Apoi, grupul a iniţiat o serie de campanii de spionaj cibernetic pe care cercetătorii le-au denumit „Operaţiunea Troia” şi „Zile ploioase”. Aceasta din urmă, din martie 2011, a vizat instituţii media şi financiare din Coreea de Sud şi infrastructură critică.

Dar probabil cele mai interesante atacuri au fost campaniile distrugătoare care au început în martie 2013 cu operaţiunea DarkSeoul. Atacurile au avut ca ţintă trei companii media sud-coreene, mai multe bănci şi un furnizor de servicii de internet şi au folosit o „bombă logică” pentru a şterge simultan hard-discurile computerelor la o dată specifică. Clienţii băncilor nu au mai putut folosi bancomatele pentru o scurtă perioadă de timp. 

Nivelul de distrugere nu se compară însă cu cel al atacurilor din anul următor asupra Sony. Unul din misterele acestor acţiuni implică personajul adoptat de hackeri pentru lovitură. Angajaţii de la Sony au aflat pentru prima dată despre spargere printr-un mesaj afişat pe ecranele computerelor lor de un grup care se autointitula Gardienii Păcii. Numele şi faptul că hackerii în aparenţă încercau să stoarcă bani de la Sony i-au făcut pe mulţi să creadă că în spatele atacurilor sunt ceea ce se cheamă hacktivişti.

Însă cercetătorii de la Novetta spun că şi alte atacuri atribuite grupului Lazarus au implicat personaje aparent adoptate pentru campanii specifice. În iunie 2012, ar fi atacat un ziar conservator sud-coreean folosind porecla IsOne. Ca şi Gardienii Păcii, IsOne „a ieşit din obscuritate şi de atunci nu a mai făcut nimic”, notează Novetta. Iar pentru operaţiunile DarkSeoul, două grupuri şi-au asumat responsabilitatea - Noua Ciberarmată Romantică şi Echipa WhoIs (Echipa cine este).

Cercetătorii de la Novetta sugerează că Lazarus lasă impresia că atacurile sunt întreprinse de grupuri de hacktivişti pentru a pune investigatorii pe piste false. Când campaniile sunt duse până la capăt, atacatorii renunţă la nume şi la malware-urile folosite şi o iau în altă direcţie. Însă codurile de bază şi tehnicile refolosite lasă indicii, ce e drept firave, preţioase pentru investigatori.

În trei atacuri asupra unor bănci, din Filipine, Vietnam şi Bangladesh (de unde hoţii au sustras peste 81 de milioane de dolari), cercetătorii de la Symantec au descoperit că hoţii au folosit un cod rar care a mai fost văzut în doar două cazuri: atacurile asupra Sony Pictures din decembrie 2014 şi atacurile asupra instituţiilor financiare şi media din Coreea de Sud din 2013.

„Dacă crezi că Coreea de Nord a fost în spatele acelor atacuri, atunci poţi crede şi că atacurile asupra băncilor au fost opera nord-coreenilor”, a spus Eric Chien, cercetător al Symantec. De remarcat este că firmele de securitate cibernetică nu atribuie direct Coreei de Nord responsabilitatea pentru atacuri.

Ei spun însă că dacă nord-coreenii sunt vinovaţii, atacurile asupra băncilor asiatice ar fi prima dată când o naţiune foloseşte coduri maliţioase pentru a fura doar pentru profit financiar.

Un miliard de dolari, cât ar fi vrut să sutragă hackerii de la banca din Bangladesh, ar reprezenta 10% din PIB-ul Coreei de Nord, a spus Eric Chien de la Symantec. Compania a găsit că Lazăr ar putea fi în spatele unei campanii de atacuri cibernetice care a vizat organizaţii din 31 de state. Modul de acţiune a fost infectarea victimelor cu un software de tip loader (care într-un sistem de operare identifică o anumită aplicaţie, o încarcă în memoria RAM şi îi dă controlul computerului) pentru a organiza atacuri prin instalarea altor programe maliţioase. 

Symantec nu a spus care sunt organizaţiile luate ca ţintă şi nici dacă au fost furaţi bani, dar a precizat că grupul a folosit o abordare mai sofisticată decât în campaniile anterioare.

Cercetători de la la BAE Systems, FireEye şi Symantec au observant că până la sfârşitul anului 2015 hackerii îşi mutaseră atenţia asupra sistemului bancar global. Dacă prima victimă cunoscută a fost o bancă comercială vietnameză, cele mai recente atacuri, observate de Kaspersky în martie, au vizat instituţii financiare din Gabon şi Nigeria, notează CNN.

Polonia, cea mai mare economie est-europeană, nu a fost ocolită. Acolo, hackerii au atacat site-ul web al instituţiei de reglementare a sectorului financiar. Ei au ascuns în site-ul instituţiei un cod maliţios şi au limitat infecţiile la vizitatori cu anumite adrese de internet – angajaţii băncilor, explică BAE Systems.

Codul arată că hackerii au creat o listă cu 150 de adrese de internet care a servit ca „listă de lovituri”, spune Eric Chien, de la Symantec. CNN a verificat aceste adrese şi a descoperit că aparţin, printre altele, Băncii Mondiale, băncilor centrale din Chile, Brazilia, Estonia, Mexic şi Venezuela şi unor bănci comerciale de anvergură globală.

Cercetătorii firmelor de cibersecuritate cred că Coreea de Nord încearcă să construiască o reţea de bănci infectate pentru a rula bani furaţi. Banii furaţi anul trecut din conturile băncii din Bangladesh de la Fed New York au fost mutaţi în Sri Lanka şi într-un cazinou din Filipine.

Unii observatori cred că banii furaţi sunt folosiţi la finanţarea programului nuclear nord-coreean. „Totul este pentru programele de arme atomice şi de rachete”, spune Anthony Ruggiero, analist la Foundation for Defense of Democracies, organizaţie care urmăreşte activităţile ilegale ale nord-coreenilor. 

Toate aceste operaţiuni de hacking agresive coincid cu eforturile globale de a bloca accesul Coreei de Nord la sistemul financiar global şi de a descuraja acest stat să deţină arme nucleare. În februarie, o investigaţie ONU a descoperit că Coreea de Nord foloseşte o reţea de companii paravan şi de agenţi secreţi pentru a accesa băncile internaţionale. Spre exemplu, nord-coreenii folosesc companii de electronice şi de transport de marfă pe mare pentru a muta milioane de dolari, ceea ce face din aceste firme un fel de instituţii financiare. De asemenea, regimul de la Phenian şi-a creat câteva bănci ca subsidiare ale unor firme chinezeşti şi malaieziene.

Atacurile asupra băncilor sunt doar cea mai nouă unealtă din trusa de ilegalităţi a Coreei de Nord. Phenianul continuă să facă trafic de arme, de ţigarete, de narcotice - inclusiv prin culoare diplomatice -, de fildeş şi să falsifice, chiar foarte bine, valută. Grupurile de apărare a drepturilor omului spun că regimul nord-coreean îşi foloseşte cetăţenii ca surse de sclavi pentru munci în ţări ca Polonia, Malta, Germania, Italia, Austria şi Olanda. Regimul ar confisca 90% din veniturile obţinute prin muncă de aceşti oameni. Se estimează că în jur de 50.000 de nord-coreeni muncesc în străinătate, aducând guvernului până la 2,3 miliarde de dolari pe an.

Un alt mod ingenious prin care Coreea de Nord ar face rost de valută ar fi închirierea clădirilor ambasadelor, precum cea din capital a Germaniei, Berlin, deşi o rezoluţie a ONU interzice expres această practică, notează Deutsche Welle.