US Treasury sanksjoner nordkoreanske statsstøttede ondsinnede cybergrupper

I dag, Det amerikanske finansdepartementet's Office of Foreign Assets Control (OFAC) kunngjorde sanksjoner rettet mot tre nordkoreanske statsstøttede ondsinnede cybergrupper som er ansvarlige for Nord-Koreasin ondsinnede nettaktivitet på kritisk infrastruktur. Dagens handlinger identifiserer nordkoreanske hackinggrupper som vanligvis er kjent innen den globale cybersikkerhetsnæringen som "Lazarus Group", "Bluenoroff" og "Andariel" som byråer, instrumentaliteter eller kontrollerte enheter fra regjeringen i Nord-Korea i henhold til Executive Order (EO) ) 13722, basert på deres forhold til Reconnaissance General Bureau (RGB). Lazarus Group, Bluenoroff og Andariel kontrolleres av USA og FN (FN) -designet RGB, som er Nord-Koreas primære etterretningsbyrå.

“Treasury iverksetter tiltak mot nordkoreanske hackinggrupper som har utført cyberangrep for å støtte ulovlige våpen- og rakettprogrammer,” sa Sigal Mandelker, statskassen for terrorisme og finansiell etterretning. "Vi vil fortsette å håndheve eksisterende amerikanske og FN-sanksjoner mot Nord-Korea og samarbeide med det internasjonale samfunnet for å forbedre cybersikkerhet i finansielle nettverk."

Skadelig cyberaktivitet av Lazarus Group, Bluenoroff og Andariel

Lazarus Group retter seg mot institusjoner som regjerings-, militær-, finans-, produksjons-, publiserings-, media-, underholdnings- og internasjonale rederier, samt kritisk infrastruktur, ved hjelp av taktikker som cyberspionasje, datatyveri, pengekupp og ødeleggende malwareoperasjoner. Opprettet av den nordkoreanske regjeringen så tidlig som i 2007, er denne ondsinnede nettgruppen underlagt det 110. forskningssenteret, 3. byrå for RGB. Det tredje byrået er også kjent som det tredje tekniske overvåkingsbyrået og er ansvarlig for Nord-Koreas nettoperasjoner. I tillegg til RGBs rolle som hovedenhet som er ansvarlig for Nord-Koreas ondsinnede cyberaktiviteter, er RGB også det viktigste nordkoreanske etterretningsbyrået og er involvert i handelen med nordkoreanske våpen. RGB ble utpekt av OFAC 3. januar 3 i henhold til EO 2 for å være en kontrollert enhet av regjeringen i Nord-Korea. RGB ble også oppført i vedlegget til EO 2015 13687. august 13551. FN utpekte også RGB 30. mars 2010.

Lazarus Group var involvert i det destruktive WannaCry 2.0 ransomware-angrepet som USA, Australia, Canada, New Zealand og Storbritannia tilskrev Nord-Korea i desember 2017. Danmark og Japan avga støtteerklæringer og flere amerikanske selskaper tok uavhengige tiltak for å forstyrre den nordkoreanske nettaktiviteten. WannaCry berørte minst 150 land over hele verden og stengte omtrent tre hundre tusen datamaskiner. Blant de offentlig identifiserte ofrene var Storbritannias (UK) National Health Service (NHS). Omtrent en tredjedel av Storbritannias sekundære omsorgssykehus - sykehus som tilbyr intensivavdelinger og andre beredskapstjenester - og åtte prosent av allmennmedisinsk praksis i Storbritannia ble lammet av ransomware-angrepet, noe som førte til kansellering av mer enn 19,000 112 avtaler og til slutt kostet NHS over $ 2014 millioner, noe som gjør det til det største kjente ransomware-utbruddet i historien. Lazarus Group var også direkte ansvarlig for de velkjente cyberangrepene fra XNUMX av Sony Pictures Entertainment (SPE).

I dag er også to undergrupper av Lazarus Group utpekt, hvorav den første er referert til som Bluenoroff av mange private sikkerhetsfirmaer. Bluenoroff ble dannet av den nordkoreanske regjeringen for å tjene ulovlig inntekt som svar på økte globale sanksjoner. Bluenoroff driver ondsinnet cyberaktivitet i form av cyberaktiverte heists mot utenlandske finansinstitusjoner på vegne av det nordkoreanske regimet for å generere inntekter, delvis for dets voksende atomvåpen og ballistiske rakettprogrammer. Cybersecurity-firmaer la merke til denne gruppen først så tidlig som i 2014, da Nord-Koreas cyberinnsats begynte å fokusere på økonomisk gevinst i tillegg til å innhente militær informasjon, destabiliserende nettverk eller skremmende motstandere. I følge industri- og presserapportering, hadde Bluenoroff innen 2018 forsøkt å stjele over 1.1 milliarder dollar fra finansinstitusjoner, og ifølge pressemeldinger hadde han vellykket utført slike operasjoner mot banker i Bangladesh, India, Mexico, Pakistan, Filippinene, Sør-Korea , Taiwan, Tyrkia, Chile og Vietnam.

I følge cybersikkerhetsfirmaer, vanligvis gjennom phishing og bakdørsinntrenging, gjennomførte Bluenoroff vellykkede operasjoner rettet mot mer enn 16 organisasjoner i 11 land, inkludert SWIFT-meldingssystemet, finansinstitusjoner og kryptovalutautvekslinger. I en av Bluenoroffs mest beryktede cyberaktiviteter jobbet hackinggruppen sammen med Lazarus Group for å stjele omtrent $ 80 millioner dollar fra Central Bank of Bangladeshs New York Federal Reserve-konto. Ved å utnytte malware som ligner på det som ble sett i SPE-nettangrepet, kom Bluenoroff og Lazarus Group med over 36 store forespørsler om fondoverføring ved å bruke stjålet SWIFT-legitimasjon i et forsøk på å stjele totalt $ 851 millioner dollar før en typografisk feil varslet personell for å forhindre at ytterligere midler fra blir stjålet.

Den andre Lazarus Group-undergruppen som er utpekt i dag, er Andariel. Den fokuserer på å utføre ondsinnet cyberoperasjon på utenlandske virksomheter, offentlige etater, finansielle tjenester, private selskaper og bedrifter, samt forsvarsindustrien. Cybersecurity-firmaer la først merke til Andariel rundt 2015, og rapporterte at Andariel konsekvent utfører nettkriminalitet for å generere inntekter og målrette Sør-Koreas regjering og infrastruktur for å samle informasjon og skape uro.

Spesielt ble Andariel observert av cybersikkerhetsfirmaer som forsøkte å stjele bankkortinformasjon ved å hacke seg inn i minibanker for å ta ut kontanter eller stjele kundeinformasjon for senere å selge på det svarte markedet. Andariel er også ansvarlig for å utvikle og skape unik malware for å hacke seg inn på online poker- og pengesider for å stjele penger.
I følge industri- og presserapportering fortsetter Andariel å utføre ondsinnet cyberaktivitet mot Sør-Koreas regjeringspersonell og det sørkoreanske militæret i et forsøk på å samle etterretning, utover kriminell innsats. En sak oppdaget i september 2016 var et cyberinnbrudd i den personlige datamaskinen til den sørkoreanske forsvarsministeren på kontoret på den tiden og forsvarsdepartementets intranett for å hente ut militære operasjonsetterretninger.

I tillegg til ondsinnede cyberaktiviteter på konvensjonelle finansinstitusjoner, utenlandske myndigheter, store selskaper og infrastruktur, er Nord-Koreas nettoperasjoner også målrettet mot virtuelle aktivaleverandører og kryptokursutvekslinger for å muligens hjelpe til med å tilsløre inntektsstrømmer og nettaktiverte tyverier som også potensielt finansierer Nord-Koreas WMD og ballistiske rakettprogrammer. I følge industri- og presserapportering stjal disse tre statssponserte hackinggruppene sannsynligvis rundt $ 571 millioner i kryptovaluta alene, fra fem børser i Asia mellom januar 2017 og september 2018.

Amerikanske myndigheters innsats for å bekjempe nordkoreanske cybertrusler

Separat har Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) og US Cyber ​​Command (USCYBERCOM) de siste månedene jobbet sammen for å avsløre skadeprøver til den private cybersikkerhetsindustrien, hvorav flere senere ble tilskrevet nordkoreanske cyberaktører , som en del av et kontinuerlig forsøk på å beskytte det amerikanske finanssystemet og annen kritisk infrastruktur, samt å ha størst innvirkning på å forbedre den globale sikkerheten. Dette, sammen med dagens OFAC-handling, er et eksempel på en regjeringsomfattende tilnærming til å forsvare og beskytte mot en økende nordkoreansk cybertrussel, og er et skritt til i den vedvarende engasjementsvisjonen som ble fremlagt av USCYBERCOM.

Som et resultat av dagens handling, er all eiendom og interesser i eiendommer til disse enhetene, og av enheter som er eid, direkte eller indirekte, 50 prosent eller mer av de utpekte enhetene, som er i USA eller i besittelse eller kontroll av amerikanske personer er blokkert og må rapporteres til OFAC. OFACs regelverk forbyr generelt all handel med amerikanske personer eller i (eller transitt) USA som involverer eiendom eller interesser i eiendom til blokkerte eller utpekte personer.

I tillegg kan personer som deltar i visse transaksjoner med enhetene som er utpekt i dag, selv utsettes for betegnelse. Videre kan enhver utenlandsk finansinstitusjon som bevisst legger til rette for en betydelig transaksjon eller yter betydelige finansielle tjenester for noen av enhetene som er utpekt i dag, kunne være underlagt amerikansk korrespondentkonto eller betalbar sanksjon.