> Inga skadliga filer, och inga konstiga länkar. I stället är det en artig hälsning på engelska från en journalist, och en rad frågor om något av Nordkoreas senaste missiltester. Mejlet från reportern skickas till experter, däribland i Sverige.
Men allt är egentligen ett försök att bygga förtroende. Nordkoreas underrättelsetjänst, RGB (North Korean Reconnaissance General Bureau), är den egentliga avsändaren. På sikt vill RGB åt expertens kontakter och förhållningssätt när det kommer till Nordkorea.
> Uppgifterna framkommer i en ny kartläggning av cybersäkerhetsbolaget Mandiant.
> – Vi ser att de söker måltavlor av två orsaker, en är att jaga kryptovaluta, bland annat i er region. Och de är ute efter vissa organisationer för att samla in underrättelser, säger John Hultquist, som leder underrättelsearbetet på Mandiant och är på besök i Sverige.
> Syftet för Nordkorea är dels att känna av stämningen och reaktionerna när landet avfyrar sina missiler i tester. Men också att borra sig djupare. Sverige pekas ut av Mandiant som ett av få länder som på senare tid varit utsatta.
> – Tankesmedjor specifikt har varit måltavlor, men även politiker och diplomater. Alla som har information som kan göra att den nordkoreanska regimen får bättre beslutsunderlag är intressanta för dem, säger Hultquist. Att just Sverige blivit måltavla beror på landets tyngd i frågor om internationella relationer. Sverige har också länge haft en medlande roll mellan Nord- och Sydkorea. 2019 sa Nordkorea åt Sverige ”att uppföra sig” och sluta agera i USA:s intressen.
> – De är ute efter vissa organisationer för att samla in underrättelser. Sverige har varit ledande i många frågor, så man vill veta hur era experter tänker, och hur personer kopplade till dem tänker, säger John Hultquist.
> Hur många och vilka i Sverige som drabbats av den nordkoreanska informationsinhämtningen framgår inte. Men när RGB:s fejkreporter byggt upp ett förtroende och skickat harmlösa nyfikna frågor en tid så stegras infiltrationen.
> – Man vill ha förtroendet för att sen få tillgång till annat. En expert kan bli en mellanhand för dem att komma vidare, det kan till exempel vara kontakter man vill åt, säger John Hultquist.
> Grupperingen från Nordkorea som siktat in sig på tankesmedjor, däribland i Sverige, har fått namnet APT43. Man arbetar med att skapa stora antal trovärdiga fejkprofiler på nätet som senare används i cyberoperationer. Gruppen finansierar sig via cyberkriminalitet, dels för att bekosta de egna operationerna men dels också för att fylla den nordkoreanska statskassan, enligt Mandiants analys.
> – Hur de tvättar kryptovaluta har alltid varit ett stort frågetecken för oss. Vi har sett att man tvättat pengar via casinon utomlands, som i Macau och Filippinerna. De pengarna går direkt till statskassan, säger Hultquist.
> Men kryptovaluta har varit svårare att följa. APT43 sägs använda sig av tjänster som utvinner till exempel bitcoin på nätet, (eng. bitcoin mining). Genom att kryptovalutan förs in i utvinningsprocessen så försvinner spåren.
> – När kryptovalutan är tvättad så tas den ut i pengar på växlingskontor. Det funkar och det motiverar dem att jaga mer bitcoin, säger John Hultquist. Nordkorea har haft flera statliga spiongrupperingar som varit aktiva i cybervärlden. Ett sätt att tjäna pengar på har varit att använda ransomware-attacker, att datorer på till exempel en myndighet eller ett företag får blir låsta. För att komma åt systemen igen krävs man på pengar. USA:s federala polis FBI har nyligen flaggat för att det skett ransomware-attacker mot sjukhus i USA och Europa, där Nordkorea pekats ut som ansvarigt.
> – De har varnat för det här ett par gånger nu. Man utför den typen av angrepp och utger sig för att tillhöra en gruppering från Ryssland, säger John Hultquist.
> Mandiant känner inte till något fall där svenska sjukhus drabbats av angrepp av Nordkorea.
1 comment
> Inga skadliga filer, och inga konstiga länkar. I stället är det en artig hälsning på engelska från en journalist, och en rad frågor om något av Nordkoreas senaste missiltester. Mejlet från reportern skickas till experter, däribland i Sverige.
Men allt är egentligen ett försök att bygga förtroende. Nordkoreas underrättelsetjänst, RGB (North Korean Reconnaissance General Bureau), är den egentliga avsändaren. På sikt vill RGB åt expertens kontakter och förhållningssätt när det kommer till Nordkorea.
> Uppgifterna framkommer i en ny kartläggning av cybersäkerhetsbolaget Mandiant.
> – Vi ser att de söker måltavlor av två orsaker, en är att jaga kryptovaluta, bland annat i er region. Och de är ute efter vissa organisationer för att samla in underrättelser, säger John Hultquist, som leder underrättelsearbetet på Mandiant och är på besök i Sverige.
> Syftet för Nordkorea är dels att känna av stämningen och reaktionerna när landet avfyrar sina missiler i tester. Men också att borra sig djupare. Sverige pekas ut av Mandiant som ett av få länder som på senare tid varit utsatta.
> – Tankesmedjor specifikt har varit måltavlor, men även politiker och diplomater. Alla som har information som kan göra att den nordkoreanska regimen får bättre beslutsunderlag är intressanta för dem, säger Hultquist. Att just Sverige blivit måltavla beror på landets tyngd i frågor om internationella relationer. Sverige har också länge haft en medlande roll mellan Nord- och Sydkorea. 2019 sa Nordkorea åt Sverige ”att uppföra sig” och sluta agera i USA:s intressen.
> – De är ute efter vissa organisationer för att samla in underrättelser. Sverige har varit ledande i många frågor, så man vill veta hur era experter tänker, och hur personer kopplade till dem tänker, säger John Hultquist.
> Hur många och vilka i Sverige som drabbats av den nordkoreanska informationsinhämtningen framgår inte. Men när RGB:s fejkreporter byggt upp ett förtroende och skickat harmlösa nyfikna frågor en tid så stegras infiltrationen.
> – Man vill ha förtroendet för att sen få tillgång till annat. En expert kan bli en mellanhand för dem att komma vidare, det kan till exempel vara kontakter man vill åt, säger John Hultquist.
> Grupperingen från Nordkorea som siktat in sig på tankesmedjor, däribland i Sverige, har fått namnet APT43. Man arbetar med att skapa stora antal trovärdiga fejkprofiler på nätet som senare används i cyberoperationer. Gruppen finansierar sig via cyberkriminalitet, dels för att bekosta de egna operationerna men dels också för att fylla den nordkoreanska statskassan, enligt Mandiants analys.
> – Hur de tvättar kryptovaluta har alltid varit ett stort frågetecken för oss. Vi har sett att man tvättat pengar via casinon utomlands, som i Macau och Filippinerna. De pengarna går direkt till statskassan, säger Hultquist.
> Men kryptovaluta har varit svårare att följa. APT43 sägs använda sig av tjänster som utvinner till exempel bitcoin på nätet, (eng. bitcoin mining). Genom att kryptovalutan förs in i utvinningsprocessen så försvinner spåren.
> – När kryptovalutan är tvättad så tas den ut i pengar på växlingskontor. Det funkar och det motiverar dem att jaga mer bitcoin, säger John Hultquist. Nordkorea har haft flera statliga spiongrupperingar som varit aktiva i cybervärlden. Ett sätt att tjäna pengar på har varit att använda ransomware-attacker, att datorer på till exempel en myndighet eller ett företag får blir låsta. För att komma åt systemen igen krävs man på pengar. USA:s federala polis FBI har nyligen flaggat för att det skett ransomware-attacker mot sjukhus i USA och Europa, där Nordkorea pekats ut som ansvarigt.
> – De har varnat för det här ett par gånger nu. Man utför den typen av angrepp och utger sig för att tillhöra en gruppering från Ryssland, säger John Hultquist.
> Mandiant känner inte till något fall där svenska sjukhus drabbats av angrepp av Nordkorea.