en nordkoreansk virksomhed med kontor i den kinesiske havneby Dalian.

Firmaet, hvor den anklagede nordkoreaner var ansat som it-konsulent, var ifølge USA blot et dække for aktiviteter foretaget af Nordkoreas militære efterretningstjeneste.

At Park Jin-hyoks navn og portrætfoto dukkede op skyldtes uforsigtighed. Han kom til at sende sit CV med samme e-mail, der også blev anvendt i et hackerangreb. Park Jin-hyok menes i dag at være tilbage i Nordkorea.

At hans aktiviteter kunne spores til Kina er ingen tilfældighed. Nordkoreas militær begyndte at arbejde med informationsteknologi i løbet af 1990’erne. Siden er udvalgte it-talenter blevet sendt til Kina for at få træning i computer- og kodningsfærdigheder på kinesiske universiteter.

Mange af dem har siden hen gjort karriere i virksomheder som den, Park Jin-hyok arbejdede for.

Der findes eksempler på cyberangreb udført fra Pyongyang, men det er undtagelsen, fordi Nordkoreas begrænsede internetadgang og struktur gør det forholdsvis nemt at spore dem. De fleste nordkoreanske hackere menes derfor at befinde sig i det nordøstlige Kina tæt ved grænsen.

Hvad går pengene til?

Nordkorea opgør ikke økonomiske nøgletal, men ifølge den sydkoreanske nationalbank var 2017 et katastrofeår. Væksten gik i minus, og eksporten faldt med hele 37,2 procent. Hovedsageligt på grund af de hårde sanktioner landet er underlagt.

Sanktionerne er blevet indført som straf for styrets mange atom- og missiltest under Kim Jong-uns ledelse. De har ramt den nordkoreanske økonomi hårdt, og gjort det endnu sværere for regimet at skaffe udenlandsk kapital. Det lammer indkøb af olie, reservedele og maskineri til industri og landbrug og sætter økonomien under yderligere pres.

De diplomatiske forbindelser mellem Nordkorea og USA er forbedret markant det seneste halve år, men selvom Pyongyang er stoppet med at teste sine missiler og atomvåben, vil USA ikke lempe sanktionerne, før det nordkoreanske atomprogram er fuldstændig afviklet. Meget tyder da også på, at den politiske udvikling ikke har fået de nordkoreanske hackere til at holde igen.

»Mig bekendt er de nordkoreanske angreb i den finansielle sektor ikke stoppet efter mødet mellem Kim Jong-un og Donald Trump,« siger Tim Maurer.

Præcis hvor store summer Nordkorea har stjålet ved at bryde ind i bankers it-systemer er umuligt at sige. De færreste banker står frem, når de finder ud af, at de er blevet bestjålet. Men der findes estimater. Baseret på samtaler med sydkoreanske eksperter og nordkoreanske afhoppere anslog det amerikanske medie GlobalPost tidligere på året, at hackerne er sluppet af sted med mindst 650 millioner dollar.

Hvad pengene bliver brugt til, er det næste spørgsmål. Sandsynligvis til alt fra finansiering af styrets næste missiler over luksustasker til elitens elskerinder til antibiotika til børn og mad til de fattige. Med andre ord til alt, hvad der ikke kan købes i Nordkorea, lyder vurderingen fra den anerkendte nordkoreaekspert Andrei Lankov. At pengene er stjålne giver næppe samvittighedskvaler.

»De ser sig selv som ofre, og de ser international lov som fuldstændig meningsløs og fuld af hykleri, som noget de store magter bruger til at opretholde deres privilegerede positioner,« siger han til GlobalPost.

Følg disse emner på mail

Vores abonnenter kalder os kritisk,
seriøs og troværdig.

Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Jens Mose Pedersen

De er jo de rene amatører. I Europa har banker og andre svindlere bedraget for 410 Milliarder Kr.
650 Millioner $ er jo ingenting i sammenligning.

Henrik Leffers, Niels Duus Nielsen, Estermarie Mandelquist, Philip B. Johnsen, Anders Graae, Gert Romme, Henrik L Nielsen, Torben Arendal, Kim Houmøller, Torben Bruhn Andersen, Benny Larsen og Tue Romanow anbefalede denne kommentar
Philip B. Johnsen

Organiseret kriminalitet bonus udbetalninger til de ansatte alene for The City of London 2016

DKK. 190 milliarder.
Link: http://www.dailymail.co.uk/news/article-401028/City-bonuses-soar-record-...

Organiseret kriminalitet bonus udbetaling 2014

Wall Street bonuses total $28.5 billion in 2014
Link: http://rapidcityjournal.com/business/wall-street-bonuses-total-billion-i...

The City of London bonuses 2014 soar to record £19bn
Link: http://www.dailymail.co.uk/news/article-401028/City-bonuses-soar-record-...

Niels Duus Nielsen og Estermarie Mandelquist anbefalede denne kommentar