Departament Skarbu USA nakłada sankcje na złośliwe grupy cybernetyczne sponsorowane przez państwo w Korei Północnej

Obecnie Departament Skarbu USABiuro Kontroli Aktywów Zagranicznych (OFAC) ogłosiło sankcje wymierzone w trzy sponsorowane przez państwo złośliwe grupy cybernetyczne odpowiedzialne za Korea Północnazłośliwej aktywności cybernetycznej na infrastrukturze krytycznej. Dzisiejsze działania identyfikują północnokoreańskie grupy hakerskie powszechnie znane w globalnym prywatnym przemyśle cyberbezpieczeństwa jako „Lazarus Group”, „Bluenoroff” i „Andariel” jako agencje, podmioty lub kontrolowane podmioty rządu Korei Północnej zgodnie z rozporządzeniem wykonawczym (EO ) 13722, na podstawie ich powiązań z General Bureau Reconnaissance (RGB). Lazarus Group, Bluenoroff i Andariel są kontrolowane przez wyznaczone przez Stany Zjednoczone i ONZ (ONZ) RGB, które jest głównym biurem wywiadowczym Korei Północnej.

„Departament Skarbu podejmuje działania przeciwko północnokoreańskim grupom hakerskim, które dopuszczają się cyberataków w celu wspierania nielegalnych programów broni i pocisków” - powiedział Sigal Mandelker, podsekretarz skarbu ds. Terroryzmu i wywiadu finansowego. „Będziemy nadal egzekwować obowiązujące sankcje USA i ONZ wobec Korei Północnej i współpracować ze społecznością międzynarodową w celu poprawy cyberbezpieczeństwa sieci finansowych”.

Złośliwa działalność cybernetyczna Lazarus Group, Bluenoroff i Andariel

Lazarus Group atakuje instytucje takie jak rząd, wojsko, finanse, produkcje, wydawnictwa, media, rozrywkę i międzynarodowe firmy transportowe, a także infrastrukturę krytyczną, wykorzystując taktyki, takie jak cyberszpiegostwo, kradzież danych, skoki pieniężne i destrukcyjne operacje złośliwego oprogramowania. Utworzona przez rząd Korei Północnej już w 2007 roku, ta złośliwa cybergrupa podlega 110. Centrum Badawczemu, 3. Biurze RGB. Trzecie Biuro jest również znane jako 3. Biuro Nadzoru Technicznego i jest odpowiedzialne za operacje cybernetyczne Korei Północnej. Oprócz roli RGB jako głównego podmiotu odpowiedzialnego za złośliwe działania cybernetyczne w Korei Północnej, RGB jest również główną agencją wywiadowczą Korei Północnej i jest zaangażowana w handel bronią Korei Północnej. RGB został wyznaczony przez OFAC w dniu 3 stycznia 2 r. Zgodnie z EO 2015 jako podmiot kontrolowany przez rząd Korei Północnej. RGB został również wymieniony w załączniku do EO 13687 w dniu 13551 sierpnia 30 r. ONZ wskazał również RGB w dniu 2010 marca 2 r.

Grupa Lazarus była zaangażowana w niszczycielski atak ransomware WannaCry 2.0, który Stany Zjednoczone, Australia, Kanada, Nowa Zelandia i Wielka Brytania publicznie przypisały Korei Północnej w grudniu 2017 r. Dania i Japonia wydały oświadczenia potwierdzające, a kilka firm amerykańskich podjęło niezależne działania, aby go przerwać cyber aktywność Korei Północnej. WannaCry wpłynął na co najmniej 150 krajów na całym świecie i wyłączył około trzysta tysięcy komputerów. Wśród publicznie zidentyfikowanych ofiar była brytyjska (UK) National Health Service (NHS). Około jedna trzecia brytyjskich szpitali specjalistycznej opieki - szpitali, które zapewniają oddziały intensywnej terapii i inne usługi ratunkowe - oraz osiem procent ogólnych gabinetów lekarskich w Wielkiej Brytanii zostało okaleczonych przez atak ransomware, co doprowadziło do odwołania ponad 19,000 112 wizyt i ostatecznie kosztowało NHS ponad 2014 milionów dolarów, co czyni go największą znaną epidemią oprogramowania ransomware w historii. Grupa Lazarus była również bezpośrednio odpowiedzialna za dobrze znane cyberataki Sony Pictures Entertainment (SPE) z XNUMX roku.

Obecnie wyznaczone są również dwie podgrupy Lazarus Group, z których pierwsza jest określana jako Bluenoroff przez wiele prywatnych firm ochroniarskich. Bluenoroff został utworzony przez rząd Korei Północnej w celu nielegalnego uzyskiwania dochodów w odpowiedzi na zaostrzone globalne sankcje. Bluenoroff prowadzi złośliwą aktywność w cyberprzestrzeni w postaci cybernetycznych napadów na zagraniczne instytucje finansowe w imieniu reżimu północnokoreańskiego, aby wygenerować dochody, częściowo, z rosnącej liczby programów broni jądrowej i pocisków balistycznych. Firmy zajmujące się cyberbezpieczeństwem po raz pierwszy zauważyły ​​tę grupę już w 2014 r., Kiedy cyberprzestępcy Korei Północnej zaczęli koncentrować się na zyskach finansowych, oprócz pozyskiwania informacji wojskowych, destabilizacji sieci lub zastraszania przeciwników. Według doniesień branżowych i prasowych do 2018 roku Bluenoroff próbował ukraść ponad 1.1 miliarda dolarów od instytucji finansowych i według doniesień prasowych z powodzeniem przeprowadził takie operacje przeciwko bankom w Bangladeszu, Indiach, Meksyku, Pakistanie, Filipinach i Korei Południowej. , Tajwan, Turcja, Chile i Wietnam.

Według firm zajmujących się bezpieczeństwem cybernetycznym, zazwyczaj poprzez phishing i włamania do tylnych drzwi, Bluenoroff przeprowadził udane operacje skierowane do ponad 16 organizacji w 11 krajach, w tym systemu przesyłania wiadomości SWIFT, instytucji finansowych i giełd kryptowalut. W jednym z najbardziej znanych działań cybernetycznych Bluenoroffa grupa hakerska współpracowała z Lazarus Group, aby ukraść około 80 milionów dolarów z konta Rezerwy Federalnej Banku Centralnego Bangladeszu w Nowym Jorku. Wykorzystując szkodliwe oprogramowanie podobne do tego, które widzieliśmy w cyberataku SPE, Bluenoroff i Lazarus Group złożyły ponad 36 żądań przelewu dużych funduszy przy użyciu skradzionych danych uwierzytelniających SWIFT, próbując ukraść łącznie 851 milionów dolarów, zanim błąd typograficzny zaalarmował personel, aby zapobiec dodatkowym funduszom. kradzież.

Drugą wyznaczoną dziś podgrupą Lazarus Group jest Andariel. Koncentruje się na przeprowadzaniu złośliwych operacji cybernetycznych na zagranicznych firmach, agencjach rządowych, infrastrukturze usług finansowych, prywatnych korporacjach i przedsiębiorstwach, a także na przemyśle obronnym. Firmy zajmujące się cyberbezpieczeństwem po raz pierwszy zauważyły ​​Andariel około 2015 roku i poinformowały, że Andariel konsekwentnie wykonuje cyberprzestępczość, aby generować dochody i atakować rząd i infrastrukturę Korei Południowej w celu gromadzenia informacji i wywoływania zamieszek.

W szczególności Andariel był obserwowany przez firmy zajmujące się cyberbezpieczeństwem, które próbowały wykraść informacje o kartach bankowych, włamując się do bankomatów w celu wypłaty gotówki lub kradzieży informacji o klientach, aby później sprzedawać na czarnym rynku. Andariel jest również odpowiedzialny za opracowywanie i tworzenie unikalnego złośliwego oprogramowania do włamywania się do pokera online i witryn hazardowych w celu kradzieży gotówki.
Według branżowych i prasowych doniesień, poza swoimi działaniami przestępczymi, Andariel nadal prowadzi złośliwą cyber aktywność przeciwko personelowi rządu Korei Południowej i wojsku Korei Południowej w celu zebrania informacji wywiadowczych. Jeden przypadek zauważony we wrześniu 2016 r. To włamanie cybernetyczne do komputera osobistego urzędującego wówczas ministra obrony Korei Południowej oraz do intranetu Ministerstwa Obrony w celu uzyskania informacji wywiadowczych dotyczących operacji wojskowych.

Oprócz złośliwych działań cybernetycznych w konwencjonalnych instytucjach finansowych, zagranicznych rządach, dużych firmach i infrastrukturze, operacje cybernetyczne w Korei Północnej są również ukierunkowane na dostawców zasobów wirtualnych i giełdy kryptowalut, aby prawdopodobnie pomóc w zaciemnieniu strumieni przychodów i kradzieży z wykorzystaniem cyberprzestrzeni, które również potencjalnie finansują północnokoreańskie Programy BMR i rakiet balistycznych. Według branżowych i prasowych doniesień, te trzy sponsorowane przez państwo grupy hakerskie prawdopodobnie ukradły około 571 milionów dolarów w samej kryptowalutach z pięciu giełd w Azji w okresie od stycznia 2017 do września 2018.

Wysiłki rządu USA w celu zwalczania północnokoreańskich zagrożeń cybernetycznych

Oddzielnie, Departament Bezpieczeństwa Wewnętrznego, Agencja Cyberbezpieczeństwa i Infrastruktury (CISA) oraz US Cyber ​​Command (USCYBERCOM) pracowały w tandemie w celu ujawnienia próbek złośliwego oprogramowania prywatnej branży cyberbezpieczeństwa, z których kilka zostało później przypisanych północnokoreańskim cyberprzestępcom. , w ramach ciągłych wysiłków na rzecz ochrony systemu finansowego USA i innej infrastruktury krytycznej, a także wywarcia największego wpływu na poprawę bezpieczeństwa globalnego. To, wraz z dzisiejszymi działaniami OFAC, jest przykładem ogólnokrajowego podejścia do obrony i ochrony przed rosnącym północnokoreańskim zagrożeniem cybernetycznym i jest kolejnym krokiem w wizji trwałego zaangażowania przedstawionej przez USCYBERCOM.

W wyniku dzisiejszych działań cały majątek i udziały w majątku tych podmiotów oraz wszelkich podmiotów, które są bezpośrednio lub pośrednio własnością co najmniej 50% wskazanych podmiotów, znajdujące się w Stanach Zjednoczonych lub w posiadaniu lub pod kontrolą osób z USA jest zablokowanych i należy je zgłosić do OFAC. Przepisy OFAC generalnie zabraniają wszelkich transakcji dokonywanych przez osoby z USA lub w Stanach Zjednoczonych (lub przejeżdżających tranzytem), które dotyczą majątku lub udziałów w majątku zablokowanych lub wyznaczonych osób.

Ponadto osoby, które zawierają określone transakcje z podmiotami wskazanymi w dniu dzisiejszym, mogą same być narażone na wyznaczenie. Ponadto każda zagraniczna instytucja finansowa, która świadomie ułatwia znaczącą transakcję lub świadczy istotne usługi finansowe na rzecz któregokolwiek z podmiotów wskazanych w dniu dzisiejszym, może podlegać amerykańskim kontom korespondencyjnym lub podlegać sankcjom płatnym.