US Treasury sanktionerer nordkoreanske statsstøttede ondsindede cybergrupper

Dag, US Department of Treasury's Office of Foreign Asset Control (OFAC) annoncerede sanktioner rettet mod tre nordkoreanske statsstøttede ondsindede cybergrupper, der er ansvarlige for Nordkorea's ondsindede cyberaktivitet på kritisk infrastruktur. Dagens handlinger identificerer nordkoreanske hackinggrupper, der almindeligvis er kendt inden for den globale private cybersikkerhedsindustri som "Lazarus Group", "Bluenoroff" og "Andariel" som agenturer, instrumentaliteter eller kontrollerede enheder fra Nordkoreas regering i henhold til Executive Order (EO) ) 13722, baseret på deres forhold til Reconnaissance General Bureau (RGB). Lazarus Group, Bluenoroff og Andariel kontrolleres af den amerikanske og De Forenede Nationers (FN) -designede RGB, som er Nordkoreas primære efterretningsbureau.

“Treasury tager skridt mod nordkoreanske hackinggrupper, der har begået cyberangreb for at støtte ulovlige våben- og missilprogrammer,” sagde Sigal Mandelker, finansministerium for terrorisme og finansiel efterretning. "Vi vil fortsætte med at håndhæve eksisterende amerikanske og FN-sanktioner mod Nordkorea og arbejde sammen med det internationale samfund for at forbedre cybersikkerhed i finansielle netværk."

Ondsindet cyberaktivitet af Lazarus Group, Bluenoroff og Andariel

Lazarus Group er målrettet mod institutioner som regering, militær, finansiel, produktion, forlagsvirksomhed, medier, underholdning og internationale rederier samt kritisk infrastruktur ved hjælp af taktik såsom cyberspionage, datatyveri, monetære røverier og destruktiv malware-operationer. Oprettet af den nordkoreanske regering så tidligt som i 2007 er denne ondsindede cybergruppe underlagt det 110. forskningscenter, 3. kontor for RGB. 3. bureau er også kendt som 3. teknisk overvågningsbureau og er ansvarlig for Nordkoreas cyberoperationer. Ud over RGB's rolle som hovedenhed, der er ansvarlig for Nordkoreas ondsindede cyberaktiviteter, er RGB også det vigtigste nordkoreanske efterretningsbureau og er involveret i handelen med nordkoreanske våben. RGB blev udpeget af OFAC den 2. januar 2015 i henhold til EO 13687 for at være en kontrolleret enhed i Nordkoreas regering. RGB blev også opført i bilaget til EO 13551 den 30. august 2010. FN udpegede også RGB den 2. marts 2016.

Lazarus Group var involveret i det destruktive WannaCry 2.0 ransomware-angreb, som USA, Australien, Canada, New Zealand og Det Forenede Kongerige offentligt tilskrev Nordkorea i december 2017. Danmark og Japan afgav støtteerklæringer, og flere amerikanske virksomheder tog uafhængige handlinger for at forstyrre den nordkoreanske cyberaktivitet. WannaCry ramte mindst 150 lande rundt om i verden og lukkede cirka tre hundrede tusind computere. Blandt de offentligt identificerede ofre var Det Forenede Kongeriges (UK) National Health Service (NHS). Cirka en tredjedel af Storbritanniens sekundære plejehospitaler - hospitaler, der tilbyder intensivafdelinger og andre beredskabstjenester - og otte procent af den generelle medicinske praksis i Storbritannien blev lammet af ransomware-angrebet, hvilket førte til aflysning af mere end 19,000 aftaler og i sidste ende koster NHS over $ 112 millioner, hvilket gør det til det største kendte ransomware-udbrud i historien. Lazarus Group var også direkte ansvarlig for de velkendte cyberangreb fra 2014 fra Sony Pictures Entertainment (SPE).

Også i dag udpeges to undergrupper af Lazarus Group, hvoraf den første benævnes Bluenoroff af mange private sikkerhedsfirmaer. Bluenoroff blev dannet af den nordkoreanske regering for at tjene ulovligt indtægter som svar på øgede globale sanktioner. Bluenoroff udfører ondsindet cyberaktivitet i form af cyberaktiverede røverier mod udenlandske finansielle institutioner på vegne af det nordkoreanske regime for til dels at generere indtægter til dets voksende atomvåben og ballistiske missilprogrammer. Cybersikkerhedsfirmaer bemærkede først denne gruppe så tidligt som i 2014, da Nordkoreas cyberindsats begyndte at fokusere på økonomisk gevinst ud over at få militær information, destabiliserende netværk eller skræmmende modstandere. I henhold til rapportering fra industrien og pressen havde Bluenoroff i 2018 forsøgt at stjæle over 1.1 milliarder dollars fra finansielle institutioner, og ifølge pressemeddelelser havde han med succes gennemført sådanne operationer mod banker i Bangladesh, Indien, Mexico, Pakistan, Filippinerne, Sydkorea , Taiwan, Tyrkiet, Chile og Vietnam.

Ifølge cybersikkerhedsfirmaer, typisk gennem phishing og bagdørindtrængen, gennemførte Bluenoroff vellykkede operationer rettet mod mere end 16 organisationer i 11 lande, herunder SWIFT-messaging-systemet, finansielle institutioner og kryptokurrencyudvekslinger. I en af ​​Bluenoroffs mest berygtede cyberaktiviteter arbejdede hackinggruppen sammen med Lazarus Group for at stjæle ca. $ 80 millioner dollars fra Centralbanken i Bangladeshs New York Federal Reserve-konto. Ved at udnytte malware svarende til det, der ses i SPE-cyberangrebet, gjorde Bluenoroff og Lazarus Group over 36 store pengeoverførselsanmodninger ved hjælp af stjålne SWIFT-legitimationsoplysninger i et forsøg på at stjæle i alt 851 millioner dollars, før en typografisk fejl advarede personale om at forhindre, at de ekstra midler fra bliver stjålet.

Den anden Lazarus Group-undergruppe, der er udpeget i dag, er Andariel. Det fokuserer på at udføre ondsindet cyberoperation på udenlandske virksomheder, offentlige agenturer, infrastruktur for finansielle tjenester, private virksomheder og virksomheder samt forsvarsindustrien. Cybersikkerhedsfirmaer bemærkede først Andariel omkring 2015 og rapporterede, at Andariel konsekvent udfører cyberkriminalitet for at generere indtægter og målretter Sydkoreas regering og infrastruktur for at indsamle oplysninger og skabe uorden.

Specifikt blev Andariel observeret af cybersikkerhedsfirmaer, der forsøgte at stjæle bankkortoplysninger ved at hacke ind i pengeautomater for at trække kontanter eller stjæle kundeoplysninger for senere at sælge på det sorte marked. Andariel er også ansvarlig for at udvikle og skabe unik malware til at hacke sig ind på online poker og hasardspil for at stjæle kontanter.
Ifølge rapportering fra industrien og pressen fortsætter Andariel ud over sin kriminelle indsats med ondsindet cyberaktivitet mod Sydkoreas regeringspersonale og det sydkoreanske militær i et forsøg på at indsamle efterretning. En sag, der blev set i september 2016, var en cyberindtrængning i den sydkoreanske forsvarsministers personlige computer på det tidspunkt og forsvarsministeriets intranet for at udtrække efterretninger til militæroperationer.

Ud over ondsindede cyberaktiviteter på konventionelle finansielle institutioner, udenlandske regeringer, større virksomheder og infrastruktur er Nordkoreas cyberoperationer også målrettet mod virtuelle aktivudbydere og kryptokursudvekslinger for muligvis at hjælpe med at skjule indtægtsstrømme og cyberaktiverede tyverier, der også potentielt finansierer Nordkoreas WMD og ballistiske missilprogrammer. Ifølge rapportering fra industrien og pressen stjal disse tre statsstøttede hackinggrupper sandsynligvis kun $ 571 millioner i cryptocurrency alene fra fem børser i Asien mellem januar 2017 og september 2018.

Amerikanske regerings bestræbelser på at bekæmpe nordkoreanske cybertrusler

Separat har Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) og US Cyber ​​Command (USCYBERCOM) i de seneste måneder arbejdet sammen for at afsløre malware-prøver til den private cybersikkerhedsindustri, hvoraf flere senere blev tilskrevet nordkoreanske cyberaktører , som en del af en løbende indsats for at beskytte det amerikanske finansielle system og anden kritisk infrastruktur såvel som at have størst indflydelse på at forbedre den globale sikkerhed. Dette sammen med dagens OFAC-handling er et eksempel på en regeringsdækkende tilgang til at forsvare og beskytte mod en stigende nordkoreansk cybertrussel og er endnu et skridt i den vedvarende engagementvision, der er fremsat af USCYBERCOM.

Som et resultat af dagens handling er al ejendom og interesser i ejendom tilhørende disse enheder og af enheder, der direkte eller indirekte ejes 50 procent eller mere af de udpegede enheder, der er i USA eller i besiddelse eller kontrol af amerikanske personer er blokeret og skal rapporteres til OFAC. OFACs regler forbyder generelt alle forretninger fra amerikanske personer eller inden for (eller transit) USA, der involverer ejendom eller interesser i ejendom tilhørende blokerede eller udpegede personer.

Derudover kan personer, der deltager i visse transaktioner med de enheder, der er udpeget i dag, selv blive udsat for betegnelse. Desuden kan enhver udenlandsk finansiel institution, der bevidst letter en væsentlig transaktion eller yder betydelige finansielle tjenester til nogen af ​​de enheder, der er udpeget i dag, være underlagt amerikansk korrespondentkonto eller betalingssanktioner.