– Hvis du har et bankkort, er du et mulig mål
Norge er et av landene som en cybergruppe fra Nord-Korea viser interesse for.
Sikkerhetsselskapet Mandiant avslørte i 2013 at Kina har en egen cyberhær. Nå kan Mandiant også avsløre detaljer om hvordan Nord-Korea opererer.
Og ikke minst at Nord-Korea viser interesse for Norge.
– Mandiant er et internasjonalt anerkjent sikkerhetsselskap. De har mange års erfaring med å spore avanserte trussel-aktører i det digitale rommet og er blant de fremste på det, sier førsteamanuensis Gaute Wangen ved Institutt for informasjonssikkerhet hos NTNU.
Alle er mulige mål
Tirdag offentliggjorde Mandiant sin nye rapport om Nord-Korea, hvor Norge er et av landene som identifiseres som mål for cyberoperatørene tilknyttet dette regimet.
– Hvis du har et bankkort, er du et mulig mål. Da kan identiteten din bli stjålet eller bankkontoen din manipulert, sier Michael Barnhart i Mandiant til TV 2.
Mandiant har de siste fem årene forsket på Nord-Korea og en gruppe cyberoperatører de kaller «Advanced Persistent Threat 43», eller APT 43. Dette er en av flere grupper tilknyttet regimet i Nord-Korea, forteller Barnhart.
Noen av disse gruppene holder til inne i Nord-Korea, mens andre holder til utenlands. De har det til felles at de må finansiere seg selv.
– Det er en interessant rapport. Det som skiller seg ut, er at de har mye mannskap, men de har ikke tilgang til den ypperste kompetansen. Det skinner igjennom her, sier Wangen.
Finansierer seg selv
Ifølge Mandiant var det behovet for selvforsørgelse som gjorde at én av gruppene for en tid tilbake utførte pengeutpressing mot et sykehus.
– Nord-Korea har mye større ressurser enn vi tror, mistenker jeg. Det er mange APT-er i økosystemet deres. Hver eneste én er involvert i atomvåpen. Noen prøver å stjele teknologi, andre er involvert i kryptovaluta, men alt handler om atomvåpensatsingen deres, sier Barnhart.
APT43 driver hovedsakelig med to ting: Spionasje og nettsvindel.
– APT43 er lite sofistikert, men enorme i volum. Det de gjør, er smart og effektivt. Deres suksessrate er høyere enn noen andre APT-er jeg har sett.
Ett av virkemidlene som brukes, er sosial manipulering.
I rapporten til Mandiant er det lagt ved et eksempel fra Norge. Det kan virke uskyldig, men som Gaute Wangen snart skal forklare oss, vet oljefondsjef Nicolai Tangen godt hvor effektivt dette kan være.
Effektiv metode
I oktober 2022 utga en av operatørene i APT43 seg for å være journalist og sendte en e-post til en aktør i Norge, hvor hen ba om svar på noen spørsmål knyttet til Nord-Korea og oppskyting av missil over japansk territorium 4. oktober.
– Denne ble sendt tre timer etter at de hadde fyrt av et nytt testmissil. De vil se hvor langt de kan tøye strikken, tror Barnhart.
Gaute Wangen bekrefter at dette er en utbredt strategi.
– Ofte er intensjonen med falske e-poster som dette å opprette en relasjon med målet. Så gjør du det sårbart, for målet begynner å stole på deg uten å ha møtt deg.
Wangen forteller at vi så dette i praksis da sikkerhetsteamet i Oljefondet skulle teste sjefen sin, Nicolai Tangen. Han gikk i baret.
– Der utga de seg for å være journalist fra hjembygda hans, og intervjuet ham bare med spørsmål på e-post. Etter at han svarte på dem, sendte de ham skadevare i form av et Word-dokument og ba om sitatsjekk. Tangen sa jo det at dette dokumentet ble åpnet mange ganger før de innså at her var det noe muffens, forteller Wangen.
I arbeidet med denne artikkelen har Wangen selv fått tilsendt rapporten til Mandiant som vedlegg i en e-post fra undertegnede journalist.
– Jeg tenkte på det før jeg åpnet den, ler Wangen.
– Jeg tenkte at her kan det være noe muffens, men vi har pratet sammen muntlig i forkant, så jeg visste at den skulle komme. Men hvis den bare hadde dukket opp, hadde jeg vært veldig skeptisk.
Rådgiver Axel Fjeldavli i Tankesmien Agenda poengterer at informasjon kan være nyttig for fremmede stater selv om den ikke er i kategorien sensitiv.
– Selv når informasjonen i en gitt e-post ikke er sensitiv, kan den bidra til at fremmede stater tegner seg et større bilde, og at det brukes i strategisk øyemed. Jo bedre bilde et land har av situasjonen, jo bedre egnet er dette landet til å agere, sier Fjeldavli til TV 2.
Nord-Koreas leder Kim Jong-un er ifølge Mandiant åpenbart opptatt av hvordan omgivelsene ser på Nord-Korea.
Men Norge er også klar over at Nord-Korea er en trussel.
– Hvis man leser trusselvurderingene til beredskapsmyndighetene, ser man at de er bevisst på trusselen fra Nord-Korea. Det vil jeg tro og håpe at de også følger tett, sier Fjeldavli.
Hvitvasker selv
Et annet interessant funn Mandiant har gjort, er oppskriften på hvitvasking av midler som APT43 har svindlet til seg.
– De tok kryptovaluta de hadde stjålet og så investerte de dette i ekte kryptomining. Og når det lykkes, får de ut hvitvasket kryptovaluta i den andre enden, forteller Wangen.
Michael Barnhart illustrerer praksisen med et teoretisk eksempel:
– Si at Nord-Korea stjeler 600 millioner dollar i sølv. Da leter alle etter 600 millioner i sølv og så fort Nord-Korea bruker dette, blir de tatt. I stedet bruker de dette sølvet til å betale noen for å utvinne gull. Så får de 500 millioner i gull tilbake. Da har de fått ut pengene i gull, mens alle fremdeles leter etter sølv. Alt dette gjør de internt. Og der blir sporet kaldt.
Nå undersøker Mandiant om de andre APT-ene i Nord-Korea jobber på samme måte.
– Det vi ser med APT43 er at de liker krypto. De går etter hvem som helst, for å få dem til å klikke på en lenke og uvitende installere et program som kjører i bakgrunnen på PC-en din og får den til å utvinne krypto uten at du merker det, og så sende kryptoen tilbake til dem.
– Tror du noen av oss her i Norge uvitende utvinner krypto for Nord-Korea akkurat nå?
– Jeg tror det er veldig mange som uvitende utvinner krypto for Nord-Korea og andre aktører. Om det er noen i Norge, kan jeg ikke vite med sikkerhet, men jeg tror det er mange globalt.