Pentru toate acestea este nevoie de resurse materiale, de specialişti şi deci de finanţare, şi nu puţină. Doar cu banii primiţi pe cărbunele vândut Chinei nu s-ar descurca. O teorie larg răspândită este că Phenianul pur şi simplu fură de la alte ţări banii de care are nevoie, iar de acest lucru se ocupă o reţea de hackeri cunoscută sub numele de Lazarus (Lazăr). Furnizorii de produse de securitate online se întrec în anchete şi concluzii privind activitatea hackerilor. Este de înţeles, având în vedere că atacurile acestora le pot ridiculiza ori, mai degrabă, le pot aduce clienţi noi. Iar Coreea de Nord în titlu atrage întotdeauna atenţia.
Symantec, producător de soluţii de securitate cibernetică din SUA, spune că grupul Lazarus este probabil în spatele unei campanii de atacuri cibernetice care a avut ca ţintă organizaţii din 31 de ţări, printre care Sony şi banca Bangladeshului. Kaspersky Lab, companie rivală din Rusia, se laudă că a descoperit, pe baza unei greşeli a hackerilor, modul în care aceştia operează. Ruşii spun că Lazarus, „un grup de spionaj şi sabotaj cibernetic, este responsabil pentru o serie de atacuri de anvergură şi cunoscut pentru atacarea unor companii industriale, instituţii media şi financiare în cel puţin 18 ţări (printre care şi Polonia), începând cu 2009”. Cel mai mare grup de lobby bancar polonez, ZBD, a spus în februarie că „sectorul a fost ţinta unui atac cibernetic”, dar nu a dat mai multe detalii.
Revista The Diplomat încearcă să scoată în lumină strategia pe care nord-coreenii ar folosi-o pentru a face rost de finanţare.
Astfel, Phenianul ar apela la o escrocherie simplă: „când toată lumea priveşte la dreapta, tu o iei la stânga” – strategie descrisă perfect în filmul Lucky Number Slevin. Cu ajutorul Chinei, Coreea de Nord a reuşit să ţină atenţia lumii concentrată pe sancţiunile privind comerţul cu cărbune şi să facă gălăgie la Consiliul de Securitate pentru a obţine concesii privind exporturile din motive umanitare. Însă recompense mai mari vin din alte activităţi. Lungul joc al Chinei de a bloca sau amâna orice sancţiune semnificativă la UNSC a dat Phenianului suficient timp să-şi diversifice sursele de venituri. Cele convenţionale nu mai sunt singurele. Prin ultradiscretele Birouri #39 şi #121, organizaţii de partid specializate în activităţi ilicite, Coreea de Nord a reuşit să-şi reducă drastic dependenţa de exporturile de cărbune.
Cea mai amplă, şi nouă, operaţiune derulată de agenţiile nord-coreene este atacarea SWIFT, un consorţiu bancar cu bazele la Bruxelles care operează ceea ce este considerat a fi cel mai sigur sistem de plăţi la distanţă din lume, după cum explică The New York Times. Sistemul este utilizat de 11.000 de bănci şi companii pentru a transfera bani dintr-o ţară în alta – un motiv pentru care este o ţintă atrăgătoare pentru mulţi infractori. SWIFT permite băncilor să proceseze transferuri internaţionale de mii de miliarde de dolari în fiecare zi.
Mai multe analize au identificat Lazarus ca fiind implicat în lovituri răsunătoare date acestei reţele financiare mondiale. Cei 6.800 de hackeri ai Coreei de Nord aduceau deja în fiecare an guvernului care-i plăteşte 860 de milioane de dolari obţinuţi prin fraudă, şantaj şi jocuri de noroc online, însă atacurile asupra SWIFT sunt o noutate. SWIFT a avertizat deja public că atacurile fac parte dintr-un asalt coordonat şi de amploare asupra băncilor, dar nu a specificat niciun vinovat. A subliniat însă că breşele au fost făcute în punctele de conectare a băncilor la reţea şi nu în reţeaua de bază a sistemului.
Bancherii americani s-au grăbit să remarce că breşele în securitate au apărut doar la bănci din lumea a treia, ceea ce ar trebui să-i facă pe clienţii din SUA să se simtă în siguranţă.
Însă cea mai mare lovitură de până acum a hackerilor a permis grupului să sustragă 81 de milioane de dolari din conturile pe care banca centrală a Bangladesh-ului, într-adevăr o ţară din lumea a treia, le are la Rezerva Federală din New York, adică la banca centrală a Americii. Atacul ar fi putut aduce hoţilor cibernetici până la un miliard de dolari dacă aceştia ştiau ceva mai multă gramatică. De asemenea, Lazarus a dat lovituri cibernetice la bănci din Ecuador, Filipine şi Vietnam.
O altă spargere binară la o bancă ucraineană neidentificată, în decembrie, a lăsat instituţia cu 10 milioane de dolari mai săracă, în timp ce banca centrală a Rusiei a găsit o gaură de 31 de milioane de dolari. Iar bănci poloneze au fost ţintele unor campanii malware de amploare prin care s-a încercat asigurarea accesului la conturile lor. Kaspersky leagă aceste campanii de Lazarus.
Cum statul nord-coreean s-ar putea să nu mai poată vinde cantităţi semnificative de cărbune anul acesta – China, care de obicei achiziţionează 90% din exporturile nord-coreene, a decis să nu mai cumpere până la sfârşitul anului – este foarte puţin probabil ca atacurile cibernetice să încetinească. Este dificil de judecat cât de mult succes au hackerii Coreei de Nord de vreme ce SWIFT preferă să păstreze discreţia. Un factor care funcţionează în favoarea nord-coreenilor este acela că natura în sine a sistemului bancar internaţional face imposibilă blocarea atacurilor cibernetice prin acţiuni ale ONU. În timp ce SWIFT se bazează pe băncile membre să implementeze măsuri de securitate şi să pună la dispoziţia celorlalte informaţii despre situaţia siguranţei, standardul folosit de SWIFT este pur şi simplu prea vechi pentru a putea fi salvat.
Cele mai vechi dovezi ale activităţii grupului de hackeri nord-coreeni sunt din 2009, potrivit cercetărilor mai multor companii de securitate IT, printre care Novetta, din SUA. Se pare că atunci atacatorii au început să dezvolte un cod folosit într-un atac cunoscut ca „Operaţiunea Flacăra”, scrie The Wired. Această operaţiune a fost îndreptată contra guvernului Coreei de Sud. Activităţile acestui atac, numit „DarkSeoul (Seoul Întunecat)”, pot fi legate de operaţiuni ulterioare de hacking, din 2013 şi 2014, a căror ţintă a fost tot Coreea de Sud.
Însă grupul Lazarus a devenit cu adevărat celebru prin atacurile pornite pe 4 iulie 2009, de Ziua Independenţei, care au stârnit o isterie atât de mare în Congresul american încât un congresman i-a cerut preşedintelui Barack Obama să dezlănţuie forţa Americii contra Coreei de Nord ca pedeapsă pentru lansarea unui război cibernetic asupra Statelor Unite. Atacurile de tipul denial-of-service au lovit peste 30 de site-uri web mari din SUA şi Coreea de Sud. Se crede că atacurile, nesofisticate, au fost efectuate prin intermediul a 50.000 de computere infectate cu virusul vierme MyDoom, pe atunci vechi deja de cinci ani.
În prima zi au fost vizate cinci site-uri ale guvernului american, după care operaţiunea s-a extins a doua zi la site-uri comerciale şi de media. În Coreea de Sud au fost lovite website-uri guvernamentale şi comerciale. Printre victimele americane se numără site-uri ale Casei Albe, ale Departamentului de Securitate Internă, ale Serviciului Secret, ale Agenţiei de Securitate Naţională, ale Comisiei Federale de Comerţ, ale Departamentului Apărării, ale Departamentului de Stat, ale bursei de acţiuni de la New York, NASDAQ şi Yahoo.