Diktator Kim Jong-uns cybersoldater fra mystiske Byrå 121 spionerer, saboterer, tapper banker og drar inn milliarder.

Byrå 121, som er underlagt etterretningstjenesten i Nord-Korea, ble opprettet i 1998 for å drive med cyber-krigføring. Det finnes også en annen hackerenhet, Kontor nr. 91, med 80 ansatte som er håndplukket fra landets beste eliteskoler.

Denne uken ble det kjent at hackere fra Lazarus, som knyttes til Nord-Korea, klarte å tilrane seg 60 millioner dollar fra Far Eastern International Bank i Taiwan, melder Bloomberg.com.

10. oktober meldte den sørkoreanske avisen The Chosun Ilbo at hackere fra det lukkede nabolandet i fjor stjal 235 gigabytes med sensitiv informasjon, fordelt på hundrevis av topphemmelige militære dokumenter, blant andre «OPLAN 5015» som inneholder detaljerte krigs- og attentatplaner mot Nord-Koreas leder Kim Jong UN.

I september publiserte sikkerhetsselskapet FireEye en rapport om at Nord-Koreas hackere har forsøkt å stjele Bitcoin og andre digitale valutaer, blant andre Yapizon fra Sør-Korea.

BETALER FOR REGIMET: Nord-Koreas diktator Kim Jong-Un finansierer driften av det isolerte landet mer og mer med cyberkriminalitet. Foto: KCNA/REUTERS

Da hackere fra Nord-Korea i fjor forsøkte å stjele én milliard dollar fra New York Federal Reserve, en av tolv filialer i den amerikanske sentralbanken, ble de kun stoppet av en stavefeil.

81 millioner dollar stjålet



I Bangladesh var Nord-Koreas hackere faktisk i full gang med å tappe landets sentralbank da innbruddet ble oppdaget. Hele 81 millioner dollar, 680 millioner kroner, forsvant før IT-avdelingen innså at noe var galt.

Hackerne fra den såkalte Lazarus-gruppen klarte å trenge seg inn i bankens betalingssystem i begynnelsen av februar 2016. Deretter bombarderte ranerne den amerikanske sentralbankens avdeling i New York med over 30 instruksjoner om bankoverføringer til kontoer på Filippinene og Sri Lanka.

Fire overføringer til Filippinene slapp gjennom, men den femte overføringen til en frivillig organisasjon på Sri Lanka ble stoppet.

De digitale bankranerne vakte mistanke fordi det var skrevet «fandation» istedenfor «foundation» i uttaksinstruksjonene som var på til sammen 951 millioner dollar, nesten 7,6 milliarder kroner.

– Kriminell stat



– Nord-Korea har alltid vært en kriminell stat som seiler under suverenitetsflagget, nå har de flyttet sine lyssky virksomheter ut i cyberspace, erklærer sikkerhetsekspert James A. Lewis ved Center for Strategic and International Studies i Washington DC.

Kaspersky Lab, det globale nettsikkerhetsselskapet med base i Moskva, mente at hackerne hadde knekket koden til Society for Worldwide Interbank Financial Telecommunication (SWIFT), det internasjonale systemet for banktransaksjoner.

Hele verden ble for alvor kjent med Lazarus-gruppen da filmgiganten Sony Pictures fikk sine servere hacket og infisert av virus i november 2014.

47.000 ansatte i Sony Pictures ble de møtt av et sint, rødt skjelett og et varsel om at alle interne data var «kidnappet» da de kom på jobben og slo på datamaskinene.

MÅTTE TREKKE FILMEN: En diger reklameplakat for Sony Pictures-filmen «The Interview» blir tatt ned i Hollywood, etter at filmselskapet ble presset av Nord-Koreas cybertrussel til å kansellere premieren og trekke filmen tilbake. Foto: AFP

Forretningshemmeligheter, filmmanus og ansattes sladdermailer om filmstjerner ble spredt over hele verden.

Angrepet skulle være hevn for komedien «The Interview» som handler om et attentat på Nord-Koreas leder Kim Jong-un. Til slutt ble filmen trukket i USA. Det samme skjedde i Norge og Sverige.

Overrasket ekspertene



Tekniske analyser viste at Nord-Korea var involvert. Det føderale politiet (FBI) i USA fant ondsinnet programvare som landet har vært med på å utvikle. FBI påviste også likheter mellom infrastrukturen som ble brukt i Sony-angrepet og annen ondsinnet dataaktivitet i nordkoreansk regi mot banker og mediebedrifter.

New York Times har intervjuet Robert Hannigan, tidligere britisk etterretningssjef, som mener Nord-Korea får inn én milliard dollar årlig cybertyverier. Han erkjenner at cybertrusselen fra Nord-Korea kom overraskende.

– Fordi nordkoreanerne er rare og absurde, middelalderske og ekstremt sofistikerte, tok ikke folk dette alvorlig. Hvordan kan et så isolert, bakvendt land ha denne kapasiteten? Vel, hvordan kan et så isolert, bakvendt land ha atomvåpen? spør han retorisk.

Hvitsnippyrke



Angrepet kan ha vært en nordkoreansk øvelse på større cyberangrep mot kritiske infrastruktur som telenett og strømnett, mente avhoppere Reuters intervjuet.

– Nord-Koreas ultimate mål er å kunne angripe nasjonal infrastruktur i Sør-Korea og USA, erklærte Kim Heung-kwang, professor i informatikk som hoppet av i 2004.

KRISEMØTE: De ansatte ved Sør-Koreas sikkerhetsbyrå KISA har det alltid travelt. Her er de under et krisemøte i mars 2013 da datanettverkene til store TV-stasjoner og banker krasjet på grunn av virusinfeksjon. Foto: AFP

Professoren hevder hackerprogrammet til Nord-Korea er meget attraktivt.

– Det er et hvitsnippyrke, og folk drømmer om å ha det, sa han til Reuters.

Det isolerte landets aller beste datahjerner blir rekruttert til hackingen. De læres opp allerede fra 17-årsalderen, ifølge avhopperen Jang Se-yul. Han studerte sammen med mange av dem på det nordkoreanske forsvarets datahøyskole.

Løsepengevirus



Det var stort sett bare ren flaks involvert da en britisk hacker på 21 år i mai avdekket det som trolig er det største cyberangrepet til Nord-Korea noensinne.

Antivirus-firmaene Symantec og Kaspersky var raskt ute med å kunngjøre at de fant tekniske spor som peker mot Lazarus-gruppen og Nord-Korea.

Løsepengeviruset, som gikk under navnet «WannaCry», brakte ikke mye penger i kassen til regimet i Pyongyang, men infiserte og lammet 200.000 datamaskiner i private og offentlige virksomheter i 150 land.

De som ble rammet fikk datafilene sine kryptert og ble avkrevd løsepenger for å få tilbake tilgang til datamaskinen.

I Storbritannia ble National Health Service slått ut. Pasienter måtte avvises og ambulanser omdirigeres. Sykehus fikk ikke tilgang til kritisk pasientinformasjon.

Det er også blitt avverget svindelforsøk mot banker i Polen. Lazarus-gruppen har etterlatt spor som tyder på at blant andre Verdensbanken, Den europeiske sentralbanken og en rekke amerikanske finansinstitusjoner, var innbruddsmål.

CYBERANGREP: En ansatt på cyber-sikkerhetssenteret KISA i Seoul følger datatrafikken i juli 2009 etter at et cyberangrep fra Nord-Korea lammet nettsider i Sør-Korea og USA. Foto: AP

Opererer fra Kina



Nord-Koreas hackernettverk omfatter rundt 1800 hackere som får bistand av 5000 personer i støtteroller, ifølge sørkoreanske estimater. På grunn av landets dårlige infrastruktur jobber de fra utlandet.

Hackere opererer i skjul fra flere land, blant annet Kina, Sørøst-Asia og Europa. I 2015 avslørte sikkerhetseksperter i IT-selskapet Hewlett Packard at mye av hackingen skjedde i kjelleren til en restaurant og et hotell i Kina.

Nord-Korea har i årevis vært styrt etter «songun»-prinsippet, som betyr militæret først. Regimet bruker mesteparten av sine ressurser på forsvaret. Aller størst er utgiftene til atomprogrammet, men cyberkrigføringen har også rause budsjetter.

Sør-Korea er ofte utsatt for hackerangrep fra naboen i nord, melder BBC som også henviser til at Nord-Korea har spesialtrente hackere i flere land.

I fjor anslo myndighetene Sør-Korea at nordkoreanske hackere hadde angrepet over 140.000 datamaskiner i 160 forskjellige firmaer og departementer for å plante virus.

Blant annet skal plantegningene av vingene til Sør-Koreas nye jagerfly ha blitt stjålet. Hackerne forsøkte også å angripe datasentralen som kontrollerer det sørkoreanske transportsystemet. Tidligere er et atomkraftverk blitt utsatt for flere innbruddsforsøk.