Yhdysvaltain valtiovarainministeriö pakottaa Pohjois-Korean valtion tukemat haitalliset kyberryhmät

Tänään, Yhdysvaltain valtiovarainministeriöUlkomaisen omaisuuden valvonnan toimisto (OFAC) ilmoitti pakotteista, jotka kohdistettiin kolmeen Pohjois-Korean valtion tukemaan haitalliseen kyberryhmään, jotka olivat vastuussa Pohjois-Koreahaitallinen verkkotoiminta kriittisessä infrastruktuurissa. Tämän päivän toimissa tunnistetaan pohjoiskorealaiset hakkerointiryhmät, jotka yleisesti tunnetaan globaalissa kyberturvallisuuden yksityisessä teollisuudessa nimellä "Lazarus Group", "Bluenoroff" ja "Andariel" Pohjois-Korean hallituksen virastoina, välineinä tai valvotuina yksiköinä toimeenpanomääräyksen (EO) mukaisesti ) 13722, perustuen heidän suhteeseensa tiedustelun päätoimistoon (RGB). Lazarus-ryhmää, Bluenoroffia ja Andarielia hallitsee Yhdysvaltojen ja Yhdistyneiden Kansakuntien (YK) nimeämä RGB, joka on Pohjois-Korean ensisijainen tiedustelupalvelu.

"Valtiokonttori ryhtyy toimiin Pohjois-Korean hakkerointiryhmiä vastaan, jotka ovat syyllistyneet kyberhyökkäyksiin tukemaan laittomia ase- ja ohjusohjelmia", sanoi Sigal Mandelker, valtiovarainministeriön alivaltiosihteeri terrorismin ja rahan tiedustelun alalla. "Jatkamme Pohjois-Koreaa koskevien Yhdysvaltojen ja YK: n pakotteiden täytäntöönpanoa ja työskentelemme kansainvälisen yhteisön kanssa rahoitusverkkojen kyberturvallisuuden parantamiseksi."

Lazarus Groupin, Bluenoroffin ja Andarielin aiheuttama ilkeä kyberaktiviteetti

Lazarus-ryhmä on suunnattu hallinto-, sotilas-, rahoitus-, valmistus-, julkaisu-, media-, viihde- ja kansainvälisille varustamoille sekä kriittiselle infrastruktuurille käyttämällä taktiikoita, kuten verkkovakoilu, tietovarkaus, rahahuijaukset ja tuhoavat haittaohjelmat. Pohjois-Korean hallituksen jo vuonna 2007 perustama pahantahtoinen kyberryhmä on RGB: n 110. tutkimuskeskuksen alainen. Kolmas toimisto tunnetaan myös nimellä kolmas teknisen valvonnan toimisto ja vastaa Pohjois-Korean kyberoperaatioista. RGB: n roolin lisäksi Pohjois-Korean haitallisesta kybertoiminnasta vastaavana pääyksikkönä RGB on myös Pohjois-Korean tärkein tiedustelupalvelu ja osallistuu Pohjois-Korean asekauppaan. OFAC nimitti RGB: n 3. tammikuuta 3 julkaisun EO 3 mukaisesti Pohjois-Korean hallituksen määräysvallassa olevaksi yksiköksi. RGB lueteltiin myös EO 2: n liitteessä 2015. elokuuta 13687. YK myös nimitti RGB: n 13551. maaliskuuta 30.

Lazarus Group oli mukana tuhoisassa WannaCry 2.0 -ransomware-hyökkäyksessä, jonka Yhdysvallat, Australia, Kanada, Uusi-Seelanti ja Iso-Britannia pitivät julkisesti Pohjois-Koreaan joulukuussa 2017. Tanska ja Japani antoivat tukilausunnot ja useat yhdysvaltalaiset yritykset ryhtyivät itsenäisiin toimiin häiriöiden estämiseksi Pohjois-Korean kyberaktiviteetti. WannaCry vaikutti vähintään 150 maahan ympäri maailmaa ja sammutti noin kolmesataa tuhatta tietokonetta. Julkisesti tunnistettujen uhrien joukossa oli Yhdistyneen kuningaskunnan (UK) kansallinen terveyspalvelu (NHS). Noin kolmasosa Ison-Britannian toissijaisista hoitosairaaloista - tehohoitoyksiköitä ja muita ensiapupalveluja tarjoavista sairaaloista - ja kahdeksan prosenttia Ison-Britannian yleislääketieteellisistä käytännöistä lamautti lunnasohjelmahyökkäyksen, mikä johti yli 19,000 112 tapaamisen peruuttamiseen ja lopulta maksaa NHS yli 2014 miljoonaa dollaria, mikä on historian tunnetuin ransomware-taudinpurkaus. Lazarus Group oli myös suoraan vastuussa tunnetuista vuoden XNUMX Sony Pictures Entertainmentin (SPE) verkkohyökkäyksistä.

Tänään on nimetty myös kaksi Lazarus-ryhmän alaryhmää, joista monet yksityiset turvallisuusyritykset kutsuvat ensimmäistä nimellä Bluenoroff. Pohjois-Korean hallitus muodosti Bluenoroffin ansaitsemaan tuloja laittomasti vastauksena lisääntyneisiin maailmanlaajuisiin pakotteisiin. Bluenoroff harjoittaa pahantahtoista verkkotoimintaa kybermahdollisuudella tapahtuvien avustusten muodossa ulkomaisia ​​rahoituslaitoksia vastaan ​​Pohjois-Korean hallinnon puolesta tuottamaan tuloja osittain kasvaville ydinaseille ja ballististen ohjusten ohjelmille. Kyberturvallisuusyritykset huomasivat tämän ryhmän ensimmäisen kerran jo vuonna 2014, jolloin Pohjois-Korean kyberponnistelut alkoivat keskittyä taloudelliseen hyötyyn sotilaallisen tiedon hankinnan, verkostojen epävakauttamisen tai vastustajien pelottelun lisäksi. Teollisuuden ja lehdistötiedotteiden mukaan vuoteen 2018 mennessä Bluenoroff oli yrittänyt varastaa yli 1.1 miljardia dollaria rahoituslaitoksilta ja oli lehdistöraporttien mukaan onnistuneesti toteuttanut tällaisia ​​operaatioita pankkeja vastaan ​​Bangladeshissa, Intiassa, Meksikossa, Pakistanissa, Filippiineillä, Etelä-Koreassa , Taiwan, Turkki, Chile ja Vietnam.

Kyberturvallisuusyritysten mukaan Bluenoroff suoritti tyypillisesti tietojenkalastelun ja takaoven tunkeutumisen kautta onnistuneita operaatioita, jotka kohdistettiin yli 16 organisaatioon 11 maassa, mukaan lukien SWIFT-viestijärjestelmä, rahoituslaitokset ja kryptovaluutanvaihto. Yhdessä Bluenoroffin tunnetuimmista verkkotoiminnoista hakkerointiryhmä työskenteli yhdessä Lazarus-ryhmän kanssa varastamaan noin 80 miljoonaa dollaria Bangladeshin keskuspankin New Yorkin keskuspankkitililtä. Hyödyntämällä SPE-kyberhyökkäyksessä havaittua haittaohjelmaa Bluenoroff ja Lazarus Group tekivät yli 36 suurta varojen siirtopyyntöä varastettujen SWIFT-tunnistetietojen avulla yrittäen varastaa yhteensä 851 miljoonaa dollaria ennen kuin kirjoitusvirhe ilmoitti henkilöstölle estääkseen ylimääräiset varat varastetaan.

Toinen tänään nimetty Lasarus-ryhmän alaryhmä on Andariel. Se keskittyy haitallisten verkkotoimintojen toteuttamiseen ulkomaisille yrityksille, valtion virastoille, rahoituspalveluiden infrastruktuureille, yksityisille yrityksille ja yrityksille sekä puolustusalalle. Kyberturvallisuusyritykset huomasivat Andarielin ensimmäisen kerran noin vuonna 2015 ja ilmoittivat, että Andariel toteuttaa jatkuvasti tietoverkkorikollisuutta tulojen tuottamiseksi ja kohdistaa Etelä-Korean hallitukseen ja infrastruktuuriin tietojen keräämiseksi ja häiriöiden aikaansaamiseksi.

Erityisesti Andarielia havaitsivat kyberturvallisuusyritykset, jotka yrittivät varastaa pankkikorttitietoja hakkeroimalla pankkiautomaatteihin nostamaan käteistä tai varastamaan asiakastietoja myydäkseen myöhemmin pimeillä markkinoilla. Andariel on vastuussa myös ainutlaatuisten haittaohjelmien kehittämisestä ja luomisesta hakkeroimiseksi online-pokeri- ja uhkapelisivustoille käteisvarastamiseksi.
Teollisuuden ja lehdistötiedotteiden mukaan Andariel jatkaa rikollisten ponnistelujensa lisäksi edelleen haitallista verkkotoimintaa Etelä-Korean hallituksen henkilöstöä ja Etelä-Korean armeijaa vastaan ​​pyrkiessään keräämään tiedustelutietoja. Yksi syyskuussa 2016 havaittu tapaus oli tietoverkkojen tunkeutuminen tuolloin virassa olevan Etelä-Korean puolustusministerin henkilökohtaiseen tietokoneeseen ja puolustusministeriön intranetiin sotatoimien tiedustelun löytämiseksi.

Perinteisten rahoituslaitosten, ulkomaisten hallitusten, suuryritysten ja infrastruktuurin haitallisten verkkotoimintojen lisäksi Pohjois-Korean verkkotoiminnot kohdistuvat myös virtuaalisen omaisuuden tarjoajiin ja kryptovaluutanvaihtoon auttaakseen mahdollisuuksien mukaan hämärtämään tulovirtoja ja verkkovarkauksia, jotka mahdollisesti rahoittavat myös Pohjois-Korean Joukkotuhoaseiden ja ballististen ohjusten ohjelmat. Teollisuuden ja lehdistöraporttien mukaan nämä kolme valtion tukemaa hakkerointiryhmää varastivat todennäköisesti vain 571 miljoonaa dollaria pelkkänä kryptovaluuttana viidestä Aasian pörssistä tammikuun 2017 ja syyskuun 2018 välisenä aikana.

Yhdysvaltain hallituksen pyrkimykset torjua Pohjois-Korean kyberuhkia

Kotimaan turvallisuuden ministeriön kyberturvallisuuden ja infrastruktuurin tietoturvavirasto (CISA) ja Yhdysvaltain kyberkomento (USCYBERCOM) ovat viime kuukausina työskennelleet rinnakkain paljastamaan haittaohjelmanäytteet yksityiselle kyberturvallisuusalalle, joista useat myöhemmin osoitettiin Pohjois-Korean kybertoimijoille , osana jatkuvaa pyrkimystä suojella Yhdysvaltojen rahoitusjärjestelmää ja muuta elintärkeää infrastruktuuria sekä vaikuttaa eniten maailmanlaajuiseen turvallisuuteen. Tämä yhdessä tämän päivän OFAC-toiminnan kanssa on esimerkki hallituksen laajuisesta lähestymistavasta puolustautumiselle ja suojautumiselle kasvavaa Pohjois-Korean kyberuhkaa vastaan ​​ja on vielä yksi askel USCYBERCOMin esittämässä jatkuvassa sitoutumisvisiossa.

Tämän päivän toiminnan seurauksena näiden yksiköiden ja kaikkien sellaisten yhteisöjen omaisuus ja omistusosuudet, jotka ovat suoraan tai epäsuorasti vähintään 50 prosenttia nimettyjen tahojen omistuksessa, ovat Yhdysvalloissa tai hallussa tai määräysvallassa. Yhdysvaltain henkilöistä on estetty ja niistä on ilmoitettava OFAC: lle. OFAC: n määräykset kieltävät yleensä kaikki yhdysvaltalaisten henkilöiden tai Yhdysvaltojen sisällä (tai kauttakulku) tekemät kaupat, joihin liittyy omaisuutta tai etuja estettyjen tai nimettyjen henkilöiden omaisuudesta.

Lisäksi henkilöt, jotka tekevät tiettyjä liiketoimia tänään nimettyjen yhteisöjen kanssa, voivat itse altistua nimeämiselle. Lisäksi kaikkiin ulkomaisiin rahoituslaitoksiin, jotka tietoisesti helpottavat merkittävää tapahtumaa tai tarjoavat merkittäviä rahoituspalveluja jollekin tänään nimetyille yhteisöille, voidaan asettaa Yhdysvaltain kirjeenvaihtajatili tai maksettavia seuraamuksia.